Без рубрики

О направлении формы ежеквартальных отчетов

Письмо Управления информатизации г. Москвы от 30.06.2010 N 64-03-298/10

Во исполнение п. 2 приложения N 1 к постановлению Правительства Москвы от 08.06.2010 N 463-ПП "О мерах по реализации требований Федерального закона от 27.07.2006 N 152-ФЗ" направляю форму представления ежеквартальных отчетов по выполнению мероприятий плана органов исполнительной власти города Москвы по реализации требований Федерального закона от 27.07.2010 N 152-ФЗ "О персональных данных".
Прошу довести указанную отчетную форму до подведомственных учреждений — операторов информационных систем, обрабатывающих персональные данные. Обобщенный отчет в установленном порядке прошу направлять в Управление информатизации, электронную версию указанного отчета дублировать по электронной почте: vrn@ui.mos.ru.
Электронная версия указанной формы отчета и методические рекомендации по ее заполнению опубликованы на сайте Управления информатизации (http://ui.mos.ru) в разделе "Библиотека"/"Методические рекомендации".

Начальник Управления М.И. Алешин

Приложение к письму Управления информатизации города Москвы от 30 июня 2010 г. N 64-03-298/10

Форма отчетности органа исполнительной власти города Москвы по выполнению требований постановления Правительства
от 08.06.2010 N 463-ПП

ТИПОВАЯ ФОРМА СВОДНОГО ОТЧЕТА ОРГАНА ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ ПО СОСТАВУ ИСПДн

по состоянию на ________________

Таблица N 1

┌───────────┬───────────────────┬───────────────┬──────────┬───────────────┬─────────────────────────────────────────────────────────────────────────────────────────────────────┐│Название │Кол-во мероприятий │Состав ИСПДн │Количество│Классы ИСПДн │Из них ││ИСПДн │плана │ │ИС, обра- │ ├───────────────────┬───────────┬────────────────────────┬───────────────────┬────────────────────────┤│ │ │ │батывающих│ │По типам │Наличие │Режим обработки ПДн │Разграничение │По структуре ││ │ │ │ПДн │ │ │подключения│ │доступа │ ││ │ │ │ │ │ │к СООП │ │пользователей │ ││ ├─────┬──────┬──────┼──────┬────────┤ ├───┬───┬───┬───┼───────────┬───────┼─────┬─────┼───────────┬────────────┼───────────┬───────┼────┬─────────┬─────────┤│ │всего│выпол-│в т.ч.│кол-во│кол-во │ │К1 │К2 │К3 │К4 │специальная│типовая│имеет│не │однопользо-│многопользо-│с разграни-│без │АРМ │локальная│распреде-││ │ │нено │% │АРМ │серверов│ │ │ │ │ │ │ │ │имеет│вательский │вательский │чением │разгра-│ │ │ленная ││ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ничения│ │ │ │├───────────┼─────┼──────┼──────┼──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼─────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│ 1 │ 2 │ 3 │ 4 │ 5 │ 6 │ 7 │ 8 │ 9 │10 │11 │ 12 │ 13 │ 14 │ 15 │ 16 │ 17 │ 18 │ 19 │ 20 │ 21 │ 22 │├───────────┼─────┼──────┼──────┼──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼─────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │├───────────┤ │ │ ├──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼─────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │├───────────┴─────┴──────┴──────┼──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼─────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│всего │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │├───────────────────────────────┴──────┴────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼─────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│из них аттестовано │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │├───────────────────────────────────────────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼─────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│из них декларировано │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │└───────────────────────────────────────────────┴──────────┴───┴───┴───┴───┴───────────┴───────┴─────┴─────┴───────────┴────────────┴───────────┴───────┴────┴─────────┴─────────┘

ПРИМЕР ЗАПОЛНЕНИЯ СВОДНОГО ОТЧЕТА ОРГАНА ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ ПО СОСТАВУ ИСПДн

┌───────────┬───────────────────┬───────────────┬──────────┬───────────────┬──────────────────────────────────────────────────────────────────────────────────────────────────────┐│Название │Кол-во мероприятий │Состав ИСПДн │Количество│Классы ИСПДн │Из них ││ИСПДн │плана │ │ИС, обра- │ ├───────────────────┬────────────┬────────────────────────┬───────────────────┬────────────────────────┤│ │ │ │батывающих│ │По типам │Наличие │Режим обработки ПДн │Разграничение │По структуре ││ │ │ │ПДн │ │ │подключения │ │доступа │ ││ │ │ │ │ │ │к СООП │ │пользователей │ ││ ├─────┬──────┬──────┼──────┬────────┤ ├───┬───┬───┬───┼───────────┬───────┼──────┬─────┼───────────┬────────────┼───────────┬───────┼────┬─────────┬─────────┤│ │всего│выпол-│в т.ч.│кол-во│кол-во │ │К1 │К2 │К3 │К4 │специальная│типовая│имеет │не │однопользо-│многопользо-│с разграни-│без │АРМ │локальная│распреде-││ │ │нено │% │АРМ │серверов│ │ │ │ │ │ │ │ │имеет│вательский │вательский │чением │разгра-│ │ │ленная ││ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ничения│ │ │ │├───────────┼─────┼──────┼──────┼──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼──────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│ 1 │ 2 │ 3 │ 4 │ 5 │ 6 │ 7 │ 8 │ 9 │10 │11 │ 12 │ 13 │ 14 │ 15 │ 16 │ 17 │ 18 │ 19 │ 20 │ 21 │ 22 │├───────────┼─────┼──────┼──────┼──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼──────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│АИС "_____"│ 15 │ 6 │ 40 │ 10 │ 1 │ 1 │ - │ - │ 1│ - │ - │ 1 │ - │ 1 │ - │ 1 │ 1 │ - │ - │ 1 │ - │├───────────┤ │ │ ├──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼──────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│АИС "_____"│ │ │ │ 1200 │ 150 │ 1 │ 1 │ - │ -│ - │ 1 │ - │ 1 │ - │ - │ 1 │ 1 │ - │ - │ - │ 1 │├───────────┤ │ │ ├──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼──────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│АИС "_____"│ │ │ │ 103 │ 17 │ 1 │ - │ 1 │ -│ - │ - │ 1 │ 1 │ - │ - │ 1 │ 1 │ - │ - │ 1 │ - │├───────────┴─────┴──────┴──────┼──────┼────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼──────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│всего │ 1313 │ 168 │ 3 │ 1 │ 1 │ 1│ 0 │ 1 │ 2 │ 2 │ 1 │ 0 │ 3 │ 3 │ 0 │ 0 │ 2 │ 1 │├───────────────────────────────┴──────┴────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼──────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│из них аттестовано │ 1 │ 1 │ - │ -│ - │ - │ 1 │ 1 │ - │ - │ 1 │ 1 │ - │ - │ 1 │ - │├───────────────────────────────────────────────┼──────────┼───┼───┼───┼───┼───────────┼───────┼──────┼─────┼───────────┼────────────┼───────────┼───────┼────┼─────────┼─────────┤│из них декларировано │ 2 │ - │ 1 │ 1│ - │ 1 │ 1 │ 1 │ 1 │ - │ 1 │ 1 │ - │ - │ 1 │ - │└───────────────────────────────────────────────┴──────────┴───┴───┴───┴───┴───────────┴───────┴──────┴─────┴───────────┴────────────┴───────────┴───────┴────┴─────────┴─────────┘

Таблица N 2

СВОДНЫЙ ОТЧЕТ ОРГАНА ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ ГОРОДА МОСКВЫ О ХОДЕ ВЫПОЛНЕНИЯ ПЛАНА МЕРОПРИЯТИЙ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА ОТ 27.07.2006 N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
НА 2010 ГОД

┌─────┬──────────────────────────────────────┬────────────────────────────────────┐│N │Мероприятия плана │Результаты работы ││п/п │ │ │├─────┼──────────────────────────────────────┴────────────────────────────────────┤│1 │Анализ информационных ресурсов ││ ├──────────────────────────────────────┬────────────────────────────────────┤│ │1.1. Определение состава, содержания и│Перечень персональных данных, ││ │местонахождения ПДн, подлежащих защите│обрабатываемых в ИСПДн (N документа ││ │ │и дата) ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │1.2. Классификация ИСПДн │Акт классификации информационной ││ │ │системы персональных данных (N ││ │ │документа и дата для каждой ИСПДн) │├─────┼──────────────────────────────────────┴────────────────────────────────────┤│2 │Анализ угроз безопасности ИСПДн ││ ├──────────────────────────────────────┬────────────────────────────────────┤│ │2.1. Составление перечня уязвимостей и│Модель угроз безопасности ПДн, ││ │возможных угроз безопасности ПДн │обрабатываемых в ИСПДн (N документа ││ ├──────────────────────────────────────┤и дата) ││ │2.2. Оценка актуальности угроз │ ││ │безопасности ПДн │ ││ ├──────────────────────────────────────┤ ││ │2.3. Создание частной (специальной) │ ││ │модели угроз безопасности ПДн │ │├─────┼──────────────────────────────────────┴────────────────────────────────────┤│3 │Создание системы защиты персональных данных, обрабатываемых в ИСПДн ││ ├──────────────────────────────────────┬────────────────────────────────────┤│ │3.1. Разработка системы защиты │Проект создания системы защиты ││ │персональных данных в ИСПДн │персональных данных, обрабатываемых ││ │ │в ИСПДн ││ │ ├────────────────────────────────────┤│ │ │Спецификация по закупке средств ││ │ │защиты ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │3.2. Поставка, установка, наладка, │Акт ввода в эксплуатацию системы ││ │опытная эксплуатация, устранение │защиты ПДн, обрабатываемых в ИСПДн ││ │недостатков по результатам опытной │ ││ │эксплуатации и ввод в эксплуатацию │ ││ │системы защиты персональных данных, │ ││ │обрабатываемых в ИСПДн │ │├─────┼──────────────────────────────────────┴────────────────────────────────────┤│4 │Разработка распорядительных и нормативных документов по организации ││ │защиты ПДн, обрабатываемых в ИСПДн ││ ├──────────────────────────────────────┬────────────────────────────────────┤│ │4.1. Разработка и выпуск приказа о │Приказ... (N документа и дата) ││ │назначении работника (структурного │ ││ │подразделения), ответственного за │ ││ │обеспечение безопасности │ ││ │конфиденциальной информации, в том │ ││ │числе ПДн │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.2. Разработка и выпуск приказа о │Приказ... (N документа и дата) ││ │составе комиссии по классификации │ ││ │информационных систем персональных │ ││ │данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.3. Разработка и выпуск приказа о │Приказ... (N документа и дата) ││ │выделении помещения (помещений), в │ ││ │котором производится обработка ПДн. │ ││ │Приложение к приказу: список │ ││ │допущенных сотрудников │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.4. Разработка и выпуск приказа об │Приказ... (N документа и дата) ││ │утверждении списка лиц, доступ │ ││ │которых к персональным данным, │ ││ │обрабатываемым в информационных │ ││ │системах, необходим для выполнения │ ││ │служебных (трудовых) обязанностей │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.5. Разработка и выпуск приказа о │Приказ... (N документа и дата) ││ │назначении администраторов │ ││ │безопасности системы защиты ПДн и │ ││ │администраторов прикладного ПО │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.6. Разработка и выпуск приказа об │Приказ... (N документа и дата) ││ │утверждении мест хранения │ ││ │материальных носителей персональных │ ││ │данных (в случае неавтоматизированной │ ││ │обработки ПДн) │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.7. Разработка и утверждение перечня │Утвержденный перечень... ││ │ПДн, подлежащих защите, и листа │(N документа и дата) ││ │ознакомления к нему │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.8. Разработка матрицы доступа к │Матрица доступа... (N документа и ││ │персональным данным в ИСПДн │дата) ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.9. Разработка и направление в │Выписка из реестра операторов ││ │уполномоченный орган уведомления об │ ││ │обработке персональных данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.10. Разработка Положения о порядке │Положение... (N документа и дата) ││ │обработки и обеспечении безопасности │ ││ │персональных данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.11. Разработка инструкции по порядку│Положение... (N документа и дата) ││ │учета и хранению съемных носителей ПДн│ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.12. Разработка инструкции, │Инструкция... (N документа и дата) ││ │определяющей порядок охраны, │ ││ │внутриобъектовый режим и порядок │ ││ │допуска лиц в помещения, в которых │ ││ │ведется обработка персональных данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.13. Разработка Положения о │Положение... (N документа и дата) ││ │подразделении, осуществляющем функции │ ││ │по организации защиты персональных │ ││ │данных (при наличии подразделения) │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.14. Разработка Положения │Положение... (N документа и дата) ││ │(инструкции) о резервировании и │ ││ │восстановлении работоспособности ТС и │ ││ │ПО, баз данных и средств СЗПДн │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.15. Разработка руководства │Руководство... (N документа и дата) ││ │пользователя по обеспечению │ ││ │безопасности ИСПДн │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.16. Разработка руководства │Руководство... (N документа и дата) ││ │администратора по обеспечению │ ││ │безопасности ИСПДн │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.17. Разработка журнала учета │Журнал... (N документа и дата) ││ │бумажных и съемных носителей ПДн │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.18. Разработка журнала регистрации и│Журнал... (N документа и дата) ││ │учета обращений субъектов персональных│ ││ │данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.19. Разработка журнала учета │Журнал... (N документа и дата) ││ │персональных данных для пропуска │ ││ │субъекта персональных данных на │ ││ │территорию оператора │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.20. Разработка перечня используемых │Перечень... (N документа и дата) ││ │сертифицированных технических средств │ ││ │защиты информации │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.21. Разработка плана мероприятий по │План... (N документа и дата) ││ │защите персональных данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.22. Разработка плана внутренних │План... (N документа и дата) ││ │проверок состояния защиты персональных│ ││ │данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.23. Разработка типовых форм │Типовые формы... (N документа и ││ │документов, предполагающих или │дата) ││ │допускающих содержание персональных │ ││ │данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.24. Получение письменного согласия │Письменное согласие получено ││ │субъектов персональных данных на │ ││ │обработку их персональных данных │ ││ ├──────────────────────────────────────┼────────────────────────────────────┤│ │4.25. Распечатка (копия) шаблонов, │Распечатка шаблонов... (N документа ││ │содержащих персональные данные (формы │и дата) ││ │и поля заполнения), определенные │ ││ │оператором │ │└─────┴──────────────────────────────────────┴────────────────────────────────────┘________________________________________________ _________________(должность, фамилия, инициалы должностного лица, (дата, подпись)ответственного за обеспечение безопасности ПДн)

Добавить комментарий