Приложение. Перечень информационных ресурсов, подлежащих защите в администрации Инсарского муниципального района Республики Мордовия. Постановление Администрации Инсарского муниципального района Республики Мордовия от 14.12.2018 N 473 "Об утверждении Перечня информационных ресурсов, подлежащих защите в Администрации Инсарского муниципального района Республики Мордовия"

Приложение
к постановлению администрации
Инсарского муниципального района
от 14 декабря 2018 г. N 473

Перечень
информационных ресурсов, подлежащих защите в администрации Инсарского муниципального района Республики Мордовия

1. Общие положения

Определения и сокращения
АРМ	Автоматизированное рабочее место
ИС	Информационная система
ИСПДн	Информационная система персональных данных
ПДн	Персональные данные
СЗИ	Система защиты информации
КОИ	Криптографически опасная информация - информация о состояниях криптосредства, знание которой нарушителем позволит ему строить алгоритмы определения ключевой информации или алгоритмы бесключевого чтения
СФК	Среда функционирования криптосредства - совокупность технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства.
СУБД	Система управления базами данных

1.1. Настоящий Перечень информационных ресурсов, подлежащих защите в Администрации Инсарского муниципального района Республики Мордовия (далее - Администрация), содержит полный список категорий данных и объектов защиты, безопасность которых должна обеспечиваться в Администрации.

1.2. Перечень разработан в соответствии с законодательством Российской Федерации и действующими документами в области защиты персональных данных:

- Федеральный закон от 27 июль 2006 г. N 152-ФЗ "О персональных данных"

- Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне";

- Постановление Правительства РФ от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Указ Президента Российской Федерации от 06 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";

- Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- Приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- Методический документ ФСТЭК России от 11 февраля 2014 г. "Меры защиты информации в государственных информационных системах";

- Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

- Приказ ФСБ России от 10 июля 2014 г. N 378 г. "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

1.1. К субъектам персональных данных относятся лица - носители персональных данных, передавшие свои персональные данные (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, в том числе:

- работники Администрации, включая совместителей, а также лица, выполняющие работы по договорам гражданско-правового характера;

- иные лица, предоставляющие персональные данные Администрации.

2. Объект защиты

Объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации в том числе криптосредства. Объекты защиты каждой ИС включают в себя:

1) Персональные данные:

персональные данные работников Администрации;

персональные данные субъектов ПДн.

2) Информация, составляющая коммерческую тайну:

Конфиденциальная информация, предоставленная Администрации юридическими лицами или индивидуальными предпринимателями;

3) Служебная информация ограниченного доступа:

техническая информация;

сведения о разработке и производстве;

сведения о безопасности и защите информации;

сведения о криптографии.

4) Программно-технические средства обработки.

5) Средства защиты информации.

6) Каналы информационного обмена и телекоммуникации.

7) Объекты и помещения, в которых размещены компоненты ИС и криптосредства.

3. Информационные системы Администрации Инсарского муниципального района

3.1. ИС "Администрация Инсарского муниципального района Республики Мордовия"

3.1.1. Персональные данные субъектов ПДн и персональные данные работников Администрации включают:

- Фамилия, имя, отчество;

- Дата рождения, место рождения;

- Пол;

- Должность, подразделение;

- Дата приема на работу;

- Оклад, аванс, ставка;

- ИНН, копия ИНН

- Номер страхового свидетельства государственного пенсионного страхования;

- Гражданство;

- Сведения об инвалидности;

- Сведения о кадровых перемещениях;

- Сведения об увольнении;

- Основание для прекращения трудового договора;

- Контактный телефон;

- Копия паспорта

- Трудовая книжка;

- Копия диплома об образовании;

- Трудовой договор;

- Анкетные и биографические данные

- Копия СНИЛС;

- Копии свидетельств о повышении квалификации;

- Анкеты, заполняемые субъектами персональных данных;

- Копии документов об образовании;

- Сведения о предыдущем месте работы;

- Сведения о пенсии;

- Сведения документов воинского учета;

- Семейное положение и сведения о составе семьи (свидетельство о рождении ребенка, сведения о расторжении\заключении брака);

- Данные об аттестации работников;

- Информация о начисленных социальных выплатах (отпускных, больничных, командировочных, дополнительных отпусках, учебных отпусках);

- Информация о премиях, надбавках, доплатах и компенсации;

- Адрес места жительства, регистрации;

- Адрес для информирования пенсионного фонда;

- Общий трудовой стаж;

- Статус налогоплательщика;

- Сведения о налоговых вычетах;

- Данные о зарплатном счете и лицевых счетах работников в банке;

- Сведения о начисленных и уплаченных страховых взносах в ПФР, ФОМС, ФСС;

- Сведения об уплате НДФЛ;

- Сведения о детях;

- Электронный адрес;

- Сведения о детях;

- Данные об аттестации и повышении квалификации,

- Подлинники и копии приказов по личному составу,

- Контактные телефоны, адрес электронной почты.

3.2. АИС "Сельское административное образование"

Персональные данные субъектов ПДн включают:

- Фамилия, имя, отчество;

- Сведения о детях;

- Дата рождения, место рождения;

- Пол;

- Адрес места жительства, регистрации;

- Общий трудовой стаж;

- Статус налогоплательщика;

- Сведения об образовании

- Сведения о трудоустройстве;

- Сведения о воинской обязанности;

- Сведения о пенсионных выплатах;

- Сведения о льготах;

- Сведения о близких родственниках, проживающих совместно и отдельно;

- Сведения о земельных участках;

- Сведения о жилищном фонде и его благоустройстве;

- Сведения о земельных участках;

- Сведения о транспортных

- средствах;

- Сведения о количестве скота.

3.3. АИС "Несовершеннолетние и семьи"

Персональные данные субъектов ПДн включают:

- Фамилия, имя, отчество;

- Дата рождения;

- Адрес;

- Семейное положение;

- Сведения о доходах;

- Данные свидетельства о рождении.

3.4. ИС "Реестр молодых семей"

Персональные данные субъектов ПДн включают:

- Фамилия, имя, отчество;

- Дата рождения;

- Паспортные данные;

- Сведения из свидетельства о регистрации брака.

3.5. ИС "Реестр опекаемых детей"

Персональные данные субъектов ПДн включают:

- Фамилия, имя, отчество;

- Дата рождения;

- Адрес регистрации/жительства.

3.6. ИС "Общероссийский день приема граждан"

Персональные данные субъектов ПДн включают:

- Фамилия, имя, отчество;

- Социальное положение;

- Адрес места жительства, регистрации.

3.7. ГИС ГМП

Персональные данные субъектов ПДн включают:

- Фамилия, имя отчество;

- ИНН;

- СНИЛС;

- Серия и номер паспорта;

- Серия и номер водительского удостоверения;

- Свидетельство о регистрации транспортного средства;

- Учетный код ФМС.

3.8. АИС "СИУ"

Персональные данные субъектов ПДн включают:

- Фамилия, имя, отчество;

- Дата рождения;

- Пол;

- Должность;

- ИНН;

- Номер страхового свидетельства государственного пенсионного страхования;

- Гражданство;

- Сведения об инвалидности;

- Контактный телефон;

- Серия и номер паспорта;

- СНИЛС;

- Сведения документов воинского учета;

- Семейное положение и сведения о составе семьи (свидетельство о рождении ребенка, сведения о расторжении\заключении брака).

3.9. ЕГИССО

Персональные данные субъектов ПДн включают:

- Фамилия, имя, отчество;

- СНИЛС;

- Паспортные данные;

- Дата рождения.

3.10. Информация, составляющая коммерческую тайну

В информационных системах Администрации ведется обработка информации, составляющей коммерческую тайну в соответствии с "Перечнем сведений, составляющих коммерческую тайну в Администрации Инсарского муниципального района Республики Мордовия", который включает в себя:

- сведения, условия конфиденциальности которых установлены в договорах, контрактах, соглашениях и других обязательств Администрации Инсарского муниципального района Республики Мордовия;

- информация, представленная Администрации Инсарского муниципального района Республики Мордовия юридическими лицами или индивидуальными предпринимателями в отношении которой со стороны обладателя такой информации установлена коммерческая тайна.

- сведения, на конфиденциальности которых настаивает партнер, если это оговорено в договоре или контракте.

3.11. Служебная информация ограниченного доступа

В информационных системах Администрации ведется обработка служебной информации ограниченного доступа в соответствии с "Перечнем служебной информации ограниченного доступа в Администрации Инсарского муниципального района Республики Мордовия", который включает в себя:

- сведения о порядке и состоянии организации защиты персональных данных, коммерческой тайны, служебной информации ограниченного доступа;

- сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации, перевозках ценных грузов;

- сведения о состоянии технической защиты конфиденциальной информации;

- документация на средства защиты информации;

- сведения об общем состоянии защиты конфиденциальной информации на объекте;

- информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

- управляющая информация (конфигурационные файлы, настройки системы и пр.);

- технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

- данные на съемных (бумажных, магнитных, оптических и пр.) носителях, содержащих как обрабатываемую, так и защищаемую технологическую информацию (системы управления ресурсами или средств доступа к этим системам управления);

- служебные данные, появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации;

- резервные копии общесистемного и прикладного программного обеспечения;

- информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

- криптографически опасная информация (КОИ);

- документация на криптосредство и на технические и программные компоненты среды функционирования криптосредства (СФК);

- журналы учета криптосредств, выданных ключей;

- ключевая, аутентификационная и парольная информация на криптосредство, ключевой блокнот, ключевой документ, криптоключ.

3.11.1. Техническая информация.

Техническая информация, подлежащая защите, включает следующие категории данных:

- управляющая информация (конфигурационные файлы, настройки системы защиты и пр.);

- технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

- данные на съемных (бумажных, магнитных, оптических и пр.) носителях, содержащих как обрабатываемую, так и защищаемую технологическую информацию (системы управления ресурсами или средств доступа к этим системам управления);

- информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

- резервные копии общесистемного и прикладного программного обеспечения

- служебные данные, появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результат обработки Обрабатываемой информации.

3.11.2. Сведения о безопасности и защите информации.

Сведения о безопасности и защите информации, подлежащие защите, включают в себя следующие категории данных:

- сведения о порядке и состоянии организации защиты персональных данных, коммерческой тайны, служебной тайны.

- сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации, перевозках ценных грузов

- сведения о состоянии технической защиты конфиденциальной информации.

- документация на средства защиты информации.

- сведения об общем состоянии защиты конфиденциальной информации на объекте.

- информация о СЗИ, их составе и структуре, принципах и технических решениях защиты.

3.11.3. Сведения о криптографии.

Сведения о криптографии, подлежащие защите, включают в себя следующие категории данных:

- криптографически опасная информация.

- документация на криптосредство и на технические и программные компоненты среды функционирования криптосредства (СФК).

- журналы учета криптосредств, выданных ключей.

- ключевая, аутентификационная и парольная информация на криптосредство, ключевой блокнот, ключевой документ, криптоключ.

3.12. Программно-технические средства обработки

Программно-технические средства включают в себя:

- общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

- резервные копии общесистемного программного обеспечения;

- инструментальные средства и утилиты систем управления ресурсами ИС;

- аппаратные средства обработки информации (АРМ и сервера);

- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

3.13. Средства защиты информации

Средства защиты информации состоят из программно-аппаратных средств и включают в себя:

- средства управления и разграничения доступа пользователей;

- средства обеспечения регистрации и учета действий с информацией;

- средства, обеспечивающие целостность данных;

- средства антивирусной защиты;

- средства межсетевого экранирования;

- средства обнаружения вторжений;

- средства криптографической защиты информации.

3.14. Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

3.15. Объекты и помещения, в которых размещены компоненты ИС являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.