- •Предпроектное обследование клиентской испДн городской управляющей компании
- •1. Общие сведения об организации
- •2. Необходимость и цели обработки пДн
- •3. Состав, категория и объём персональных данных
- •4. Конфигурация и топология испДн
- •5. Режимы работы испДн
- •6. Условия расположения испДн относительно контролируемой зоны
- •7. Технические средства и системы
- •8. Общесистемные и прикладные программные средства
- •9. Технологический процесс обработки пДн
- •10. Степень участия персонала в обработке пДн
- •11. Определение типа актуальных угроз
- •12. Определение уровня защищённости
9. Технологический процесс обработки пДн
Сбор ПДн: персональные данные жильцов поступают при заключении договоров управления в бумажном и электронном виде через приёмную, а также через ЛК жильца. Данные вносятся в 1С:ЖКХ.
Обработка: начисление ЖКУ, формирование квитанций, учёт оплат и задолженностей – выполняется в 1С:ЖКХ. Данные передаются в ГИС ЖКХ. Показания IoT-счётчиков автоматически поступают в диспетчерскую платформу.
Хранение: электронные данные хранятся на сервере в зашифрованном виде (КриптоПро, ГОСТ 34.12-2018). Резервные копии – на NAS и в облаке. Бумажные документы – в архивной комнате в металлических шкафах.
Передача: данные передаются в ГИС ЖКХ по защищённым каналам, в Яндекс.Диск – в зашифрованном виде. Вход в ЛК жильца через HTTPS + HSTS.
Уничтожение: в соответствии с утверждённым регламентом сбора, хранения и уничтожения ПДн.
10. Степень участия персонала в обработке пДн
Должность / роль |
Доступ к ПДн |
Функции |
Начальник УК |
Полный доступ |
Общее управление, подписание договоров |
Бухгалтер |
Финансовые данные, ФИО, адреса |
Начисления, оплаты, отчётность |
Администратор приёмной |
ФИО, контакты, адреса в ограниченном виде |
Приём посетителей, выдача квитанций |
Инженер |
Технические данные, адреса |
Работа с техсхемами, IoT-данными |
IT-специалист |
Административный доступ к инфраструктуре |
Обслуживание системы |
Заместитель начальника по безопасности |
Аудит доступа к ПДн |
Мониторинг событий ИБ |
11. Определение типа актуальных угроз
В ИСПДн УК используется лицензионное системное ПО – Windows 10, лицензионное прикладное ПО – 1С:ЖКХ, Kaspersky.
Обновления ПО поставляются централизованно через IT-специалиста, запрещена пользовательская установка ПО через групповые политики. 1С обновляется только с проверенной цифровой подписью. Нет оснований считать актуальными угрозы, связанные с наличием НДВ в системном или прикладном ПО, следовательно для ИСПДн актуальны угрозы 3-го типа.
12. Определение уровня защищённости
Исходные данные для определения уровня защищенности:
Параметр |
Значение |
Категория ПДн |
Иные, специальные |
Категория субъектов |
клиенты |
Объём обрабатываемых ПДн |
Менее 100 000 субъектов |
Тип актуальных угроз |
3-й тип |
Для информационной системы с актуальным угрозами 3-го типа, и системой, которая обрабатывает иные и специальные категории ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора, устанавливается уровень защищенности УЗ-3, согласно ПП № 1119.
Приложение Б
(обязательное)
Акт определения уровня защищённости персональных данных при их обработке в информационной системе персональных данных «Клиентская ИСПДн Городской управляющей компании»
|
УТВЕРЖДАЮ |
|
Начальник Городской управляющей компании |
|
____________ Я.В. Пчелкин |
|
«___» ___________ 2026 г. |
АКТ
определения уровня защищённости персональных данных при их обработке в информационной системе персональных данных «Клиентская ИСПДн Городской управляющей компании»
В соответствии с приказом №__ от «___» ___________ 202_ г., и на основании Постановления Правительства РФ от 01.11.12 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», комиссия в составе: председателя комиссии - заместителя директора по информационной безопасности Устинова А.О. и членов комиссии - системного администратора Крюкова И.А, инженера Кабачкова И.В., провели определение уровня защищенности персональных данных в информационной системе персональных данных «Клиентская ИСПДн Городской управляющей компании».
Комиссия определила:
Вид информационной системы – информационная система, обрабатывающая иные и специальные категории персональных данных лиц, не являющихся сотрудниками оператора.
Локальная информационная система, многопользовательская, с разграничением прав доступа к информации, технические средства которых расположены в пределах РФ.
Количество обрабатываемых субъектов персональных данных – менее 100 000.
Актуальные угрозы:
угрозы 1-го типа – актуальны;
угрозы 2-го типа – не актуальны;
угрозы 3-го типа – не актуальны.
Установленный уровень защищённости – в соответствии с п. 9 (а) Постановления Правительства РФ от 01.11.12 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» – 1-й уровень защищённости.
Председатель комиссии: |
_____________ Устинов А.О. |
Члены комиссии: |
_____________ Крюков И.А |
|
_____________ Кабачков И.В. |
Приложение В
(обязательное)
Перечень информационных систем персональных данных, функционирующих в Городской управляющей компании
ПЕРЕЧЕНЬ
информационных систем персональных данных, функционирующих в Городской управляющей компании
№ |
Наименование ИСПДн |
Перечень автоматизированных систем, входящих в ИСПДн |
Категория обрабатываемых ПДн |
Тип ИСПДн |
Класс ИСПДн |
1 |
ИСПДн «Клиентская база» |
«1С:ЖКХ»: модуль учёта жильцов, лицевых счетов и начислений |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, без использования технологии удалённого доступа. |
Класс 3 |
2 |
ИСПДн «Бухгалтерия» |
«1С:Бухгалтерия» :модуль расчёта заработной платы и кадрового учёта |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, без использования технологии удалённого доступа. |
Класс 3 |
3 |
ИСПДн «Личный кабинет жильца» |
Веб-приложение ЛК: информирование жильцов, приём платежей онлайн |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, с использованием технологии удалённого доступа. |
Класс 3 |
4 |
ИСПДн «ГИС ЖКХ» |
ГИС ЖКХ: передача данных в государственную информационную систему жилищно-коммунального хозяйства |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, с использованием технологии удалённого доступа. |
Класс 3 |
5 |
ИСПДн «Диспетчерская платформа» |
Диспетчерская платформа: управление заявками, мониторинг IoT-устройств |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, без использования технологии удалённого доступа. |
Класс 3 |
6 |
ИСПДн «Электронный документооборот» |
Яндекс.Почта, Яндекс.Диск: корпоративная переписка, хранение документов |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, с использованием технологии удалённого доступа. |
Класс 3 |
7 |
ИСПДн «Касса» |
Программа кассового обслуживания:приём платежей наличными в приёмной |
Персональные данные, которые помимо идентификации субъекта персональных данных, позволяют получать о нём дополнительную информацию. |
Многопользовательская локальная ИС с разграничением прав доступа пользователей, без использования технологии удалённого доступа. |
Класс 3 |