Отчет 1 ИБ
.pdfТема: нормативно-правовая база в сфере защиты персональных данных (ПДн)
в информационных системах персональных данных (ИСПДн).
Цель: формирование навыка анализа ИСПДн и определения уровня защищённости ПДн.
Задание:
определиться с объектом защиты (ОЗ);
придумать описание заданного ОЗ;
составить перечень ПДн, подлежащих защите в ИСПДн;
составить акты определения уровней защищенности ПДн для каждой
ИСПДн заданного ОЗ.
Описание объекта защиты информации – страховой компании
Представлен объект защиты (ОЗ) – страховая компания ООО «Надежный щит». Штат организации 20 человек. Выбор данного ОЗ обусловлен следующими факторами в страховой компании:
сотрудники работают с конфиденциальной информацией, а именно:
1.с коммерческой тайной и персональными данными клиентов;
2.с персональными данными сотрудников;
реализован электронный документооборот;
имеется помещение для конфиденциальных бесед;
имеются рабочие документы на бумажных носителях.
Страховая компания расположена в одноэтажном здании по адресу Омская область, г. Омск, ул. Чокана Валиханова, 6. Несущие стены здания выполнены из монолитного железобетона толщиной 300 мм, перегородки — из кирпича толщиной 150 мм. Здание разделено на 3 блока, каждый из которых имеет отдельный вход со стороны улицы. Каждый блок разделен несущей стеной,
усиленной шумоизоляцией. Агентство занимает все здание и состоит из 7
помещений. Общая площадь помещений агентства 180 м2.
Прилегающая территория представляет собой асфальтированную дорогу для пешеходов с одной стороны и противоположной стороны проезжую часть (со стороны входа). С торца здания оборудована парковка.
Страховая компания ООО «Надежный щит» включает следующие объекты защиты информации:
1) Конфиденциальная информация.
Конфиденциальная информация
О внутренней деятельности агентства персональные данные сотрудников;
коммерческая тайна:
-стратегия развития;
-финансовая информация;
-аналитическая информация о клиентах и сотрудниках;
-процедуры и регламенты;
-договоры перестрахования
О внешней деятельности агентства персональные данные клиентов;
коммерческая тайна:
- информация о конкурентах; -страховые случаи и выплаты;
-информация, касающаяся договоров страхования
- информация, касающаяся судебных дел, в том числе переговоры (речевая информация).
2) Ресурсные объекты.
Автоматизированные рабочие места (АРМ) – 10 штук, состоящие из компьютеров со специализированным программным обеспечением, обрабатывающие и систематизирующие информацию, содержащую:
-коммерческую тайну: финансовую; аналитическую о клиентах и сотрудниках; процедуры и регламенты; договора; по судебным делам; построение и ведение отчётов исполнительного производства;
-персональные данные сотрудников (в помещении 2 находится АРМ № 1 и АРМ № 2) и клиентов (в помещении 4 находится АРМ № 3 и АРМ № 4). Внешние пользователи, не являющиеся сотрудниками организации, не имеют доступ к персональным данным сотрудников и клиентов.
Все АРМ организации объединены в локальную сеть, имеют доступ к интернету. АРМ № 1 и АРМ № 2 осуществляют передачу данных в другие организации (Федеральная налоговая служба России). Среда виртуализации отсутствует.
Сервер – 1 штука.
3) Физические объекты.
Помещения страховой компании.
4) Пользовательские объекты.
Персонал, обслуживающий информационную систему.
Перечень ПДн, подлежащих защите в ИСПДн
Название ИСПДн |
Содержащиеся данные |
|
|
ИСПДн «Клиенты» |
ФИО страхователя/застрахованного лица, дата |
|
рождения, серия и номер паспорта, адрес регистрации |
|
и проживания, номер телефона, адрес электронной |
|
почты, ИНН, СНИЛС, данные страхового полиса, |
|
информация о страховых случаях |
|
|
ИСПДн |
ФИО сотрудника, серия и номер паспорта сотрудника, |
«Сотрудники» |
адрес регистрации сотрудника, адрес электронной |
|
почты сотрудника, номер телефона сотрудника, ИНН |
|
сотрудника, СНИЛС сотрудника, размер зарплаты |
|
сотрудника, должность сотрудника, информация об |
|
образовании сотрудника |
|
|
Конфиденциально Экз. № ___
Директор ООО «Надежный щит»
________________ М.А. Сидоров
«02» февраля 2026 г.
АКТ
определения уровня защищенности персональных данных, обрабатываемых в
информационной системе персональных данных «Клиенты»
В соответствии с требованиями Федерального закона от 27 июля 2006 года № 152ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» комиссией, утвержденной распоряжением от 2 февраля 2026 года, в составе:
№ |
Фамилия, |
имя, |
Должность |
Примечание |
п/п |
отчество |
|
||
|
|
|
||
|
|
|
|
|
1 |
Петров |
Сергей |
Руководитель отдела страхования |
Председатель |
|
Владимирович |
|
комиссии |
|
|
|
|
|
|
2 |
Сидорова |
Анна |
Системный администратор |
Член комиссии |
|
Юрьевна |
|
|
|
|
|
|
|
|
3 |
Козлов |
Дмитрий |
Ответственный по защите информации |
Член комиссии |
|
Игоревич |
|
|
|
|
|
|
|
|
было проведено обследование ИСПДн «Клиенты».
Рассмотрев исходные данные ИСПДн «Клиенты», комиссия выявила следующие характеристики, приведенные в таблице 1.
Таблица 1 – Характеристики ИСПДн «Клиенты»
Исходные данные ИСПДн |
ИСПДн «Клиенты» |
|
|
||
|
|
|
|
|
|
Категория |
обрабатываемых |
Иные ПДн |
|
|
|
персональных данных |
(согласно п.5 постановления правительства РФ от |
||||
|
|
||||
|
|
1.11.2012 № 1119) |
|
|
|
|
|
|
|
|
|
Объем |
обрабатываемых |
В |
информационной |
системе |
одновременно |
персональных данных |
обрабатываются данные менее чем 100 000 субъектов ПДн |
||||
|
|
||||
Категории субъектов ПДн |
Персональные данные субъектов ПДн, не являющихся |
||||
|
|
сотрудниками оператора (СО) |
|
|
|
|
|
||||
Категория ИСПДн |
Информационная система, обрабатывающая иные |
||||
|
|
категории ПДн |
|
|
|
|
|
||||
Тип актуальных угроз |
Угрозы 3-го типа (угрозы, не связанные с наличием |
||||
|
|
недокументированных |
(недекларированных) |
||
|
|
возможностей в системном и прикладном программном |
|||
|
|
обеспечении, используемом в информационной системе) |
|||
|
|
(согласно п. 6 постановления правительства РФ от |
|||
|
|
1.11.2012 № 1119) |
|
|
|
|
|
|
|
|
|
Исходя из положений «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства РФ от 1 ноября 2012 г. № 1119, комиссия решила персональным данным, обрабатываемым в ИСПДн «Клиенты», присвоить 4 уровень защищенности.
Настоящий акт составлен в единственном экземпляре. |
|
Председатель комиссии: |
|
Руководитель отдела страхования |
С.В. Петров |
Члены комиссии: |
|
Системный администратор |
А.Ю. Сидорова |
Ответственный по защите информации |
Д.И. Козлов |
Конфиденциально Экз. № ___
Директор ООО «Надежный щит»
________________ М.А. Сидоров
«02» февраля 2026 г.
АКТ
определения уровня защищенности персональных данных, обрабатываемых в
информационной системе персональных данных «Сотрудники»
В соответствии с требованиями Федерального закона от 27 июля 2006 года № 152ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» комиссией, утвержденной распоряжением от 2 февраля 2026 года, в составе:
№ |
Фамилия, |
имя, |
Должность |
Примечание |
п/п |
отчество |
|
||
|
|
|
||
|
|
|
|
|
1 |
Петров |
Сергей |
Руководитель отдела страхования |
Председатель |
|
Владимирович |
|
комиссии |
|
|
|
|
|
|
2 |
Сидорова |
Анна |
Системный администратор |
Член комиссии |
|
Юрьевна |
|
|
|
|
|
|
|
|
3 |
Козлов |
Дмитрий |
Ответственный по защите информации |
Член комиссии |
|
Игоревич |
|
|
|
|
|
|
|
|
было проведено обследование ИСПДн «Сотрудники».
Рассмотрев исходные данные ИСПДн «Сотрудники», комиссия выявила следующие характеристики, приведенные в таблице 1.
Таблица 1 – Характеристики ИСПДн «Сотрудники»
Исходные данные ИСПДн |
ИСПДн «Сотрудники» |
|
|
||
|
|
|
|
|
|
Категория |
обрабатываемых |
Иные ПДн |
|
|
|
персональных данных |
(согласно п.5 постановления правительства РФ от |
||||
|
|
||||
|
|
1.11.2012 № 1119) |
|
|
|
|
|
|
|
|
|
Объем |
обрабатываемых |
В |
информационной |
системе |
одновременно |
персональных данных |
обрабатываются данные менее чем 100 000 субъектов |
||||
|
|
ПДн |
|
|
|
|
|
||||
Категории субъектов ПДн |
Персональные данные субъектов ПДн, являющихся |
||||
|
|
сотрудниками оператора (СО) |
|
|
|
|
|
||||
Категория ИСПДн |
Информационная система, обрабатывающая иные |
||||
|
|
категории ПДн |
|
|
|
|
|
||||
Тип актуальных угроз |
Угрозы 3-го типа (угрозы, не связанные с наличием |
||||
|
|
недокументированных |
(недекларированных) |
||
|
|
возможностей в системном и прикладном программном |
|||
|
|
обеспечении, используемом в информационной системе) |
|||
|
|
(согласно п. 6 постановления правительства РФ от |
|||
|
|
1.11.2012 № 1119) |
|
|
|
|
|
|
|
|
|
Исходя из положений «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства РФ от 1 ноября 2012 г. № 1119, комиссия решила персональным данным, обрабатываемым в ИСПДн «Сотрудники», присвоить 4 уровень защищенности.
Настоящий акт составлен в единственном экземпляре. |
|
Председатель комиссии: |
|
Руководитель отдела страхования |
С.В. Петров |
Члены комиссии: |
|
Системный администратор |
А.Ю. Сидорова |
Ответственный по защите информации |
Д.И. Козлов |
