- •Выбор мер по обеспечению безопасности пДн в испДн «Клиентская база» ао «Городская управляющая компания»
- •1. Исходные данные
- •2. Базовый набор мер для уз-1
- •3. Перечень локальных документов и средств защиты информации
- •1. Общие положения
- •2. Термины и определения
- •3. Лица, ответственные за выявление инцидентов и реагирование на них (инц.1)
- •4. Классификация инцидентов иб
- •5. Порядок обнаружения, идентификации и регистрации инцидентов (инц.2)
- •6. Порядок реагирования на инциденты иб
- •7. Анализ инцидентов (инц.4)
- •8. Планирование мер по предотвращению повторного возникновения инцидентов (инц.6)
- •9. Журнал инцидентов иб
- •10. Ответственность
- •11. Заключительные положения
7. Анализ инцидентов (инц.4)
7.1. По результатам расследования каждого инцидента критического и высокого уровня ответственный за реагирование составляет Акт расследования инцидента ИБ, содержащий:
• хронологию инцидента,
• определение вида нарушителя и способа реализации угрозы (в соответствии с Моделью угроз),
• определение источников и причин инцидента,
• перечень затронутых ПДн и субъектов ПДн,
• оценку последствий (ущерб физическим лицам, ущерб организации),
• оценку эффективности применённых мер реагирования,
• рекомендации по предотвращению повторения.
7.2. Акт расследования представляется директору АО «Городская управляющая компания» в течение 5 рабочих дней после закрытия инцидента.
7.3. В случае подтверждения утечки ПДн оператор обязан уведомить Роскомнадзор в соответствии с требованиями ч. 3.1 ст. 21 ФЗ-152.
8. Планирование мер по предотвращению повторного возникновения инцидентов (инц.6)
8.1. На основании результатов анализа инцидентов ответственный за реагирование разрабатывает корректирующие меры, направленные на:
• устранение причин, приведших к инциденту,
• совершенствование настроек СЗИ (Kaspersky, R-Vision, ViPNet, КриптоПро),
• корректировку правил разграничения доступа,
• обновление Модели угроз при выявлении новых актуальных угроз,
• проведение дополнительного инструктажа работников.
8.2. Результаты планирования документируются в План мероприятий по устранению причин инцидента и утверждаются директором.
8.3. Не реже одного раза в квартал проводится анализ статистики инцидентов ИБ с выработкой системных рекомендаций по совершенствованию системы защиты ПДн.
9. Журнал инцидентов иб
9.1. Форма журнала инцидентов ИБ
№ |
Дата и время обнаружения |
Источник обнаружения |
Описание инцидента |
Уровень критичности |
Затронутые объекты |
Ответственный |
Дата устранения |
Статус |
Принятые меры |
1 |
… |
… |
… |
… |
… |
… |
… |
… |
… |
9.2. Журнал ведётся в электронном виде в SIEM-системе R-Vision и дублируется в бумажном виде. Срок хранения записей – не менее 3 лет.
10. Ответственность
10.1. Работники, нарушившие требования настоящего Регламента, несут дисциплинарную ответственность в соответствии с трудовым законодательством Российской Федерации.
10.2. В случае причинения ущерба вследствие нарушения требований Регламента виновные лица могут быть привлечены к материальной и иной ответственности в соответствии с законодательством Российской Федерации.
11. Заключительные положения
11.1. Настоящий Регламент вступает в силу с момента утверждения директором АО «Городская управляющая компания».
11.2. Пересмотр Регламента осуществляется не реже одного раза в год, а также при изменении нормативной правовой базы, модели угроз или состава СЗИ.
11.3. Все работники, имеющие доступ к ИСПДн «Клиентская база», должны быть ознакомлены с настоящим Регламентом под подпись.
РАЗРАБОТАЛ: |
|
Специалист по информационной безопасности |
_____________ |
|
«___» ___________ 2026 г. |
СОГЛАСОВАНО: |
|
Заместитель начальника по безопасности |
_____________ Устинов А.О. |
|
«___» ___________ 2026 г. |
Приложение В
(обязательное)
Перечень информационных систем персональных данных, функционирующих в Городской управляющей компании
ПЕРЕЧЕНЬ
информационных систем персональных данных, функционирующих в Городской управляющей компании
№ |
Наименование ИСПДн |
Перечень автоматизированных систем, входящих в ИСПДн |
Категория обрабатываемых ПДн |
Тип ИСПДн |
Класс ИСПДн |
1 |
ИСПДн «Клиентская база» |
«1С:ЖКХ»: модуль учёта жильцов, лицевых счетов и начислений |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, без использования технологии удалённого доступа. |
Класс 3 |
2 |
ИСПДн «Бухгалтерия» |
«1С:Бухгалтерия» :модуль расчёта заработной платы и кадрового учёта |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, без использования технологии удалённого доступа. |
Класс 3 |
3 |
ИСПДн «Личный кабинет жильца» |
Веб-приложение ЛК: информирование жильцов, приём платежей онлайн |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, с использованием технологии удалённого доступа. |
Класс 3 |
4 |
ИСПДн «ГИС ЖКХ» |
ГИС ЖКХ: передача данных в государственную информационную систему жилищно-коммунального хозяйства |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, с использованием технологии удалённого доступа. |
Класс 3 |
5 |
ИСПДн «Диспетчерская платформа» |
Диспетчерская платформа: управление заявками, мониторинг IoT-устройств |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, без использования технологии удалённого доступа. |
Класс 3 |
6 |
ИСПДн «Электронный документооборот» |
Яндекс.Почта, Яндекс.Диск: корпоративная переписка, хранение документов |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, с использованием технологии удалённого доступа. |
Класс 3 |
7 |
ИСПДн «Касса» |
Программа кассового обслуживания:приём платежей наличными в приёмной |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, без использования технологии удалённого доступа. |
Класс 3 |