Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Обследование проводилось с 6 февраля по 5 марта 2017 года на территории Акционерного общество «Акционерная компания «Железные дороги Якутии» в городе Алдан в отделе бухгалтерского учета и отчетности.

В ходе обследования информационной системы определялись:

1. Состав и структура объектов защиты;

2. Требуемый уровень защищенности ПДн;

3. Конфигурация ИСПДн;

4. Режим обработки ПДн;

5. Перечень лиц, участвующих в обработке ПДн;

6. Права доступа лиц, допущенных к обработке ПДн;

7. Существующие меры защиты информации.

Данные обследования служат информационной основой для других проектных и организационно-распорядительных документов.

1. Общая информация

Отдел бухгалтерского учета и отчетности является структурным подразделением в акционерном обществе «Акционерная компания «Железные дороги Якутии» и подчиняется генеральному директору компании.

ИСПДн отдела позволяет осуществлять сбор, хранение, использование и уничтожение персональных данных работников в базе данных, с целью ведения учета хозяйственной деятельности и отдельных аспектов кадрового делопроизводства, проведения расчетов заработных плат сотрудников, формирования различных внутренних отчетов, изменения и создания первичных и отчетных документов по аспектам кадрового делопроизводства.

Основными задачами отдела бухгалтерского учета и отчетности являются:

1.Формирование полной и достоверной информации о хозяйственных процессах и результатах деятельности предприятия, необходимой для оперативного руководства и управления, а также для использования налоговыми и банковскими органами, инвесторами, поставщиками, покупателями, кредиторами и иными заинтересованными организациями и лицами;

2. Обеспечения контроля за наличием и движением имущества и рациональным использованием производственных ресурсов в соответствии с утвержденными нормами, нормативами и сметами;

3. Своевременное предупреждение негативных явлений в хозяйственно-финансовой деятельности;

4. Выявление внутрипроизводственных резервов, их мобилизация и эффективное использование;

5. Оценка фактического использования выявленных резервов.

Отдел хранит, обрабатывает и передает данные, относящиеся к прямо или косвенно определенному или определяемому лицу, что попадает под действие Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Правовым основанием обработки персональных данных в компании являются следующие нормативно-правовые акты:

• «Трудовой кодекс РФ» от 30.12.2001 г. №197-ФЗ;

• «Гражданский кодекс РФ»;

• Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;

• Закон «О естественных монополиях» от 17 августа 1995 г. № 147-ФЗ

• Закон «О федеральном железнодорожном транспорте в Российской Федерации» от 10 января 2003 г. № 17-ФЗ;

• Федеральный закон «Об особенностях управления имуществом железнодорожного транспорта» от 27 февраля 2003 г. № 29-ФЗ;

• Постановление Правительства РФ от 02.03.2005 N 111 (ред. от 17.06.2015) "Об утверждении Правил оказания услуг по перевозкам на железнодорожном транспорте пассажиров, а также грузов, багажа и грузобагажа для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности";

• другие нормативно-правовые акты.

• Конституцией Российской Федерации;

• Бюджетным кодексом Российской Федерации;

• Федеральным законом Российской Федерации от 06.12.2012 № 402-ФЗ «О бухгалтерском учете»;

• Приказ Министерства финансов Российской Федерации от 06.12.2010 № 162н «Об утверждении Плана счетов бюджетного учета и Инструкции по его применению»;

• Приказом Министерства финансов Российской Федерации от 28.12.2010 № 191н «Об утверждении Инструкции о порядке составления и представления годовой, квартальной и месячной отчетности об исполнении бюджетов бюджетной системы Российской Федерации»;

• Приказом Министерства финансов Российской Федерации от 01.07.2013 № 65н (ред. от 25.12.2015г.) «Об утверждении Указаний о порядке применения бюджетной классификации Российской Федерации»;

Элементы отдела ИСПДн расположены в одном здании, находящихся по адресу: 678900, Республика САХА (Якутия), г. Алдан, ул. Маяковского, 14

Рис. 3.1.1 – Местоположение здания компании.

1. Параметры информационной системы отдела.

В информационной системе отдела обрабатываются персональные данные иной категории персональных данных. Персональные данные обрабатываются на 5 АРМ и 1 сервере.

Персональные данные хранятся на сервере БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.

Параметры информационной системы отдела представлены в таблице 4.1.

Таблица 4.1– Параметры информационной системы отдела

В ходе обследования был определен перечень субъектов, персональные данные которых обрабатываются в отделе:

-работников АО "АК "ЖДЯ"

-пользователей услуг АО "АК "ЖДЯ"

-физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с АО "АК "ЖДЯ"

Отдел в своей деятельности обрабатывает следующий перечень персональных данных:

1.персональные данные работников АО "АК "ЖДЯ"

-фамилия;

-имя;

-отчество;

-пол;

-дата рождения;

-место регистрации и фактического проживания;

-место рождения;

-сведения об образовании;

-сведения о неоконченном образовании;

-сведения о состоянии в браке;

-сведения о воинском учете;

-дата прохождения аттестации;

-решение комиссии об аттестации;

-даты начала и окончания обучения;

-вид повышения квалификации;

-наименование учебного заведения;

-вид документа о повышении квалификации;

-данные об отпусках;

-гражданство;

-данные о детях;

-сведения о знании языков;

-расчетный счет;

-номер страхового свидетельства государственного пенсионного страхования;

-СНИЛС;

-ИНН;

-реквизиты документа о присвоении квалификационной категории;

-профессия по штатному расписанию;

-табельный номер;

-должность;

-объем работы по занимаемой должности;

-подразделение;

-разряд;

-характер работы;

-вид работы;

-стаж работы;

-основание исчисления стажа;

-ставка;

-тип документа, удостоверяющего личность;

-реквизиты документа, удостоверяющего личность;

-расчетный счет;

-место работы;

-страховой стаж;

-оклад;

-начисления;

-средний заработок;

-дата приема на работу;

-дата увольнения;

-дата выхода на пенсию;

-льготы;

-пособия.

Персональные данные пользователей услуг АО "АК "ЖДЯ":

- фамилия, имя, отчество;

-дата рождения;

-место рождения;

-вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (для несовершеннолетних - свидетельство о рождении или его нотариально заверенная копия);

-пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);

-дата поездки.

В соответствии с программами поощрения пользователей услуг АО "АК "ЖДЯ" дополнительно обрабатываются следующие персональные данные:

-пол;

-дата и место рождения;

-контактный телефон;

-адрес электронной почты;

-полный почтовый адрес участника программы;

-гражданство;

-индивидуальный номер налогоплательщика.

3.персональные данные физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с АО "АК "ЖДЯ":

-фамилия;

-имя;

-отчество;

-ИНН;

-СНИЛС;

-банковский счет.

1. Классификация информационной системы персональных данных

В ходе обследования было выявлено:

в системе обрабатываются иная категория персональных данных (не относятся к специальным, биометрическим и общедоступным).

• для системы актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе, то есть актуальны угрозы 3 типа (см. Модель нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных отдела бухгалтерского учета и отчетности Акционерного общество "Акционерная компания "Железные дороги Якутии";

• в отделе обрабатываются данные менее 100 тысяч субъектов персональных данных.

Исходя из категорий и объема ПДн, одновременно обрабатываемых в системе и типа угроз на основании пункта 12 подпункта «б» «Требований к защите персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить 3 уровень защищенности персональных данных.

1. Технологическая информация

1. Автоматизированные рабочие места пользователей ИСПДн

В таблице 6.1 представлены характеристики ОТСС, используемых в ИСПДн отдела бухгалтерского учета и отчетности. В таблице 6.2 представлен перечень программного обеспечения, установленного на ОТСС ИСПДн отдела бухгалтерского учета и отчетности.

Таблица 6.1 – Основные технические средства и системы обработки ПДн в ИСПДн отдела бухгалтерского учета и отчетности

Таблица 6.1- Программное обеспечение, установленное на АРМ ИСПДн отдела бухгалтерского учета и отчетности

Имя АРМ	Наименование	Тип ПО
АРМ 1	Microsoft Windows 7 Service Pack 1	Операционная система
	1С:Предприятие 8.2	Специализированное ПО
	7-Zip	Прикладное ПО
	Firebird	Специализированное ПО
	Microsoft Office Профессиональный плюс 2010	Офисное ПО
	АВС. Dr.Web Enterprise Security Suite 6.0	СЗИ
	WinRAR	Прикладное ПО
	Google Chrome	Прикладное ПО
	СБиС++ Управление персоналом Бюджет сборки 2.4.171 от 14.11.2013	Специализированное ПО
	СБиС++ Электронная отчетность и документо­оборот сборки 2.4.118 от 07.03.2013	Специализированное ПО
	СБиС++ Электронная отчетность сборки 2.3.106 от 12.07.2011	Специализированное ПО
АРМ 2	Microsoft Windows 7 Service Pack 1	Операционная система
	1С:Предприятие 8.2	Специализированное ПО
	7-Zip	Прикладное ПО
	Firebird	Специализированное ПО
	Microsoft Office Профессиональный плюс 2010	Офисное ПО
	АВС. Dr.Web Enterprise Security Suite 6.0	СЗИ
	WinRAR	Прикладное ПО
	Google Chrome	Прикладное ПО
	СБиС++ Бухгалтерия (многопользовательская установка) сборки 2.4.187 от 11.01.2014 2.4.187 от 11.01.2014 Неизвестно СБиС++ Бухгалтерия (многопользовательская)^! Компания Тензор	Специализированное ПО
	СБиС++ Управление персоналом Бюджет сборки 2.4.171 от 14.11.2013	Специализированное ПО
АРМ 3	Microsoft Windows 7 Service Pack 1	Операционная ПО
	1С:Предприятие 8.2	Специализированное ПО
	7-Zip	Прикладное ПО
	Firebird	Специализированное ПО
	Microsoft Office Профессиональный плюс 2010	Офисное ПО
	АВС. Dr.Web Enterprise Security Suite 6.0	СЗИ
	Radmin Server 3.4	Прикладное ПО
	Google Chrome	Прикладное ПО
	Ammyy Admin	Прикладное ПО
АРМ 4	Microsoft Windows 7 Service Pack 1	Операционная ПО
	1С:Предприятие 8.2	Специализированное По
	7-Zip	Прикладное ПО
	Firebird	Специализированное ПО
	Microsoft Office Профессиональный плюс2010	Офисное ПО
	АВС. Dr.Web Enterprise Security Suite 6.0	СЗИ
	WinRAR	Прикладное ПО
	Google Chrome	Прикладное ПО
	СБиС++ Бухгалтерия (многопользовательская установка) сборки 2.4.187 от 11.01.2014 2.4.187 от 11.01.2014 Неизвестно СБиС++ Бухгалтерия (многопользовательская)^! Компания Тензор	Специализированное ПО
	СБиС++ Управление персоналом Бюджет сборки 2.4.171 от 14.11.2013	Специализированное ПО
	Ammyy Admin	Прикладное ПО
SERVER DB (Сервер 1С: Предприятие)	Microsoft Windows Server 2008 R2 Standard, Service Pack 1	Операционная система
	1C Предприятие 8.2	Специализиро­ванное ПО
	Microsoft Office - профессиональный выпуск версии 2003	Офисное ПО
	Microsoft SQL Server 2008 R2	Специализиро­ванное ПО
	Microsoft SQL Server 2008 R2 Native Client	Специализированное ПО
	Microsoft SQL Server 2008 R2 RsFx Driver	Специализиро­ванное ПО
	Microsoft SQL Server Browser	Специализиро­ванное ПО
	Microsoft SQL Server VSS Writer	Специализиро­ванное ПО
	SQL Server 2008 R2 Common Files	Специализиро­ванное ПО
	SQL Server 2008 R2 Database Engine Services	Специализиро­ванное ПО
	SQL Server 2008 R2 Database Engine Shared	Специализиро­ванное ПО
	Sql Server Customer Experience Improvement Program	Специализиро­ванное ПО
	Radmin Server 3.4	Прикладное ПО
	Radmin Viewer 3.4	Прикладное ПО
	WinRAR	Прикладное ПО
	Плагин управления АВС. Dr.Web Enterprise Security Suite 6.0	СЗИ

1. Автоматизированное рабочее место администратора ИСПДн компании

В компании не предполагается разделение обязанностей по администрированию между несколькими сотрудниками. Администратором всей ИСПДн компании является один человек.

Характеристики

Список файлов ВКР