Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5




Адвокатская контора № 15


Адвокату А.С. Смирнову


Извещение о факте обработки индивидуальных данных


Почетаемый Александр Сергеевич!


На Ваш запрос от 01.03.2010 исх. № 112-Д сообщаю, что Иванов Иван Иванович в период с 02.02.2010 по 02.03.2010 находился в служебной командировке Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 в г. Москва в Управлении Федерального казначейства по Столичной области.

Цель командировки – аттестация объектов информатизации.

Выставленные отчетные документы подтверждают его нахождение в обозначенный период в Управлении Федерального казначейства по Столичной области.

Реальным предупреждаю, что Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 обозначенная информация составляет индивидуальные данные и может быть применена исключительно в целях, обозначенных в Вашем запросе. При использовании данной инфы Вам нужно соблюдать режим конфиденциальности.


Управляющий Управления Федерального казначейства по Забайкальскому краю



Исп Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5. И.И. Петров (495)543-87-75




Приложение № 12

к Положению по организации работы с индивидуальными данными в Управлении Федерального казначейства по Забайкальскому краю и отделениях Управления Федерального казначейства по Забайкальскому краю


^ Ответственность работодателя и работника Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 за нарушение правил работы с индивидуальными данными




Вид нарушения

Предусмотренное наказание


Чем установлено

Нарушение порядка сбора, хранения, использования либо распространения индивидуальных данных

Штраф для должностных лиц – от 500 до 1000 рублей; для юридических лиц от 5000 до 10 000 рублей

Статья 13.11 КоАП Русской Федерации

Нарушение Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 законодательства о труде

Штраф для должностных лиц – от 500 до 5000 рублей; для юридических лиц от 30000 до 50 000 рублей

Статья 5.27 КоАП Русской Федерации

Нарушение правил хранения и использования индивидуальных данных, повлекшее за собой вещественный вред работодателю

Вещественная ответственность Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 работника в границах его среднего месячного заработка (ст. 238, 241 ТК Русской Федерации).

Статья 238 ТК Русской Федерации

Ненадлежащее хранение и внедрение индивидуальных данных, повлекших за собой вред работнику

Возмещение морального вреда работнику в валютной форме в размерах Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5, определенных трудовым контрактом (ст. 237 ТК Русской Федерации); возмещение вещественного вреда работнику в полном объеме (ст. 235 ТК Русской Федерации)

Статья 234 ТК Русской Федерации

Разглашение служебной потаенны, ставшей известной работнику при выполнении им Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 трудовых обязательств

Вещественная ответственность работника; дисциплинарная ответственность работника (ст. 192, 195 ТК Русской Федерации) прямо до расторжения трудового контракта по пт «в» статьи 81 ТК Русской Федерации

Пункт 7 статьи 243 ТК Русской Федерации

Нарушение неприкосновенности личной жизни

Уголовщина

Статья 137 УК Русской Федерации

Неправомерный доступ Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 к охраняемой законом компьютерной инфы.

Уголовщина

Статья 247 УК Русской Федерации




Приложение № 13

к Положению по организации работы с индивидуальными данными в Управлении Федерального казначейства по Забайкальскому краю и отделениях Управления Федерального казначейства по Забайкальскому краю


Пример Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 дизайна протокола заседания повсевременно действующей технической комиссии Управления Федерального казначейства по Забайкальскому краю по защите инфы с ограниченным доступом



^ УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ЗАБАЙКАЛЬСКОМУ КРАЮ


Протокол от «____» __________ 2010 г. № _____ заседания повсевременно действующей технической Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 комиссии Управления Федерального казначейства по Забайкальскому краю по защите инфы с ограниченным доступом


Присутствовали

На заседании повсевременно действующей технической комиссии Управления Федерального казначейства по Забайкальскому краю по защите инфы с ограниченным доступом присутствовали:

Председатель Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5: ….

Заместитель председателя: ….

Секретарь: . ….

Члены комиссии:

…;

…;

…;

….

Приглашенные:

…;

….


Повестка денька

На повестку денька поставлены последующие вопросы:

1. Отнесение автоматических информационных систем, функционирующих в Управлении Федерального казначейства по Забайкальскому краю к информационным системам индивидуальных данных Управления Федерального казначейства Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 по Забайкальскому краю;

2. Систематизация информационных систем индивидуальных данных Управления Федерального казначейства по Забайкальскому краю;

3. Принятие проекта документа «Модель угроз безопасности индивидуальных данных для автоматической информационной системы индивидуальных данных «АКСИОК»»;

4. Принятие проекта документа Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 «Модель угроз безопасности индивидуальных данных для прикладного программного обеспечения «Система поддержки технологического обеспечения»».


1 вопрос

Доложил: ….

Выступили: ….

Постановили: считать, что в Управлении Федерального казначейства по Забайкальскому краю эксплуатируются (будут введены в эксплуатацию к 01 января Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 2011 г.) последующие информационные системы индивидуальных данных:

- автоматическая информационная система «АКСИОК», созданная для всеохватывающей автоматизации деятельности отдела по работе с персоналом;

- прикладное программное обеспечение «Система поддержки технологического обеспечения», созданное для поддержки Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 процессов внедрения технологических регламентов, учета нагрузки на юзеров и эффективности исполнениями ими собственных многофункциональных обязательств, получения отчетности, позволяющей проводить функциональное моделирование деятельности органов Федерального казначейства.

Проголосовали: единодушно.


2 вопрос

Доложил: ….

Выступили: ….

Постановили:

1. Считать автоматическую Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 информационную систему «АКСИОК» информационной системой индивидуальных данных, которая является:

- типовой;

- многопользовательской;

- локальной;

- не имеющей подключений к сетям связи общего использования и (либо) сетям интернационального информационного обмена;

- с разграничением прав доступа;

- все технические Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 средства которой находятся в границах Русской Федерации.

2. Автоматическая информационная система «АКСИОК» обладает последующими показателями: Хпд = 2, Хнпд = 3. На основании данных характеристик автоматическая информационная система «АКСИОК» принадлежит к классу 3 – информационные системы, для которых нарушение данной Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 свойства безопасности индивидуальных данных, обрабатываемых в их, может привести к малозначительным нехорошим последствиям для субъектов индивидуальных данных.

3. Считать прикладное программное обеспечение «Система поддержки технологического обеспечения» информационной системой индивидуальных данных, которая является Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5:

- типовой;

- многопользовательской;

- распределенной;

- не имеющей подключений к сетям связи общего использования и (либо) сетям интернационального информационного обмена;

- с разграничением прав доступа;

- все технические средства которой находятся в границах Русской Федерации.

4. Прикладное программное обеспечение «Система поддержки Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 технологического обеспечения» обладает последующими показателями: Хпд = 2, Хнпд = 3. На основании данных характеристик автоматическая информационная система «Система поддержки технологического обеспечения» принадлежит к классу 3 – информационные системы, для которых нарушение данной свойства безопасности Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 индивидуальных данных, обрабатываемых в их, может привести к малозначительным нехорошим последствиям для субъектов индивидуальных данных.

Проголосовали: единодушно.


3 вопрос

Доложил: ….

Выступили: ….

Постановили: принять проект документа «Модель угроз безопасности индивидуальных данных для автоматической информационной системы индивидуальных данных Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 «АКСИОК»».

Проголосовали: единодушно.


4 вопрос

Доложил: ….

Выступили: ….

Постановили: принять проект документа «Модель угроз безопасности индивидуальных данных для прикладного программного обеспечения «Система поддержки технологического обеспечения»».

Проголосовали: единодушно.


Председатель Комиссии


Секретарь Комиссии




Приложение № 14

к Положению по организации работы Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 с индивидуальными данными в Управлении Федерального казначейства по Забайкальскому краю и отделениях Управления Федерального казначейства по Забайкальскому краю


Пример План-графика организации и проведения работ по обеспечению безопасности индивидуальных данных при Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 их обработке в информационных системах индивидуальных данных Управления Федерального казначейства по Забайкальскому краю


^ УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ЗАБАЙКАЛЬСКОМУ КРАЮ


Принято на заседании повсевременно действующей технической комиссии Управления Федерального казначейства по Забайкальскому краю по защите инфы с Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 ограниченным доступом


Протокол от « » 2010 г. № ___.


План-график организации и проведения работ по обеспечению безопасности индивидуальных данных при их обработке в информационной системе индивидуальных данных Управления Федерального казначейства по Забайкальскому краю (Отделения) «Аксиок»


1. Реальный Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 План-график разработан с целью выполнения Федерального закона от 27.07.2006 №152-ФЗ «О индивидуальных данных», Постановления Правительства Русской Федерации от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности индивидуальных данных при их обработке в Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 информационных системах индивидуальных данных», Советов по обеспечению безопасности индивидуальных данных при их обработке в информационных системах индивидуальных данных, утвержденных заместителем ФСТЭК Рф 15.02.2008 и устанавливает порядок проведения работ по обеспечению безопасности индивидуальных данных Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 при их обработке в информационной системе индивидуальных данных Управления Федерального казначейства по Забайкальскому краю «Аксиок» (дальше – ИСПДн УФК по Забайкальскому краю «Аксиок»).


2. План-график главных мероприятий по обеспечению безопасности индивидуальных данных при их обработке Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 в ИСПДн УФК по Забайкальскому краю «Аксиок» представлен в таблице 1.


Таблица 1. План-график главных мероприятий по обеспечению безопасности индивидуальных данных при их обработке в ИСПДн УФК по Забайкальскому краю «Аксиок».

№п.п.

Шаг

Основание Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5, сроки

Итог

1

Определение угроз безопасности индивидуальных данных при их обработке в ИСПДн УФК по Забайкальскому краю «Аксиок», формирование на их базе моделей угроз:

а). Систематизация ИСПДн УФК по Забайкальскому краю «Аксиок Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5».

б). Определение угроз безопасности ПДн.

в). Определение животрепещущих угроз безопасности ПДн.

г). Проведение заседаний повсевременно действующей технической комиссии по защите инфы с ограниченным доступом по вопросу утверждения модели угроз безопасности индивидуальных данных ИСПДн УФК по Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 Забайкальскому краю «Аксиок».

[1, п.12, а]


[1, п.6]


[6]


[7]


[1, п.12, а], [3], [4]


До 25 июня 2010 г.

1. Протоколы заседаний повсевременно действующей технической комиссии по защите инфы с ограниченным доступом.

2. Документ «Модель угроз безопасности индивидуальных данных» с указанием Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5:

- списка угроз безопасности индивидуальных данных;

- списка животрепещущих угроз безопасности индивидуальных данных;

- класса информационной системы индивидуальных данных.


2

Разработка на базе модели угроз подсистемы защиты индивидуальных данных:

а). Постановка требований к защите ПДн Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5.

б). Принятие решений о необходимости внедрения имеющихся в УФК по Забайкальскому краю средств защиты инфы от несанкционированного доступа.

в). Принятие решений о необходимости закупки недостающих средств защиты инфы от несанкционированного доступа.

г). Принятие решений Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 о необходимости вербования посторониих организаций для сотворения подсистем защиты индивидуальных данных.

д). Принятие решений о необходимости дополнительных организационных мер по защите инфы от несанкционированного доступа.

е). Проведение заседаний повсевременно действующей технической комиссии Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 по защите инфы с ограниченным доступом по вопросу утверждения требований к подсистемам защиты индивидуальных данных и главных мероприятий по организации и техническому обеспечению безопасности индивидуальных данных, обрабатываемых в ИСПДн УФК Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 по Забайкальскому краю «Аксиок».

[1, п.12, б]


[5]


[4]


[4]


[4]


[4], [2, п.13, 14, 15]


До 15 июля 2010 г.


1. Протоколы заседаний повсевременно действующей технической комиссии по защите инфы с ограниченным доступом.

2. Документ «Требования к подсистеме защиты индивидуальных данных и главные мероприятия по организации Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 и техническому обеспечению безопасности индивидуальных данных».

3. Служебная записка руководителю Федерального казначейства о необходимости закупки недостающих средств защиты инфы от несанкционированного доступа и вербования посторониих организаций к созданию подсистем защиты индивидуальных данных Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 (по необходимости).



3

Проверка готовности средств защиты инфы к использованию с составлением заключений о способности их эксплуатации:

a). Исследование и эксплуатация средств защиты инфы от НСД сотрудниками ОРСиБИ ФК.

б). Подготовка писем в надлежащие Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 подразделения УФК по Забайкальскому краю о необходимости выполнения организационных мер по защите от НСД в согласовании с требованиями к подсистемам защиты ПДн и основными мероприятиями по организации и техническому обеспечению безопасности ПДн Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5.

[1, п.12, в]


До 30 августа 2010 г.

Служебная записка о результатах эксплуатации средств защиты инфы от НСД начальнику ОРСиБИ УФК по Забайкальскому краю.



4

Проведение Всероссийского совещания органов Федерального казначейства «Организация обеспечения безопасности Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 инфы при обработке индивидуальных данных в АС ФК».

[9]

Материалы совещания.



5

Установка и ввод в эксплуатацию средств защиты инфы в согласовании с эксплуатационной и технической документацией, контроль принятия организационных мер.

[1, п.12, г]


До 01 декабря 2010 г Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5.

Служебная записка начальнику ОРСиБИ ФК об установке технических средств и принятии организационных мер.

6

Обучение лиц, использующих средства защиты инфы, используемые в информационных системах, правилам работы с ними.

а). Проведение Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 занятий с сотрудниками подразделений УФК по Забайкальскому краю по работе с подсистемой защиты инфы.

б). Подготовка инструкций по работе с подсистемой защиты инфы (в т.ч. включающих организационные меры).

[1, п.12, д]


До 01 декабря Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 2009 г.

1. Аннотации по работе с ИСПДн УФК по Забайкальскому краю.

2. Росписи служащих в журнальчике учета лиц, допущенных к работе в ИСПДн УФК по Забайкальскому краю, за проведенный инструктаж.

7

Контроль за соблюдением критерий использования Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 средств защиты инфы, предусмотренных эксплуатационной и технической документацией:

а). Утверждение плана проверок АРМ служащих УФК по Забайкальскому краю на предмет соблюдения конфиденциальности ПДн.

в). Контроль электрического журнальчика воззваний к ПДн и проведение проверок Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 служащих в согласовании с планом проверок.


[1, п.12, з]


[1, п.15]

До 01 декабря 2010 г.


1. План проверок.



8

Разбирательство и составление заключений по фактам несоблюдения критерий хранения носителей индивидуальных данных, использования средств защиты инфы, которые Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 могут привести к нарушению конфиденциальности индивидуальных данных либо другим нарушениям, приводящим к понижению уровня защищенности индивидуальных данных, разработку и принятие мер по предотвращению вероятных небезопасных последствий схожих нарушений.


[1, п.12, и]


По необходимости

Материалы разбирательств Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 и заключения с принятыми мерами.



9

Описание подсистемы защиты индивидуальных данных.


[1, п.12, к]

До 15 декабря 2010 г.


Документ «Описание системы защиты индивидуальных данных».


10

Оценка соответствия ИСПДн по требованиям безопасности.

[5, п.3.11]


До 25 декабря 2010 г Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5.

Заключение о согласовании ИСПДн по требованиям безопасности. Форма заключения – зависимо от класса системы.



Первоисточники

1. Постановление Правительства Русской Федерации от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности индивидуальных данных при их обработке в Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 информационных системах индивидуальных данных».

2. Постановление Правительства Русской Федерации от 15.09.2008 №687 «Об утверждении положения об особенностях обработки индивидуальных данных, осуществляемой без использования средств автоматизации.

3. Приказ от 13.02.2008 «Об утверждении порядка проведения систематизации информационных систем индивидуальных данных» Федеральной службы Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 по техническому и экспертному контролю №55, Федеральной службы безопасности Русской Федерации №86, Министерства информационных технологий и связи Русской Федерации №20.

4. Советы по обеспечению безопасности индивидуальных данных при их обработке в информационных системах индивидуальных данных Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5, утвержденных заместителем директора ФСТЭК Рф 15.02.2008.

5. Главные мероприятия по организации и техническому обеспечению безопасности индивидуальных данных обрабатываемых в информационных системах индивидуальных данных, утвержденных заместителем директора ФСТЭК Рф 15.02.2008.

6. Базисная модель угроз безопасности индивидуальных Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 данных при их обработке в информационных системах индивидуальных данных, утвержденная заместителем директора ФСТЭК Рф 15.02.2008.

7. Методика определения животрепещущих угроз безопасности индивидуальных данных при их обработке в информационных системах индивидуальных данных, утвержденная заместителем Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 директора ФСТЭК Рф 14.02.2008.

8. Федеральное агентство правительственной связи и инфы при Президенте Русской Федерации. Приказ от 13.06.2001 №152 «Об утверждении аннотации об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с внедрением Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 средств криптографической защиты инфы с ограниченным доступом, не содержащей сведений, составляющих муниципальную тайну».

9. График проведения Всероссийских, межрегиональных и региональных совещаний территориальных органов Федерального казначейства в 2009 году, утвержденный управляющим Федерального казначейства 26 февраля 2009 г Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5.




Приложение № 15

к Положению по организации работы с индивидуальными данными в Управлении Федерального казначейства по Забайкальскому краю и отделениях Управления Федерального казначейства по Забайкальскому краю


Пример модели угроз безопасности индивидуальных данных для автоматической информационной системы Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 индивидуальных данных Управления Федерального казначейства по Забайкальскому краю



^ УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ЗАБАЙКАЛЬСКОМУ КРАЮ


Принято на заседании повсевременно действующей технической комиссии Управления Федерального казначейства по Забайкальскому краю по защите инфы с ограниченным доступом


Протокол от « » 2010 г. № ___.


Модель Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 угроз безопасности индивидуальных данных для автоматической информационной системы индивидуальных данных «АКСИОК»


Чита, 2010

Содержание


Сокращения

I. Общие положения.

II. Систематизация автоматической информационной системы индивидуальных данных «АКСИОК».

III. Опасности безопасности индивидуальных данных для автоматической информационной системы Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 индивидуальных данных «АКСИОК».

3.1. Опасности утечки инфы по техническим каналам.

3.2. Опасности несанкционированного доступа к индивидуальным данным, обрабатываемым в локальных информационных системах индивидуальных данных.

IV. Животрепещущие опасности безопасности индивидуальных данных для автоматической информационной Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 системы индивидуальных данных «АКСИОК».

Первоисточники

Сокращения


ИСПДн – информационная система индивидуальных данных

ИР – информационные ресурсы


I. Общие положения.

В реальном документе представлена систематизация автоматической информационной системы индивидуальных данных «АКСИОК» в согласовании с Приказом от 13.02.2008 «Об Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 утверждении порядка проведения систематизации информационных систем индивидуальных данных» Федеральной службы по техническому и экспертному контролю № 55, Федеральной службы безопасности Русской Федерации № 86, Министерства информационных технологий и связи Русской Федерации № 20.

Данный документ также содержит модель угроз безопасности индивидуальных Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 данных для автоматической информационной системы индивидуальных данных «АКСИОК», разработанную в согласовании с Базисной моделью угроз безопасности индивидуальных данных при их обработке в информационных системах индивидуальных данных, утвержденной заместителем ФСТЭК Рф 15.02.2008. Животрепещущие Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 опасности определены в согласовании с Методикой определения животрепещущих угроз безопасности индивидуальных данных при их обработке в информационных системах индивидуальных данных, утвержденной заместителем ФСТЭК Рф 14.02.2008.

Систематизация и модель угроз безопасности индивидуальных данных для Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 автоматической информационной системы индивидуальных данных «АКСИОК», выставленные в реальном документе, одобрены на заседании от ___.___2010 №___ повсевременно действующей технической комиссии по защите инфы с ограниченным доступом, сделанной в согласовании с Приказом Управляющего Управления Федерального Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 казначейства по Забайкальскому краю от ___.___2010 №___.


II. Систематизация автоматической информационной системы индивидуальных данных «АКСИОК».

Автоматическая информационная система индивидуальных данных «АКСИОК» является типовой, многопользовательской, локальной, не имеющей подключений к сетям связи общего Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 использования и (либо) сетям интернационального информационного обмена, с разграничением прав доступа, все технические средства которой находятся в границах Русской Федерации.

Автоматическая информационная система «АКСИОК» обладает последующими показателями: Хпд = 2, Хнпд = 3. На основании данных характеристик Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 автоматическая информационная система «АКСИОК» принадлежит к классу 3 – информационные системы, для которых нарушение данной свойства безопасности индивидуальных данных, обрабатываемых в их, может привести к малозначительным нехорошим последствиям для субъектов индивидуальных данных.


III Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5. Опасности безопасности индивидуальных данных для автоматической информационной системы индивидуальных данных «АКСИОК».

Вследствие систематизации автоматической информационной системы индивидуальных данных «АКСИОК», представленной в главе 2, в базу модели угроз безопасности индивидуальных данных, обрабатываемых в данной информационной системе Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 может быть положена типовая модель угроз безопасности индивидуальных данных, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям связи общего использования и (либо) сетям интернационального информационного обмена [2, п.6.3.]. При всем этом вероятна реализация Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 последующих угроз безопасности индивидуальных данных:

- угроз утечки инфы по техническим каналам;

- угроз несанкционированного доступа к индивидуальным данным, обрабатываемым в локальных информационных системах индивидуальных данных.


3.1. Опасности утечки инфы по техническим Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 каналам.

Опасности утечки инфы по техническим каналам представляют собой опасности утечки видовой инфы, где просмотр индивидуальных данных осуществляется сторонними лицами методом их конкретного наблюдения в служебных помещениях. Формально данная угроза может быть представлена Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 последующим образом:


Uутечки видовой инфы = , , .


3.2. Опасности несанкционированного доступа к индивидуальным данным, обрабатываемым в локальных информационных системах индивидуальных данных.

Опасности несанкционированного доступа к индивидуальным данным, обрабатываемым в локальных информационных системах индивидуальных данных Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5, содержат в себе:

Опасности доступа в операционную среду компьютера с внедрением штатного программного обеспечения могут быть:

Для данных угроз источниками могут являться внутренние нарушители, имеющие доступ к ИСПДн, а конкретно:

Уязвимостями ИСПДн при всем этом могут быть:

Методом реализации опасности может быть внедрение имеющихся уязвимостей программно-аппаратного обеспечения ИСПДн.

Объектом воздействия Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 может быть:

Может быть оказано последующее деструктивное воздействие:

Формально опасности, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций операционной системы либо прикладных программ могут быть представлены последующим образом:


- Uнесанкционированного доступа к интегрированным носителям Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 = , , , , ;


- Uнесанкционированного доступа к оперативки = , , , , ;


Формально опасности «анализа сетевого трафика» с перехватом передаваемой по сети инфы могут быть представлены последующим образом:


- Uнарушения конфиденциальности средством анализа «сетевого трафика» = , , , , ;


- Uнарушения целостности средством анализа «сетевого трафика» = , , , , ;


- Uнарушения Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 доступности средством анализа «сетевого трафика» = , , , , ;


Формально опасности выявления паролей могут быть представлены последующим образом:


- Uдоступа к базе средством выявления паролей сотрудниками = , , , , ;


- Uдоступа к базе средством выявления паролей программерами = , , , , ;


- Uдоступа к оперативки средством Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 выявления паролей сотрудниками = , , , , ;


- Uдоступа к оперативки средством выявления паролей программерами = , , , , .


Формально опасности удаленного пуска приложений могут быть представлены последующим образом:


- Uнарушение конфиденциальности средством удаленного пуска приложений = , , , , ;


- Uнарушение целостности средством удаленного Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 пуска приложений = , , , , .


Опасности внедрения вредных программ связаны со всеми классами вредных программ в согласовании с рисунком 15 Базисной модели угроз безопасности индивидуальных данных при их обработке в информационных системах индивидуальных данных, утвержденной заместителем ФСТЭК Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 Рф 15.02.2008.

Источниками опасности при всем этом могут быть:

Методами инициирования при всем этом могут являться последующие:

Объектом воздействия являются:

Формально опасности внедрения вредных программ могут быть представлены последующим образом:


- Uвнедрения вредных программ = , , , .


IV. Животрепещущие опасности безопасности индивидуальных Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 данных для автоматической информационной системы индивидуальных данных «АКСИОК».

Определим уровень начальной защищенности автоматической информационной системы индивидуальных данных «АКСИОК» с учетом инфы представленной в таблице 4.1.


Таблица 4.1. Характеристики автоматической информационной системы индивидуальных данных «АКСИОК» для определения Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 уровня начальной защищенности.

Тип технической (эксплуатационной) свойства

Техно (эксплуатационная) черта

Уровень защищенности

По территориальному размещению

Локальная ИСПДн, развернутая в границах нескольких близко расположенных построек

Средний

По наличию соединения с сетями общего использования

ИСПДн, имеющая многоточечный выход в сеть общего Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 использования

Маленький

По интегрированным операциям с записями баз индивидуальных данных

Запись, удаление, сортировка

Средний

По разграничению доступа к индивидуальным данным

ИСПДн, к которой имеет доступ определенный список служащих организации, являющейся обладателем ИСПДн

Средний

По наличию соединений с другими базами ПДн Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 других ИСПДн

ИСПДн, в какой употребляется одна база ПДн, принадлежащая организации – обладателю данной ИСПДн.

Высочайший

По уровню обобщения ПДн

ИСПДн, в какой предоставляемые юзеру данные не являются обезличенными

Маленький

По объему ПДн, которые предоставляются Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 посторонним юзерам ИСПДн без подготовительной обработки

ИСПДн, не предоставляющие никакой инфы

Высочайший


Из таблицы 4.1. следует, что автоматическая информационная система «АКСИОК» по двум типам черт имеет высочайший уровень защищенности, по трем – средний, и по двум – маленький. Таким макаром Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5, в согласовании с Методикой определения животрепещущих угроз безопасности индивидуальных данных при их обработке в информационных системах индивидуальных данных, утвержденной заместителем ФСТЭК Рф 14.02.2008, автоматическая информационная система индивидуальных данных «АКСИОК» имеет средний уровень начальной защищенности Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5, которой ставится в соответствие числовой коэффициент Y1 = 5.

Приобретенная на базе экспертных оценок, для обрисованных в параграфе 3 угроз безопасности индивидуальных данных автоматической информационной системы индивидуальных данных «АКСИОК», частота их реализации представлена в Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 таблице 4.2.


Таблица 4.2. Частота реализации угроз безопасности индивидуальных данных автоматической информационной системы индивидуальных данных «АКСИОК».

Угроза

Частота реализации

Y2


Uутечки видовой инфы = , ,


Высочайшая возможность

10


Uнесанкционированного доступа к интегрированным носителям = , , , ,


Маловероятно

0


Uнесанкционированного доступа к оперативки = , , , ,


Низкая возможность

2


Uнарушения конфиденциальности Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 средством анализа «сетевого трафика» = , , , ,


Средняя возможность

5


Uнарушения целостности средством анализа «сетевого трафика» = , , , ,


Низкая возможность

2


Uнарушения доступности средством анализа «сетевого трафика» = , , , ,


Средняя возможность

5


Uдоступа к базе средством выявления паролей сотрудниками = , , , ,


Низкая возможность

2


Uдоступа к базе средством Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 выявления паролей программерами = , , , ,


Низкая возможность

2


Uдоступа к оперативки средством выявления паролей сотрудниками = , , , ,


Средняя возможность

5


Uдоступа к оперативки средством выявления паролей программерами = , , , ,


Средняя возможность

5


Uнарушение конфиденциальности средством удаленного пуска приложений = , , , ,


Средняя возможность

5


Uнарушение целостности средством удаленного пуска Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 приложений = , , , ,


Низкая возможность

2


Uвнедрения вредных программ = , , ,


Высочайшая возможность

10


С учетом частот реализации угроз, представленных в таблице 4.2., коэффициент реализуемости опасности Y, рассчитанный по формуле Y=(Y1 +Y2)/20, для каждой опасности имеет вид, представленный в таблице 4.3. В Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 данной таблице для каждой опасности безопасности индивидуальных данных автоматической информационной системы индивидуальных данных «АКСИОК» приводится также вербальная интерпретация коэффициента реализуемости опасности.


Таблица 4.3. Частота реализации угроз безопасности индивидуальных данных автоматической информационной Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 системы индивидуальных данных «АКСИОК» с вербальной интерпретацией.

Угроза

Y2

Вербальная интерпретация (возможность реализации опасности)


Uутечки видовой инфы = , ,


0.75

Высочайшая


Uнесанкционированного доступа к интегрированным носителям = , , , ,


0.25

Низкая


Uнесанкционированного доступа к оперативки = , , , ,


0.35

Средняя


Uнарушения конфиденциальности средством анализа «сетевого трафика» = , , , ,


0.50

Средняя


Uнарушения Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 целостности средством анализа «сетевого трафика» = , , , ,


0.35

Средняя


Uнарушения доступности средством анализа «сетевого трафика» = , , , ,


0.50

Средняя


Uдоступа к базе средством выявления паролей сотрудниками = , , , ,


0.35

Средняя


Uдоступа к базе средством выявления паролей программерами = , , , ,


0.35

Средняя


Uдоступа к оперативки средством выявления паролей сотрудниками Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 = , , , ,


0.50

Средняя


Uдоступа к оперативки средством выявления паролей программерами = , , , ,


0.50

Средняя


Uнарушение конфиденциальности средством удаленного пуска приложений = , , , ,


0.50

Средняя


Uнарушение целостности средством удаленного пуска приложений = , , , ,


0.35

Средняя


Uвнедрения вредных программ = , , ,


0.75

Высочайшая


С учетом вышеприведенных расчетов, на основании Методики определения животрепещущих угроз безопасности Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 индивидуальных данных при их обработке в информационных системах индивидуальных данных, утвержденной заместителем ФСТЭК Рф 14.02.2008 список угроз безопасности индивидуальных данных c указанием их актуальности представлен в таблице 4.4.


Таблица 4.4. Список угроз безопасности индивидуальных данных для автоматической Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 информационной системы индивидуальных данных «АКСИОК» с указанием их актуальности.

Угроза

Возможность реализации опасности

Опасность опасности

Актуальность опасности


Uутечки видовой инфы = , ,


Высочайшая

Низкая

Животрепещущая


Uнесанкционированного доступа к интегрированным носителям = , , , ,


Низкая

Средняя

Неактуальная


Uнесанкционированного доступа к оперативки = , , , ,


Средняя

Низкая

Неактуальная


Uнарушения конфиденциальности средством анализа Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 «сетевого трафика» = , , , ,


Средняя

Средняя

Животрепещущая


Uнарушения целостности средством анализа «сетевого трафика» = , , , ,


Средняя

Средняя

Животрепещущая


Uнарушения доступности средством анализа «сетевого трафика» = , , , ,


Средняя

Низкая

Неактуальная


Uдоступа к базе средством выявления паролей сотрудниками = , , , ,


Средняя

Средняя

Животрепещущая


Uдоступа к базе средством выявления паролей программерами = , , , ,


Средняя

Средняя

Животрепещущая


Uдоступа к оперативки средством Положение по организации работы с персональными данными в управлении федерального казначейства по забайкальскому краю и отделениях управления федерального казначейства по забайкальскому краю - страница 5 выявления паролей сотрудниками = , , , ,


Средняя

Низкая

Неактуальная


Uдоступа к оперативки средством выявления паролей программерами = , , , ,


Средняя

Низкая

Неактуальная


Uнарушение конфиденциальности средством удаленного пуска приложений = , , , ,


Средняя

Средняя

Животрепещущая


Uнарушение целостности средством удаленного пуска приложений = , , , ,


Средняя

Средняя

Животрепещущая


Uвнедрения вредных программ = , , ,


Высочайшая

Низкая

Животрепещущая


polozhenie-po-organizacii-ekspluatacionno-tehnicheskogo-obsluzhivaniya-sistem-opovesheniya-naseleniya-ministr-rossijskoj-federacii-po-delam-grazhdanskoj-oboroni-chrezvichajnim.html
polozhenie-po-organizacii-i-vedeniyu-vospitatelnoj-raboti-v-sisteme-mchs-rossii.html
polozhenie-po-organizacii-raboti-s-personalnimi-dannimi-v-upravlenii-federalnogo-kaznachejstva-po-zabajkalskomu-krayu-i-otdeleniyah-upravleniya-federalnogo-kaznachejstva-po-zabajkalskomu-krayu-stranica-5.html