Приказ Министерства социальной политики и труда Удмуртской Республики от 30 декабря 2019 г. N 358 "Об утверждении отчета о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Министерства социальной политики и труда Удмуртской Республики"

В соответствии с приказом Министерства социальной политики и труда Удмуртской Республики от 9 февраля 2018 года N 61 "Об утверждении плана мероприятий по обеспечению защиты персональных данных в информационных системах Министерства социальной политики и труда Удмуртской Республики на 2018 - 2019 годы" приказываю:

Утвердить отчет о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Министерства социальной политики и труда Удмуртской Республики.

Министр

Т.Ю. Чуракова

Отчет
о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Министерства социальной политики и труда Удмуртской Республики
(утв. приказом Министерства социальной политики и труда Удмуртской Республики от 30 декабря 2019 г. N 358)

В настоящем отчете о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных Министерства социальной политики и труда Удмуртской Республики (далее - Отчет, Министерство) используются термины и определения, условные обозначения и сокращения, установленные в Концепции информационной безопасности информационных систем персональных данных Министерства социальной, семейной политики и труда Удмуртской Республики, утвержденной приказом Министерства от 29 июля 2019 года N 194.

Внутренняя проверка (далее - проверка) проводилась управлением информационных ресурсов Министерства в период с 23 декабря 2019 года по 28 декабря 2019 года на территории Министерства по адресу: г. Ижевск, ул. Ломоносова, дом 5.

Проверка проводилась в соответствии с принципами и положениями Концепции информационной безопасности информационных систем персональных данных Министерства социальной политики и труда Удмуртской Республики и Политики информационной безопасности информационных систем персональных данных Министерства социальной политики и труда Удмуртской Республики, утвержденных приказом Министерства от 29 июля 2019 года N 194 (далее - Концепция, Политика).

В ходе проверки выявлены следующие информационные системы персональных данных (далее - ИСПДн):

1. Государственная информационная система Удмуртской Республики "Автоматизированная система "Адресная социальная помощь" Министерства социальной политики и труда Удмуртской Республики" (далее - ГИС АС "АСП").

2. Государственная информационная система Удмуртской Республики "Региональный сегмент регистров получателей государственных услуг в сфере занятости населения" (далее - ГИС "Региональный сегмент РПУ").

3. Информационная система персональных данных "Программный комплекс "1С: Бухгалтерия".

4. Информационная система персональных данных "Система электронного документооборота "Олимп".

В ходе проверки для каждой ИСПДн определялись:

1) назначение ИСПДн и основание обработки персональных данных (далее - ПДн);

2) структура ИСПДн;

3) состав и структура объектов защиты;

4) конфигурация ИСПДн;

5) режим обработки ПДн;

6) перечень лиц, участвующих в обработке ПДн и права доступа;

7) угрозы безопасности ПДн;

8) технические меры защиты ИСПДн.

Сведения о каждой ИСПДн, полученные в ходе проверки, отражены в разделах 1 - 4 настоящего Отчета.

Данные проверки служат информационной основой для разработки организационно-распорядительных документов Министерства, указанных в Политике.

Данные о составе и структуре объектов защиты отражаются в Перечнях персональных данных и иных объектов, подлежащих защите в государственных информационных системах в ИСПДн Министерства.

Данные о составе и структуре обрабатываемых ПДн, конфигурации ИСПДн, режимах обработки ПДн являются основой для составления актов классификации ИСПДн Министерства.

Перечни лиц, участвующих в обработке ПДн, и уровне их доступа отражаются в Разрешительной системе доступа к ГИС и в Разграничениях прав доступа к обрабатываемым персональным данным в ИСПДн Министерства.

Данные об угрозах безопасности ПДн служат основой для составления моделей угроз безопасности персональных данных при их обработке в ИСПДн Министерства.

Данные о технических средствах защиты информации отражаются в Перечнях применяемых средств защиты информации, эксплуатационной и технической документации ИСПДн Министерства.

1.1. Назначение ГИС и основание обработки ПДн

Назначение ГИС АС "АСП":

организация предоставления государственных услуг, в том числе в электронной форме;

комплексный учет получателей мер социальной поддержки и социальных услуг;

учет льготных категорий граждан, обращающихся в органы социальной защиты населения;

учет доходов граждан, имеющих право на меры социальной поддержки;

учет услуг, предоставляемых учреждениями социальной защиты гражданам, расчет и учет оплаты за предоставленные услуги;

учет недееспособных и ограниченно дееспособных граждан, опекунов и попечителей;

осуществление автоматизированного назначения и выплаты пособий, компенсаций, пенсий и иных социальных выплат;

осуществление информационного взаимодействия с Отделением Пенсионного фонда Российской Федерации (государственным учреждением) по Удмуртской Республике в соответствии с заключенными соглашениями об информационном взаимодействии.

Основание обработки ПДн:

1.2. Структура ГИС АС "АСП"

Параметры ГИС АС "АСП"

Таблица 1.

Категория обрабатываемых ПДн	Специальные
В ИСПДн обрабатываются	ПДн субъектов, не являющихся сотрудниками организации; более 100 000 субъектов ПДн
Тип актуальных угроз	угрозы 1-го типа
Масштаб	Региональная государственная система
Подключение ИСПДн к сетям общего пользования и (или) сетям международного информационного обмена	Имеется
Режим обработки ПДн	Многопользовательская система
Режим разграничения прав доступа пользователей ИСПДн	Система с разграничением прав доступа пользователей
Местонахождение технических средств ИСПДн	Все технические средства находятся в пределах Российской Федерации
Требования к ИСПДн	К ИСПДн предъявляются требования конфиденциальности, целостности и доступности

1.3. Состав и структура объектов защиты

В ГИС АС "АСП" обрабатываются следующие ПДн субъектов ПДн (граждан):

фамилия, имя, отчество, дата рождения, пол, контактный телефон, гражданство, адрес места регистрации, адрес места проживания, адрес электронной почты, место рождения, паспортные данные (серия, номер, кем и когда выдан), данные свидетельства о рождении, номер страхового свидетельства государственного пенсионного страхования (СНИЛС), номер свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН), данные о семейном положении и составе семьи (муж/жена, дети), сведения о родителях, несовершеннолетних родственниках, информация об образовании (наименование образовательной организации, сведения о документах, подтверждающих образование: наименование, номер, дата выдачи, специальность), данные индивидуальной программы реабилитации и абилитации, данные индивидуальной программы предоставления социальных услуг, реквизиты банковского счета, данные о социальном положении, информация о трудовом стаже (место работы, должность, период работы, причины увольнении), данные о наградах, медалях, поощрениях, почетных званиях, удостоверениях, сведения о документах, подтверждающих статус льготной категории граждан, данные о доходах, данные об имущественном положении.

В соответствии с постановлением Правительства Российской Федерации Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", исходя из масштаба ГИС (Региональная), уровня значимости ГИС (Первый), из количества субъектов персональных данных (более 100 000 субъектов, не являющихся сотрудниками Министерства социальной политики и труда Удмуртской Республики), категории обрабатываемых персональных данных - специальная, типа актуальных угроз безопасности - второй (актуальные угрозы безопасности персональных данных, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе), для ГИС необходимо обеспечить первый (УЗ1) уровень защищенности персональных данных, и отнести ГИС к классу защищенности К1.

Также в ИСПДн существуют следующие объекты защиты:

1) технологическая информация:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты);

технологическая информация средств доступа к системам управления (аутентификационная и идентификационная информация, ключи и атрибуты доступа);

информация на съемных носителях информации (бумажные, магнитные, оптические), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о средствах защиты персональных данных (далее - СЗПДн), ее составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (информационная система, базы данных, файлы), содержащие информацию об информационно-телекоммуникационных системах, о служебном трафике, о событиях, произошедших с управляемыми объектами;

служебные данные (метаданные), появляющиеся при работе ПО, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации;

2) программно-технические средства обработки:

общесистемное и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки персональных данных (персональные компьютеры, серверы, программный координатор, программно-аппаратный координатор, система хранения данных (хранилище);

сетевое оборудование (концентраторы, коммутаторы);

3) средства защиты ПДн:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн при их передаче по каналам связи сетей общего и (или) международного обмена;

4) каналы информационного обмена и телекоммуникации:

локальная сеть;

защищенная электронная почта;

защищенная сеть передачи данных Министерства ViPNet N 577;

5) объекты и помещения, в которых размещены компоненты ИСПДн.

1.4. Конфигурация ГИС АС "АСП"

Конфигурация элементов ИСПДн приведена на рисунке в Приложении 1 к настоящему Отчету.

Территориальное расположение ИСПДн ГИС АС "АСП" относительно контролируемой зоны приведено на рисунке в Приложении 2 к настоящему Отчету.

1.5. Режим обработки ПДн

Режим обработки предусматривает следующие действия с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, удаление, уничтожение персональных данных.

В ИСПДн обработка ПДн осуществляется в многопользовательском режиме с разграничением прав доступа.

Все пользователи ИСПДн имеют собственные роли. Список типовых ролей представлен в таблице в виде матрицы доступа.

Матрица доступа (права доступа лиц, допущенных к обработке ПДн)

Таблица 2.

Группа	Уровень доступа к ПДн	Разрешенные действия	Подразделение
Администратор ГИС	- обладает полной информацией о системном и прикладном программном обеспечении ГИС; - обладает полной информацией о технических средствах и конфигурации ГИС; - имеет доступ ко всем техническим средствам обработки информации и данным ГИС; - обладает правами конфигурирования и административной настройки технических средств ГИС	систематизация, накопление, хранение, распространение, обезличивание, блокирование, уничтожение	управление информационных ресурсов
Администратор безопасности	- обладает полной информацией о ГИС; - имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ГИС; - не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных); - обладает правами доступа и контроля за ведением электронного журнала безопасности и соответствия отраженных в нем полномочий пользователей ГИС их должностным обязанностям	хранение, блокирование, удаление	управление информационных ресурсов
Администратор сети	- обладает частью информации о системном и прикладном программном обеспечении ГИС; - обладает частью информации о технических средствах и конфигурации ГИС; - имеет физический доступ к техническим средствам обработки информации и средствам защиты	распространение	управление информационных ресурсов
Пользователь ГИС с правами записи	обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн	сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, удаление	управление информационных ресурсов
Пользователь ГИС с правами записи	обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн	сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, распространение, блокирование, удаление	управление информационных ресурсов; управление мер социальной поддержки; управление по делам инвалидов и организации социального обслуживания; управление по вопросам семьи и детства
Пользователь ГИС с правами чтения	обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к ПДн	накопление, хранение, извлечение, использование	управление правовой работы, контроля и надзора
Технический специалист по обслуживанию периферийного оборудования	обладает частью информации о технических средствах и конфигурации ГИС	не имеет полномочий для управления подсистемами обработки данных и безопасности	управление информационных ресурсов
Программист-разработчик ГИС	- обладает информацией об алгоритмах и программах обработки информации на ГИС; - может располагать фрагментами информации о топологии ГИС и технических средствах обработки и защиты ПДн, обрабатываемых в ГИС	не имеет прав использования персональных данных	ООО "СоцИнформтех", г. Тула

1.6. Перечень лиц, участвующих в обработке ПДн и права доступа

Таблица 3.

п/п	Роль	Фамилия И.О.	Подразделение
1.	Пользователь ГИС с правами записи	Абашева М.М.	отдел государственных социальных гарантий управления мер социальной поддержки
2.	Пользователь ГИС с правами записи	Бегишева Л.Р.	отдел профилактики безнадзорности и беспризорности несовершеннолетних управления по вопросам семьи и детства
3.	Пользователь ГИС с правами записи	Вологжанина М.В.	отдел государственных социальных гарантий управления мер социальной поддержки
4.	Пользователь ГИС с правами записи	Ермолаева В.А.	отдел государственных социальных гарантий управления мер социальной поддержки
5.	Администратор безопасности	Козуляев А.Ю.	отдел информационных систем и телекоммуникаций управления информационных ресурсов
6.	Администратор ГИС	Коротаева И.Н.	отдел информационно-правового обеспечения и защиты информации управления информационных ресурсов
7.	Пользователь ГИС с правами записи	Лиханова Л.Ю.	отдел информационно-правового обеспечения и защиты информации управления информационных ресурсов
8.	Пользователь ГИС с правами чтения	Огуречникова Н.Н.	отдел по делам инвалидов управления по делам инвалидов и организации социального обслуживания
9.	Пользователь ГИС с правами чтения	Пантюхина С.Г.	отдел организации социального обслуживания населения управления по делам инвалидов и организации социального обслуживания
10.	Пользователь ГИС с правами чтения	Перевощикова Т.М.	отдел контроля и надзора управления правовой работы, контроля и надзора
11.	Пользователь ГИС с правами записи	Петрова (Чиркова) Н.Ю.	сектор опеки и попечительства управления мер социальной поддержки
12.	Пользователь ГИС с правами записи	Рудина Г.Ф.	управление по делам инвалидов и организации социального обслуживания
13.	Пользователь ГИС с правами записи	Сандалова М.А.	отдел государственных социальных гарантий управления мер социальной поддержки
14.	Пользователь ГИС с правами записи	Сергеева Т.И.	отдел информационно-правового обеспечения и защиты информации управления информационных ресурсов
15.	Технический специалист по обслуживанию периферийного оборудования	Сироткина И.В.	отдел информационных систем и телекоммуникаций управления информационных ресурсов
16.	Пользователь ГИС с правами записи	Соболева С.В.	управление мер социальной поддержки
17.	Пользователь ГИС с правами записи	Соколова Е.В.	отдел по делам инвалидов управления по делам инвалидов и организации социального обслуживания
18.	Пользователь ГИС с правами записи	Торхов И.В.	отдел социальных выплат управления мер социальной поддержки
19.	Пользователь ГИС с правами чтения	Шаимова О.М.	отдел контроля и надзора управления правовой работы, контроля и надзора
20.	Пользователь ГИС с правами записи	Черницына Е.С.	отдел социальных выплат управления мер социальной поддержки
21.	Пользователь ГИС с правами записи	Чуракова Т.Б.	управление информационных ресурсов
22.	Пользователь ГИС с правами записи	Юрпалова Е.Е.	отдел информационно-правового обеспечения и защиты информации управления информационных ресурсов
23.	Пользователь ГИС с правами записи	Якимова Е.М.	отдел социальных выплат управления мер социальной поддержки

1.7. Угрозы безопасности ПДн

При обработке ПДн в ГИС АС "АСП" можно выделить следующие угрозы:

1) угрозы от утечки по техническим каналам:

а) угрозы утечки видовой информации;

б) угрозы утечки информации по каналам ПЭМИН;

2) угрозы несанкционированного доступа к информации:

а) угрозы уничтожения, хищения аппаратных средств носителей информации путем физического доступа к элементам ГИС АС "АСП":

кража ПЭВМ;

кража носителей информации;

кража ключевых носителей;

кража ключей и атрибутов доступа;

вывод из строя узлов ПЭВМ, каналов связи;

несанкционированное отключение средств защиты.

б) угрозы хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий):

действия вредоносных программ (вирусов);

недекларированные возможности прикладного ПО для обработки ПДн;

установка ПО, не связанного с исполнением служебных обязанностей;

в) угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ГИС и СЗПДн в ее составе из-за сбоев в ПО, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера:

утрата ключей и атрибутов доступа;

непреднамеренная модификация (уничтожение) информации специалистами;

непреднамеренное отключение средств защиты;

выход из строя аппаратно-программных средств;

сбой системы электроснабжения;

стихийное бедствие;

г) угрозы преднамеренных действий внутренних нарушителей:

доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке;

разглашение информации, модификация, уничтожение специалистами, допущенными к ее обработке;

д) угрозы несанкционированного доступа по каналам связи:

угроза "Анализ сетевого трафика" с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:

перехват за переделами контролируемой зоны;

перехват в пределах контролируемой зоны внешними нарушителями;

перехват в пределах контролируемой зоны внутренними нарушителями;

угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ГИС, топологии сети, открытых портов и служб, открытых соединений;

угрозы выявления паролей по сети;

угрозы навязывания ложного маршрута сети;

угрозы подмены доверенного объекта в сети;

угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;

угрозы типа "Отказ в обслуживании";

угрозы удаленного запуска приложений;

угрозы внедрения по сети вредоносных программ.

Анализы вероятности реализации, реализуемости, опасности и актуальности угроз представлены в модели угроз безопасности персональных данных в государственной информационной системе Удмуртской Республики "Автоматизированная система "Адресная социальная помощь" Министерства социальной политики и труда Удмуртской Республики.

1.8. Технические меры защиты ГИС АС "АСП"

Существующие в ГИС АС "АСП" технические меры защиты представлены в таблице.

Таблица 4.

Элемент ГИС	Программные и аппаратные средства обработки ПДн	Установленные средства защиты
АРМ пользователя	ОС Windows 7 Браузер IE X.X	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; антивирусное ПО - "Dr Web Enterprise Suite"; аппаратно-программный модуль доверенной загрузки, осуществляющий функцию по контролю загрузки операционной системы "Соболь 3.0"
АРМ пользователя	ОС Windows 7 ОС Windows 10 Браузер IE X.X	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией. Антивирусное ПО - "Dr. Web Enterprise Suite": обеспечение целостности данных; обнаружение вторжений
АРМ администратора	ОС Windows 7 Браузер IE X.X Клиент приложения встроенные средства Windows Server 2008	Средства ОС: управление и разграничение доступа пользователей; антивирусное ПО - "Dr Web Enterprise Suite"; регистрация и учет действий с информацией; аппаратно-программный модуль доверенной загрузки, осуществляющий функцию по контролю загрузки операционной системы "Соболь 3.0"
Сервер приложений	OС Windows Server 2008	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; антивирусное ПО - "Dr Web Enterprise Suite"; аппаратно-программный модуль доверенной загрузки, осуществляющий функцию по контролю загрузки операционной системы "Соболь 3.0"
Сервер приложений	OС Windows Server 2008	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; антивирусное ПО - "Dr Web Enterprise Suite"; аппаратно-программный модуль доверенной загрузки, осуществляющий функцию по контролю загрузки операционной системы "Соболь 3.0"
Сервер приложений	OС Windows Server 2008	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; антивирусное ПО - "Dr Web Enterprise Suite"; аппаратно-программный модуль доверенной загрузки, осуществляющий функцию по контролю загрузки операционной системы "Соболь 3.0"
Сервер приложений	OС Windows Server 2008	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; антивирусное ПО - "Dr Web Enterprise Suite";
СУБД	БД SQL-сервер	Средства БД Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных; обнаружение вторжений
Граница ЛВС	Оборудование	Межсетевой экран: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных; обнаружение вторжений
Каналы передачи	Оборудование и программное обеспечение	Средства криптографической защиты информации: ПО ViPNet ViPNet Client, ViPNet Administrator, ПАК ViPNet Coordinator HW-1000, ViPNet Coordinator Windows, КриптоПРО CSP, КриптоПро.Net, Туннель -TLS: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных

В Министерстве введены следующие организационные меры защиты ГИС АС "АСП":

осуществляется контроль доступа в контролируемую зону;

двери в помещениях, где расположены элементы ИСПДн, закрываются на замок и опечатываются;

утверждены правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

утвержден перечень лиц, имеющих право доступа в помещения;

установлена система видеонаблюдения по периметру здания, у входной группы в здание, на всех этажах здания;

установлена пожарная сигнализация;

осуществляется резервное копирование защищаемой информации;

введена парольная политика, устанавливающая алгоритм атрибутов доступа (паролей), а так же их периодическую смену;

назначены ответственные специалисты за обеспечение безопасности ПДн;

утвержден и поддерживается в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей;

пользователи ИСПДн осведомлены и проинструктированы о порядке работы с ПДн и защиты ПДн.

2. Государственная информационная система Удмуртской Республики "Региональный сегмент регистров получателей государственных услуг в сфере занятости населения".

2.1. Назначение ГИС "Региональный сегмент РПУ" и основание обработки ПДн

Назначение ГИС "Региональный сегмент РПУ":

автоматизация всех направлений деятельности органов государственной службы занятости населения Удмуртской Республики по оказанию государственных услуг в сфере занятости населения;

эффективное использование средств, направленных на исполнение полномочий, переданных органам государственной власти субъектов РФ в сфере занятости населения;

обеспечение надзора и контроля за полнотой и качеством оказания государственных услуг в сфере занятости населения; осуществление контроля за обеспечением государственных гарантий в области занятости населения;

формирование регионального сегмента регистра получателей государственных услуг в сфере занятости населения.

Основание обработки ПДн:

Трудовой кодекс Российской Федерации; Закон Российской Федерации от 19.04.1991 N 1032-1 "О занятости населения"; Федеральный закон от 24.11.1995 N 181-ФЗ "О социальной защите инвалидов в Российской Федерации"; Федеральный закон от 21.12.1996 N 159-ФЗ "О дополнительных гарантиях по социальной поддержке детей-сирот и детей, оставшихся без попечения родителей"; Федеральный закон от 24.06.1999 N 120-ФЗ "Об основах системы профилактики безнадзорности и правонарушений несовершеннолетних"; Федеральный закон от 25.07.2002 N 115-ФЗ "О правовом положении иностранных граждан в Российской Федерации"; Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"; Федеральный закон от 27.07.2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"; постановление Правительства Российской Федерации от 14.07.1997 N 875 "Об утверждении Положения об организации общественных работ"; постановление Правительства Российской Федерации от 07.09.2012 N 891 "О порядке регистрации граждан в целях поиска подходящей работы, регистрации безработных граждан и требованиях к подбору подходящей работы"; постановление Министерства труда и социального развития Российской Федерации от 27.09.1996 N 1 "Об утверждении Положения о профессиональной ориентации и психологической поддержке населения в Российской Федерации"; постановление Министерства труда и социального развития Российской Федерации N 3, Министерства образования Российской Федерации N 1 от 13.01.2000 "Об утверждении Положения об организации профессиональной подготовки, повышения квалификации и переподготовки безработных граждан и незанятого населения"; приказ Министерства здравоохранения и социального развития Российской Федерации от 08.11.2010 N 972н "О порядке ведения регистров получателей государственных услуг в сфере занятости населения (физических лиц и работодателей), включая порядок, сроки и форму представления в них сведений"; постановление Правительства Удмуртской Республики от 16.09.2013 N 426 "Об утверждении Положения о порядке и условиях направления органами службы занятости женщин в период отпуска по уходу за ребенком до достижения им возраста трёх лет, незанятых граждан, которым в соответствии с законодательством Российской Федерации назначена трудовая пенсия по старости и которые стремятся возобновить трудовую деятельность, для прохождения профессионального обучения или получения дополнительного профессионального образования"; приказ Минтруда России от 31.07.2015 N 528н "Об утверждении Порядка разработки и реализации индивидуальной программы реабилитации или абилитации инвалида, индивидуальной программы реабилитации или абилитации ребенка-инвалида, выдаваемых федеральными государственными учреждениями медико-социальной экспертизы, и их форм".

2.2. Структура ГИС "Региональный сегмент РПУ"

Параметры ГИС "Региональный сегмент РПУ"

Таблица 5.

Категория обрабатываемых ПДн	Иные
В ГИС обрабатываются	ПДн субъектов, не являющихся сотрудниками организации; более 100 000 субъектов ПДн
Тип актуальных угроз	угрозы 3-го типа
Масштаб	Региональная государственная информационная система
Подключение ИСПДн к сетям общего пользования и (или) сетям международного информационного обмена	Имеется
Режим обработки ПДн	Многопользовательская система
Режим разграничения прав доступа пользователей ИСПДн	Система с разграничением прав доступа пользователей
Местонахождение технических средств ИСПДн	Все технические средства находятся в пределах Российской Федерации
Требования к ИСПДн	К ИСПДн предъявляются требования конфиденциальности, целостности и доступности

2.3. Состав и структура объектов защиты

В ГИС "Региональный сегмент РПУ" обрабатываются следующие ПДн субъектов ПДн (граждан):

Фамилия, имя, отчество; дата рождения; пол; гражданство; сведения о документе, удостоверяющем личность (серия, номер, дата выдачи и наименование выдавшего органа); сведения о месте жительства (пребывания), телефоне; сведения о категории, к которой относится гражданин (категория занятости, основания незанятости, основания увольнения, имеющиеся профессиональные навыки); сведения о документах, подтверждающих отнесение гражданина к соответствующей категории; сведения об ограничении трудоспособности; сведения об образовании; сведения о трудовой деятельности; сведения о доходах (информация по справке о средней заработной плате за последние 3 месяца по последнему месту работы); сведения о стаже работы; сведения о семейном положении; сведения о долговых обязательствах по исполнительным листам; номер лицевого счета; идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; размер и сроки выплаты пособия по безработице, материальной поддержки получателям государственных услуг; сведения о предоставленных гражданину услугах с указанием даты и результата действия; основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя (ОГРНИП); вид, форма, размер, срок оказания поддержки по организации предпринимательской деятельности и самозанятости; сведения о нарушениях порядка и условий предоставления поддержки (если имеется), в том числе нецелевом использовании средств поддержки.

В соответствии с постановлением Правительства Российской Федерации Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", исходя из масштаба ГИС (Региональная), уровня значимости ГИС (Третий), из количества субъектов персональных данных (более 100 000 субъектов, не являющихся сотрудниками Министерства), категории обрабатываемых персональных данных - иные, типа актуальных угроз безопасности - третий (актуальные угрозы безопасности персональных данных, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе), для ГИС "Региональный сегмент РПУ" необходимо обеспечить первый (УЗ3) уровень защищенности персональных данных, и отнести ГИС "Региональный сегмент РПУ" к классу защищенности К3.

Также в ГИС "Региональный сегмент РПУ" существуют следующие объекты защиты:

1) технологическая информация:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты);

информация о СЗПДн, ее составе и структуре, принципах и технических решениях защиты;

2) программно-технические средства обработки:

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ГИС "Региональный сегмент РПУ";

сетевое оборудование (концентраторы, коммутаторы);

3) средства защиты ПДн:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

4) каналы информационного обмена и телекоммуникации:

локальная сеть;

защищенная сеть передачи данных Министерства ViPNet N 5192

5) объекты и помещения, в которых размещены компоненты ГИС "Региональный сегмент РПУ".

2.4. Конфигурация ГИС "Региональный сегмент РПУ"

Структурная схема ГИС "Региональный сегмент РПУ" приведена на рисунке в Приложении 3 к настоящему Отчету.

Территориальное расположение ГИС "Региональный сегмент РПУ" относительно контролируемой зоны приведено на рисунках в Приложении 4 к настоящему Отчету.

2.5. Режим обработки ПДн

В ГИС "Региональный сегмент РПУ" обработка ПДн осуществляется в многопользовательском режиме с разграничением прав доступа.

Все пользователи ГИС "Региональный сегмент РПУ" имеют собственные роли. Список типовых ролей представлен в таблице в виде матрицы доступа.

Матрица доступа (права доступа лиц, допущенных к обработке ПДн)

Таблица 6.

Группа	Уровень доступа к ПДн	Разрешенные действия	Подразделение
Администратор ГИС	обладает полной информацией о системном и прикладном программном обеспечении ГИС; обладает полной информацией о технических средствах и конфигурации ГИС; имеет доступ ко всем техническим средствам обработки информации и данным ГИС; обладает правами конфигурирования и административной настройки технических средств ГИС	систематизация, накопление, хранение, распространение, обезличивание, блокирование, уничтожение	управление информационных ресурсов
Администратор безопасности	- обладает полной информацией о ГИС; имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ГИС; не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных); обладает правами доступа и контроля за ведением электронного журнала безопасности и соответствия, отраженных в нем полномочий пользователей ГИС их должностным обязанностям	хранение, блокирование, удаление	управление информационных ресурсов
Администратор сети	- обладает частью информации о системном и прикладном программном обеспечении ГИС; обладает частью информации о технических средствах и конфигурации ГИС; имеет физический доступ к техническим средствам обработки информации и средствам защиты	распространение	Автономное учреждение УР "Ресурсный информационный центр Удмуртской Республики" (по "Соглашению о передаче полномочий по управлению защищенной сетью передачи данных" от 25.01.2017)
Пользователь ГИС с правами чтения	- обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к персональным данным	накопление, хранение, извлечение, использование	управление информационных ресурсов; управление развития трудовых ресурсов, миграции и занятости населения; управления правовой работы, контроля и надзора
Технический специалист по обслуживанию периферийного оборудования	обладает частью информации о технических средствах и конфигурации периферийного оборудования	не имеет полномочий для управления подсистемами обработки данных и безопасности	управление информационных ресурсов
Программист-разработчик ГИС	обладает информацией об алгоритмах и программах обработки информации на ГИС; может располагать фрагментами информации о топологии ГИС и технических средствах обработки и защиты персональных данных, обрабатываемых в ГИС	не имеет прав использования персональных данных	ООО НПК "КАТАРСИС", г. Санкт-Петербург

2.6. Перечень лиц, участвующих в обработке ПДн и права доступа

Таблица 7.

	Роль	Фамилия И.О.	Подразделение
1.	администратор безопасности	Козуляев А.Ю.	отдел информационных систем и телекоммуникаций управления информационных ресурсов
2.	пользователь ГИС с правами чтения	Коротаева И.Н.	отдел информационно - правового обеспечения и защиты информации управления информационных ресурсов
3.	пользователь ГИС с правами чтения	Косякина О.Г.	отдел трудоустройства и спецпрограмм, профориентации и профобучения управления развития трудовых ресурсов, миграции и занятости населения
4.	пользователь ГИС с правами чтения	Мальцева М.А.	отдел трудоустройства и спецпрограмм, профориентации и профобучения управления развития трудовых ресурсов, миграции и занятости населения
5.	пользователь ГИС с правами чтения	Мясникова И.А.	отдел трудоустройства и спецпрограмм, профориентации и профобучения управления развития трудовых ресурсов, миграции и занятости населения
6.	пользователь ГИС с правами чтения	Пислегина А.С.	отдел прогнозирования и стратегического планирования управления по экономике и финансам
7.	пользователь ГИС с правами чтения	Перевощикова Т.М.	отдел контроля и надзора управления правовой работы, контроля и надзора
8.	администратор ГИС	Пислегина В.В.	отдел информационных систем и телекоммуникаций управления информационных ресурсов
9.	пользователь ГИС с правами чтения	Серебренников Н.В.	отдел развития профессиональных квалификаций и рынка труда управления, развития трудовых ресурсов, миграции и занятости населения
10.	технический специалист по обслуживанию периферийного оборудования	Сироткина И.В.	отдел информационных систем и телекоммуникаций управления информационных ресурсов
11.	пользователь ГИС с правами чтения	Ткаченко Е.П.	отдел трудоустройства и спецпрограмм, профориентации и профобучения управления развития трудовых ресурсов, миграции и занятости населения
12.	пользователь ГИС с правами чтения	Тукмачева М.А.	отдел организации социального обслуживания населения управления по делам инвалидов и организации социального обслуживания

2.7. Угрозы безопасности ПДн

При обработке ПДн в ГИС "Региональный сегмент РПУ" можно выделить следующие угрозы:

1) Угрозы утечки информации по техническим каналам:

угрозы утечки акустической (речевой) информации;

угрозы утечки видовой информации;

угрозы утечки информации по каналу ПЭМИН.

2) Угрозы несанкционированного доступа к информации:

2.1) Угрозы непосредственного доступа к информации:

угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;

угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения несанкционированного доступа (НСД) программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);

угрозы внедрения вредоносных программ.

2.2) Угрозы удаленного доступа:

угрозы "Анализа сетевого трафика" с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации;

угрозы сканирования, направленные на выявление типа операционной системы, открытых портов и служб, открытых соединений и т.п.;

угрозы выявления паролей;

угрозы получения НСД путем подмены доверенного объекта;

угрозы типа "Отказ в обслуживании";

угрозы удаленного запуска приложений;

угрозы внедрения по сети вредоносных программ.

Анализы вероятности реализации, реализуемости, опасности и актуальности угроз представлены в модели угроз безопасности информации, обрабатываемой в государственной информационной системе "Региональный сегмент регистров получателей государственных услуг в сфере занятости населения" (утверждена 23.11.2017)

2.8. Технические меры защиты ГИС "Региональный сегмент РПУ"

Существующие в ГИС "Региональный сегмент РПУ" технические меры защиты представлены в таблице.

Таблица 8.

Элемент ГИС	Программные и аппаратные средства обработки ПДн	Установленные средства защиты
АРМ администратора	ОС Windows 7; клиентское приложение ПК "Катарсис" 8	Средства ОС - управление и разграничение доступа пользователей; СЗИ от НСД - СЗИ "Secret Net Studio"; антивирусное ПО - "Dr. Web Enterprise Suite"
АРМ пользователя	ОС Windows 7 / 10; клиентское приложение ПК "Катарсис" 8	Средства ОС - управление и разграничение доступа пользователей; СЗИ от НСД - СЗИ "Secret Net Studio"; антивирусное ПО - "Dr. Web Enterprise Suite"
Сервер приложений	OС Windows Server 2012, ПК "Катарсис" 8	Средства ОС - управление и разграничение доступа пользователей; СЗИ от НСД - СЗИ "Secret Net Studio"; антивирусное ПО - "Dr. Web Enterprise Suite"
Сервер баз данных	OС Windows Server 2012 Standard, СУБД MS SQL 2008	Средства ОС - управление и разграничение доступа пользователей; СЗИ от НСД - СЗИ "Secret Net Studio"; антивирусное ПО - "Dr. Web Enterprise Suite"
Сервер сводной установки ПК8	OС Windows Server 2012 Standard, СУБД MS SQL 2008	Средства ОС - управление и разграничение доступа пользователей; СЗИ от НСД - СЗИ "Secret Net Studio"; антивирусное ПО - "Dr. Web Enterprise Suite"
ПАК ViPNet Coordinator HW-1000	-	Режим туннелирования
Граница ЛВС	Оборудование	Межсетевой экран: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных
Каналы передачи	Оборудование и программное обеспечение	Средства криптографической защиты информации: ViPNet Administrator, ПАК ViPNet Coordinator HW-1000, КриптоПРО CSP

В Министерстве введены следующие организационные меры защиты ИСПДн ГИС:

осуществляется контроль доступа в контролируемую зону;

двери в помещениях, где расположены элементы ГИС, закрываются на замок и опечатываются;

утверждены правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

утвержден перечень лиц, имеющих право доступа в помещения;

установлены системы видеонаблюдения по периметру здания, у входной группы в здание, на всех этажах здания;

установлена пожарная сигнализация;

осуществляется резервное копирование защищаемой информации;

назначены ответственные специалисты за обеспечение безопасности ПДн;

пользователи ИСПДн осведомлены и проинструктированы о порядке работы с ПДн и защиты ПДн.

3. ИСПДн "Программный комплекс "1С: Бухгалтерия"

3.1. Назначение ИСПДн и основание обработки ПДн

Назначение ИСПДн:

организация бухгалтерского учета и отчетности в Министерстве;

выплата адресной социальной помощи гражданам, оказавшимся в трудной жизненной ситуации.

Основание обработки ПДн:

Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Семейный кодекс Российской Федерации; Закон Российской Федерации от 17.07.1999 N 178-ФЗ "О государственной социальной помощи"; Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации"; Закон Удмуртской Республики от 05.07.2005 N 38-РЗ "О государственной гражданской службе Удмуртской Республики"; постановление Правительства Удмуртской Республики от 21.05.2012 N 208 "Об утверждении положения о единовременной денежной выплате малоимущим семьям или малоимущим одиноко проживающим гражданам и положения о материальной помощи гражданам, находящимся в трудной жизненной ситуации".

3.2. Структура ИСПДн

Параметры ИСПДн

Таблица 9.

Заданные характеристики безопасности ПДн (тип ИСПДн)	Специальная информационная система
В ИСПДн обрабатываются	ПДн субъектов, являющихся и не являющихся сотрудниками организации; менее 100 000 субъектов ПДн
Структура ИСПДн	Локальная информационная система
Подключение ИСПДн к сетям общего пользования и (или) сетям международного информационного обмена	Имеется
Режим обработки ПДн	Многопользовательская система
Режим разграничения прав доступа пользователей ИСПДн	Система с разграничением прав доступа пользователей
Местонахождение технических средств ИСПДн	Все технические средства находятся в пределах Российской Федерации
Требования к ИСПДн	К ИСПДн предъявляются требования целостности и доступности

3.3. Состав и структура объектов защиты

В ИСПДн обрабатываются следующие ПДн субъектов ПДн:

а) государственных гражданских служащих Удмуртской Республики и работников, состоящих в трудовых отношениях с Министерством:

б) граждан:

фамилия, имя, отчество; контактный телефон; адрес места проживания; данные о социальном положении.

В соответствии с постановлением Правительства Российской Федерации Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", исходя из количества субъектов персональных данных (менее 100 000 субъектов), являющихся и не являющихся сотрудниками Министерства социальной политики и труда Удмуртской Республики, категории обрабатываемых персональных данных - иная (обрабатываемые персональные данные, не являющееся биометрическими, специальными и общедоступными), типа актуальных угроз безопасности - третий (актуальные угрозы безопасности персональных данных, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе), для ИСПДн необходимо обеспечить четвертый (УЗ4) уровень защищенности персональных данных и отнести к классу защищенности К3 .

Также в ИСПДн существуют следующие объекты защиты:

1) технологическая информация:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты информации);

информация о СЗПДн, ее составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (информационная система, базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, о служебном трафике, о событиях, произошедших с управляемыми объектами;

служебные данные (метаданные), появляющиеся при работе ПО, сообщений и протоколов межсетевого взаимодействия, в результате обработки обрабатываемой информации;

2) программно-технические средства обработки:

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (персональные компьютеры, серверы, программный координатор, программно-аппаратный координатор, система хранения данных (хранилище);

сетевое оборудование (концентраторы, коммутаторы);

3) средства защиты ПДн:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

4) каналы информационного обмена и телекоммуникации;

локальная сеть;

защищенная электронная почта;

защищенная сеть передачи данных Министерства ViPNet N 577

5) объекты и помещения, в которых размещены компоненты ИСПДн.

3.4. Конфигурация ИСПДн

Конфигурация элементов ИСПДн приведена на рисунке в Приложении 5 к настоящему Отчету.

Территориальное расположение ИСПДн относительно контролируемой зоны приведено на рисунке в Приложении 6 к настоящему Отчету.

3.5. Режим обработки ПДн

В ИСПДн обработка ПДн осуществляется в многопользовательском режиме с разграничением прав доступа.

Матрица доступа (права доступа лиц, допущенных к обработке ПДн)

Таблица 10.

Группа	Уровень доступа к ПДн	Разрешенные действия	Подразделение
Администратор ИСПДн	- обладает полной информацией о системном и прикладном программном обеспечении ИСПДн; - обладает полной информацией о технических средствах и конфигурации ИСПДн; - имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн; - обладает правами конфигурирования и административной настройки технических средств ИСПДн	систематизация, накопление, хранение, распространение обезличивание, блокирование, уничтожение	управление информационных ресурсов
Администратор безопасности	- обладает полной информацией об ИСПДн; - имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн; - не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных) - обладает правами доступа и контроля за ведением электронного журнала безопасности и соответствия, отраженных в нем полномочий пользователей ИСПДн	хранение, блокирование, удаление	управление информационных ресурсов
Администратор сети	- обладает частью информации о системном и прикладном программном обеспечении ИСПДн; - обладает частью информации о технических средствах и конфигурации ИСПДн; - имеет физический доступ к техническим средствам обработки информации и средствам защиты	распространение	управление информационных ресурсов
Пользователь ИСПДн с правами записи	- обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн	сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение, удаление, уничтожение	управление бухгалтерского учета и консолидированной отчетности
Пользователь ИСПДн с правами чтения	- обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к ПДн	накопление, хранение, извлечение, использование	управление правовой работы, контроля и надзора
Технический специалист по обслуживанию периферийного оборудования	- обладает частью информации о технических средствах и конфигурации периферийного оборудования	не имеет полномочий для управления подсистемами обработки данных и безопасности	управление информационных ресурсов
Программист-разработчик ИСПДн	обладает информацией об алгоритмах и программах обработки информации; может располагать фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн	не имеет прав использования персональных данных	Фирма "1С", г.Москва

3.6. Перечень лиц, участвующих в обработке ПДн и права доступа

Таблица 11.

N	Роль	Фамилия И.О.	Подразделение
1.	пользователь информационной системы персональных данных с правами записи	Аверина А.Э.	отдел расчетов по бюджету управления бухгалтерского учета и консолидированной отчетности
2.	пользователь информационной системы персональных данных с правами записи	Аердинова Н.Г.	отдел расчетов по бюджету управления бухгалтерского учета и консолидированной отчетности
3.	пользователь информационной системы персональных данных с правами записи	Берш Н.В.	отдел исполнения бюджета управления бухгалтерского учета и консолидированной отчетности
4.	пользователь информационной системы персональных данных с правами записи	Галлямова Ф.Ф.	отдел расчетов по бюджету управления бухгалтерского учета и консолидированной отчетности
5.	администратор безопасности	Козуляев А.Ю.,	отдел информационных систем и телекоммуникаций управления информационных ресурсов
6.	пользователь информационной системы персональных данных с правами записи	Копысова Е.А.	отдел исполнения бюджета управления бухгалтерского учета и консолидированной отчетности
7.	пользователь информационной системы персональных данных с правами записи	Кучумова С.Е.	управление бухгалтерского учета и консолидированной отчетности-
8.	пользователь информационной системы персональных данных с правами записи	Мадьярова Е.П.	отдел расчетов по бюджету управления бухгалтерского учета и консолидированной отчетности
9.	пользователь информационной системы персональных данных с правами записи	Петухова В.В.	управление бухгалтерского учета и консолидированной отчетности
10.	пользователь информационной системы персональных данных с правами записи	Сабитова Е.Б.	отдел расчетов по бюджету управления бухгалтерского учета и консолидированной отчетности
11.	технический специалист по обслуживанию периферийного оборудования	Сироткина И.В.	отдел информационных систем и телекоммуникаций управления информационных ресурсов
12.	пользователь информационной системы персональных данных с правами записи	Черепанова Е.Л.	отдел расчетов по бюджету управления бухгалтерского учета и консолидированной отчетности
13.	пользователь информационной системы персональных данных с правами чтения	Шаимова О.М.	отдел контроля и надзора управления правовой работы, контроля и надзора
14.	пользователь информационной системы персональных данных с правами записи	Шустова Ю.В.	отдел исполнения бюджета управления бухгалтерского учета и консолидированной отчетности

3.7. Угрозы безопасности ПДн

При обработке ПДн в ИСПДн можно выделить следующие угрозы:

1) угрозы от утечки по техническим каналам:

а) угрозы утечки видовой информации;

б) угрозы утечки информации по каналам ПЭМИН;

2) угрозы несанкционированного доступа к информации:

а) угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн:

кража ПЭВМ;

кража носителей информации;

кража атрибутов доступа;

вывод из строя узлов ПЭВМ, каналов связи;

несанкционированное отключение средств защиты.

действия вредоносных программ (вирусов);

недекларированные возможности системного и прикладного ПО;

установка ПО, не связанного с исполнением служебных обязанностей;

в) угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в ПО, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера:

утрата атрибутов доступа;

непреднамеренная модификация (уничтожение) информации специалистами;

непреднамеренное отключение средств защиты;

выход из строя аппаратно-программных средств;

сбой системы электроснабжения;

стихийное бедствие;

г) угрозы преднамеренных действий внутренних нарушителей:

доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке;

разглашение информации, модификация, уничтожение специалистами, допущенными к ее обработке;

д) угрозы несанкционированного доступа по каналам связи:

угроза "Анализ сетевого трафика" с перехватом передаваемой из внешних сетей информации:

перехват в пределах контролируемой зоны внешними нарушителями;

перехват в пределах контролируемой зоны внутренними нарушителями;

угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений;

угрозы выявления паролей по сети;

угрозы навязывания ложного маршрута сети;

угрозы подмены доверенного объекта в сети;

угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;

угрозы типа "Отказ в обслуживании";

угрозы удаленного запуска приложений;

угрозы внедрения по сети вредоносных программ.

Анализы вероятности реализации, реализуемости, опасности и актуальности угроз представлены в моделях угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерства.

3.8. Технические меры защиты ИСПДн

Существующие в ИСПДн технические меры защиты представлены в таблице.

Таблица 12.

Элемент ИСПДн	Программные и аппаратные средства обработки ПДн	Установленные средства защиты
АРМ пользователя	ОС Windows 7 ОС Windows 10 ПО "1С:Предприятие"	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией. Антивирусное ПО - "Dr. Web Enterprise Suite":
АРМ администратора	ОС Windows 7 Браузер IE X.X ПО "1С:Предприятие"	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией. Антивирусное ПО - "Dr. Web Enterprise Suite":
Сервер приложений	OС Windows Server 2008 ПО "1С:Предприятие"	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией. Антивирусное ПО - "Dr. Web Enterprise Suite":
СУБД	БД SQL сервер	Средства БД Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных;
Граница ЛВС	Оборудование	Межсетевой экран: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных; обнаружение вторжений
Каналы передачи	Оборудование и программное обеспечение	Средства криптографической защиты информации: ПО ViPNet ViPNet Client, ViPNet Administrator, ПАК ViPNet Coordinator HW-1000, ViPNet Coordinator Windows, КриптоПРО CSP, Туннель -TLS: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных

В Министерстве введены следующие организационные меры защиты ИСПДн:

осуществляется контроль доступа в контролируемую зону;

двери в помещениях, где расположена ИСПДн, закрываются на замок и опечатываются;

утверждены правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

утвержден перечень лиц, имеющих право доступа в помещения;

установлены системы видеонаблюдения по периметру здания, у входной группы в здание, на всех этажах здания;

установлена пожарная сигнализация;

осуществляется резервное копирование защищаемой информации;

назначены ответственные специалисты за обеспечение безопасности ПДн;

пользователи ИСПДн осведомлены и проинструктированы о порядке работы с ПДн и защиты ПДн.

4. ИСПДн "Система электронного документооборота "Олимп"

4.1. Назначение ИСПДн и основание обработки ПДн

Назначение ИСПДн:

организация деятельности Министерства, автоматизированный учет государственных гражданских служащих Удмуртской Республики, замещающих должности государственной гражданской службы в Министерстве, работников, занимающих в Министерстве должности, не являющиеся должностями государственной гражданской службы Удмуртской Республики, работников, осуществляющих профессиональную деятельность по профессиям рабочих, руководителей территориальных органов Министерства и подведомственных Министерству организаций, а также их близких родственников, в случаях установленных законодательством иных категорий субъектов персональных данных в связи с реализацией служебных или трудовых отношений.

Основание обработки ПДн:

Трудовой кодекс Российской Федерации; Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации"; Закон Удмуртской Республики от 05.07.2005 N 38-РЗ "О государственной гражданской службе Удмуртской Республики"; Указ Президента Удмуртской Республики от 26.08.2005 N 106 "О порядке ведения личных дел государственных гражданских служащих Удмуртской Республики"; Указ Главы Удмуртской Республики от 27.08.2014 N 262 "О перечне должностей государственной гражданской службы Удмуртской Республики, при назначении на которые граждане обязаны предоставлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей и при замещении которых государственные гражданские служащие Удмуртской Республики обязаны предоставлять сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей"; Указ Главы Удмуртской Республики от 25.09.2014 N 311 "О Порядке размещения сведений о доходах, расходах, об имуществе и обязательствах имущественного характера лиц, замещающих государственные должности Удмуртской Республики, государственных гражданских служащих Удмуртской Республики и членов их семей на официальных сайтах государственных органов Удмуртской Республики и предоставления этих сведений общероссийским и республиканским средствам массовой информации для опубликования"; Указ Главы Удмуртской Республики от 25.09.2014 N 313 "О представлении гражданином, претендующим на замещение должности государственной гражданской службы Удмуртской Республики, и государственным гражданским служащим Удмуртской Республики сведений о своих доходах, об имуществе и обязательствах имущественного характера и сведений о доходах, об имуществе и обязательствах имущественного характера и сведений о доходах, об имуществе и обязательствах имущественного характера своей семьи"; Указ Главы Удмуртской Республики от 06.10.2014 N 324 "Об организации работы по ведению личных дел государственных гражданских служащих Удмуртской Республики"; постановление Правительства Удмуртской Республики от 10.10.2006 N 108 "О территориальных органах Министерства социальной, семейной и демографической политики Удмуртской Республики"; постановление Правительства Удмуртской Республики от 08.12.2014 N 510 "О Министерстве социальной, семейной и демографической политики Удмуртской Республики".

4.2. Структура ИСПДн

Параметры ИСПДн

Таблица 13.

Заданные характеристики безопасности ПДн (тип ИСПДн)	Специальная информационная система
В ИСПДн обрабатываются	ПДн субъектов, являющихся и не являющихся сотрудниками организации; менее 100 000 субъектов ПДн
Структура ИСПДн	Локальная информационная система
Подключение ИСПДн к сетям общего пользования и (или) сетям международного информационного обмена	Имеется
Режим обработки ПДн	Многопользовательская система
Режим разграничения прав доступа пользователей ИСПДн	Система с разграничением прав доступа пользователей
Местонахождение технических средств ИСПДн	Все технические средства находятся в пределах Российской Федерации
Требования к ИСПДн	К ИСПДн предъявляются требования целостности и доступности

4.3. Состав и структура объектов защиты

В ИСПДн обрабатываются следующие ПДн субъектов ПДн:

а) государственных гражданских служащих Удмуртской Республики, замещающих должности государственной гражданской службы в Министерстве, работников, занимающих в Министерстве должности, не являющиеся должностями государственной гражданской службы Удмуртской Республики, работников, осуществляющих профессиональную деятельность по профессиям рабочих, руководителей территориальных органов Министерства и подведомственных Министерству организаций, а также их близких родственников, в случаях установленных законодательством иных категорий субъектов персональных данных в связи с реализацией служебных или трудовых отношений:

фамилия, имя, отчество, пол, дата рождения, место рождения, контактный телефон, электронный адрес, гражданство, адрес места регистрации, адрес места проживания, паспортные данные (серия, номер, кем и когда выдан), данные свидетельства о рождении, номер страхового свидетельства государственного пенсионного страхования (СНИЛС), номер свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН), номер страхового медицинского полиса обязательного медицинского страхования граждан, сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета), реквизиты банковского счета, данные о семейном положении и составе семьи (муж/жена, дети), данные о социальном положении, данные об имущественном положении, данные о наградах, медалях, поощрениях, почетных званиях, удостоверениях, данные о трудовом стаже (место работы, должность, период работы, причины увольнении), информация о дисциплинарных взысканиях, судимостях, исполнительных листах, информация о приеме на работу, перемещении, переводе, увольнении, информация об отпусках, информация о командировках, информация о больничных листах, информация об образовании (наименование образовательной организации, сведения о документах, подтверждающих образование: наименование, номер, дата выдачи, специальность), информация о знании иностранных языков, данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного и дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты), данные о служебном контракте (номер, дата его заключения, дата начала и окончания служебного контракта, вид работы, срок действия контракта, наличие испытательного срока, режим труда, длительность основного и дополнительного отпуска, дополнительные социальные льготы и гарантии, характер работы, форма оплаты, условия труда, продолжительность рабочей недели, система оплаты), данные об аттестации работников, данные о повышении квалификации, информация о форме допуска к государственной тайне, информация о негосударственном пенсионном обеспечении;

б) граждан:

фамилия, имя, отчество; пол; дата рождения; место работы.

в) специальные категории персональных данных:

сведения и заключения о состоянии здоровья установленной формы об отсутствии у гражданина заболеваний, препятствующих поступлению на государственную гражданскую службу или ее прохождению;

г) биометрические персональные данные:

фотографии.

В соответствии с постановлением Правительства Российской Федерации Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", исходя из количества субъектов персональных данных (менее 100 000 субъектов), являющихся и не являющихся сотрудниками Министерства социальной политики и труда Удмуртской Республики, категории обрабатываемых персональных данных - специальная (в информационной системе обрабатываются сведения и заключения о состоянии здоровья установленной формы об отсутствии у гражданина заболеваний, препятствующих поступлению на государственную гражданскую службу или ее прохождению), типа актуальных угроз безопасности - третий (актуальные угрозы безопасности персональных данных, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе), для ИСПДн необходимо обеспечить третий (УЗ3) уровень защищенности персональных данных и отнести к классу защищенности К3.

Также в ИСПДн существуют следующие объекты защиты:

1) технологическая информация:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты);

технологическая информация средств доступа к системам управления (аутентификационная и идентификационная информация, атрибуты доступа);

информация о СЗПДн, ее составе и структуре, принципах и технических решениях защиты;

2) программно-технические средства обработки:

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (персональные компьютеры, серверы, программный координатор, программно-аппаратный координатор);

сетевое оборудование (концентраторы, коммутаторы);

3) средства защиты ПДн:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

4) каналы информационного обмена и телекоммуникации;

локальная сеть;

защищенная электронная почта;

защищенная сеть передачи данных Министерства ViPNet N 577

5) объекты и помещения, в которых размещены компоненты ИСПДн.

4.4. Конфигурация ИСПДн

Конфигурация элементов ИСПДн приведена на рисунке в Приложении 7 к настоящему Отчету.

Территориальное расположение ИСПДн относительно контролируемой зоны приведено на рисунке в Приложении 8 к настоящему Отчету.

4.5. Режим обработки ПДн

Режим обработки предусматривает следующие действия с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

В ИСПДн обработка ПДн осуществляется в многопользовательском режиме с разграничением прав доступа.

Таблица 14.

Матрица доступа (права доступа лиц, допущенных к обработке ПДн)

Группа	Уровень доступа к ПДн	Разрешенные действия	Подразделение
Администратор ИСПДн	- обладает полной информацией о системном и прикладном программном обеспечении ИСПДн; - обладает полной информацией о технических средствах и конфигурации ИСПДн; - имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн; - обладает правами конфигурирования и административной настройки технических средств ИСПДн	систематизация, накопление, хранение, распространение, обезличивание, блокирование, уничтожение	управление информационных ресурсов
Администратор безопасности	- обладает полной информацией об информационной системе персональных данных; - имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационной системы персональных данных; -не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных); - обладает правами доступа и контроля за ведением электронного журнала безопасности и соответствия, отраженных в нем полномочий пользователей информационной системы их должностным обязанностям	хранение, блокирование, уничтожение	управление информационных ресурсов
Администратор сети	- обладает частью информации о системном и прикладном программном обеспечении информационной системы персональных данных; - обладает частью информации о технических средствах и конфигурации информационной системы персональных данных; - имеет физический доступ к техническим средствам обработки информации и средствам защиты	распространение	управление информационных ресурсов
Пользователь ИСПДн с правами записи	- обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн	сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, распространение, блокирование, удаление	управление организационно-аналитического обеспечения и связей с общественностью
Пользователь ИСПДн с правами чтения	- обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к ПДн	накопление, хранение, извлечение, использование накопление, хранение, извлечение, использование	управление правовой работы контроля и надзора;
Технический специалист по обслуживанию периферийного оборудования	обладает частью информации о технических средствах и конфигурации периферийного оборудования	не имеет полномочий для управления подсистемами обработки данных и безопасности	управление информационных ресурсов
Программист-разработчик ИСПДн	обладает информацией об алгоритмах и программах обработки информации ИСПДн; может располагать фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты персональных данных	не имеет прав использования персональных данных	ЗАО "Градиент-Новые технологии", г. Ижевск

4.6. Перечень лиц, участвующих в обработке ПДн и права доступа

Перечень лиц, участвующих в обработке ПДн

Таблица 15.

N	Роль	Фамилия И.О.	Подразделение
1.	пользователь информационной системы персональных данных с правами чтения	Борисова М.Ю.	отдел делопроизводства и работы с обращениями граждан управления организационно-аналитического обеспечения и связей с общественностью
2.	администратор безопасности	Козуляев А.Ю.	отдел информационных систем и телекоммуникаций управления информационных ресурсов
3.	пользователь информационной системы персональных данных с правами чтения	Кузнецова Т.В.	отдел делопроизводства и работы с обращениями граждан управления организационно-аналитического обеспечения и связей с общественностью
4.	пользователь информационной системы персональных данных с правами чтения	Микрюкова О.Н.	управления правовой работы, контроля и надзора
5.	пользователь информационной системы персональных данных с правами чтения	Семенова А.С.	отдел организационно-контрольной работы и кадров управления организационно-аналитического обеспечения и связей с общественностью
6.	технический специалист по обслуживанию периферийного оборудования	Сироткина И.В.	отдел информационных систем и телекоммуникаций управления информационных ресурсов

4.7. Угрозы безопасности ПДн

При обработке ПДн в ИСПДн можно выделить следующие угрозы:

1) угрозы от утечки по техническим каналам:

а) угрозы утечки видовой информации;

б) угрозы утечки информации по каналам ПЭМИН;

2) угрозы несанкционированного доступа к информации:

кража ПЭВМ;

кража носителей информации;

кража атрибутов доступа;

вывод из строя узлов ПЭВМ, каналов связи;

несанкционированное отключение средств защиты.

действия вредоносных программ (вирусов);

недекларированные возможности прикладного ПО для обработки ПДн;

установка ПО, не связанного с исполнением служебных обязанностей;

утрата атрибутов доступа;

непреднамеренная модификация (уничтожение) информации специалистами;

непреднамеренное отключение средств защиты;

выход из строя аппаратно-программных средств;

сбой системы электроснабжения;

стихийное бедствие;

г) угрозы преднамеренных действий внутренних нарушителей:

доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке;

разглашение информации, модификация, уничтожение специалистами, допущенными к ее обработке;

д) угрозы несанкционированного доступа по каналам связи:

перехват за переделами контролируемой зоны;

перехват в пределах контролируемой зоны внешними нарушителями;

перехват в пределах контролируемой зоны внутренними нарушителями;

угрозы выявления паролей по сети;

угрозы навязывания ложного маршрута сети;

угрозы подмены доверенного объекта в сети;

угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;

угрозы типа "Отказ в обслуживании";

угрозы удаленного запуска приложений;

угрозы внедрения по сети вредоносных программ.

4.8. Технические меры защиты ИСПДн

Существующие в ИСПДн технические меры защиты представлены в таблице.

Таблица 16.

Элемент ИСПДн	Программные и аппаратные средства обработки ПДн	Установленные средства защиты
АРМ пользователя	ОС Windows 7 ОС Windows 10 ПО КИС "Олимп: Учет персонала"	Средства ОС: управление и разграничение доступ пользователей; регистрация и учет действий с информацией. Антивирусное ПО - "Dr. Web Enterprise Suite":
АРМ администратора	ОС Windows 10 ПО КИС "Олимп: Учет персонала"	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией. Антивирусное ПО - "Dr. Web Enterprise Suite":
Сервер приложений	OС Windows Server 2012	Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией. Антивирусное ПО - "Dr. Web Enterprise Suite":
СУБД	БД SQL сервер ПО КИС "Олимп: Учет персонала"	Средства БД Средства ОС: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных; обнаружение вторжений
Граница ЛВС	Оборудование	Межсетевой экран: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных; обнаружение вторжений
Каналы передачи	Оборудование и программное обеспечение	СКЗИ: ПО ViPNet Client, ViPNet Administrator, ПАК ViPNet Coordinator HW-1000, ViPNet Coordinator Windows, КриптоПРО CSP: управление и разграничение доступа пользователей; регистрация и учет действий с информацией; обеспечение целостности данных

В ИСПДн введены следующие организационные меры защиты:

осуществляется контроль доступа в контролируемую зону;

двери в помещениях, где расположена ИСПДн, закрываются на замок и опечатываются;

утверждены правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

утвержден перечень лиц, имеющих право доступа в помещения;

установлены системы видеонаблюдения по периметру здания, у входной группы в здание, на всех этажах здания;

установлена пожарная сигнализация;

осуществляется резервное копирование защищаемой информации;

назначены ответственные специалисты за обеспечение безопасности ПДн;

пользователи ИСПДн осведомлены и проинструктированы о порядке работы с ПДн и защиты ПДн.

Приложение 1
к Отчету о результатах проведения внутренней проверки

обеспечения защиты персональных данных в информационных
системах персональных данных Министерства социальной политики
и труда Удмуртской Республики

Конфигурация элементов
Государственная информационная система Удмуртской Республики
"Автоматизированная система "Адресная социальная помощь" Министерства социальной политики и труда Удмуртской Республики"

Приложение 2
к Отчету о результатах проведения внутренней проверки

Территориальное расположение

Государственная информационная система Удмуртской Республики "Автоматизированная система "Адресная социальная помощь" Министерства социальной политики и труда Удмуртской Республики"

Контролируемая зона:

Здание Министерства социальной политики и труда Удмуртской Республики и прилегающая территория

Места расположения ИСПДн:

Кабинеты 113, 114, 215, 302, 304, 305, 307, 308, 309, 310, 311, 318, 322, 323, 402, 404,408, 410, 412, 413.

Приложение 3
к Отчету о результатах проведения внутренней проверки

Конфигурация элементов
Государственная информационная система Удмуртской Республики "Региональный сегмент регистров получателей государственных услуг в сфере занятости населения" (структурная схема ГИС Региональный сегмент АИС РПУ)

Приложение 4
к Отчету о результатах проведения внутренней проверки

Территориальное расположение
Государственная информационная система Удмуртской Республики "Региональный сегмент регистров получателей государственных услуг в сфере занятости населения"

Контролируемая зона:

Расположение серверной компоненты ГИС - г. Ижевск, ул. 7-я Подлесная, д. 24

Контролируемая зона:

Клиентская компонента сегмента ГИС - здание Министерства социальной политики и труда Удмуртской Республики и прилегающая территория.

Места расположения ГИС:

Кабинеты 214, 311, 318, 402, 404,407, 410, 411, 416, 424, 426.

Часть здания (вид сверху)

Приложение 5
к Отчету о результатах проведения внутренней проверки

Конфигурация элементов
ИСПДн "Программный комплекс "1С: Бухгалтерия" Министерства социальной политики и труда Удмуртской Республики"

Приложение 6
к Отчету о результатах проведения внутренней проверки

Территориальное расположение
ИСПДн "Программный комплекс "1С: Бухгалтерия" Министерства социальной политики и труда Удмуртской Республики"

Контролируемая зона:

Здание Министерства социальной политики и труда УР и прилегающая территория

Места расположения ИСПДн:

Кабинеты 201, 218,220, 222, 225, 227, 410.

Часть здания (вид сверху)

Приложение 7
к Отчету о результатах проведения внутренней проверки

Конфигурация элементов
ИСПДн "Система электронного документооборота "Олимп. Управление персоналом" Министерства социальной политики и труда Удмуртской Республики"

Приложение 8
к Отчету о результатах проведения внутренней проверки

Территориальное расположение
ИСПДн "Система электронного документооборота "Олимп" Министерства социальной политики и труда Удмуртской Республики"

Контролируемая зона:

Здание Министерства социальной политики и труда УР и прилегающая территория

Места расположения ИСПДн:

Кабинеты: 210, 318, 328, 410.

Часть здания (вид сверху)

Откройте актуальную версию документа прямо сейчас

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.