Акт определения уровня защищенности данных образец 2021

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Акт определения уровня защищенности данных образец 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

Акт определения уровня защищенности персональных данных образец бланк

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  • ведут электронные амбулаторные карты, электронную регистратуру;
  • обрабатывают данные медицинских исследований в цифровой форме;
  • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  • используют как средство общения между сотрудниками;
  • анализируют финансовую и административную информацию.

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
  • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Акт определения уровня защищенности персональных данных

  1. Первый уровень необходим для систем, которые подвержены 1-му типу угроз, обрабатывающих специальные, биометрические или иные данные, или для систем с рисками 2-го типа, в которых обрабатываются специальные данные более 100 тысяч субъектов – не сотрудников компании-оператора.
  2. Второй установлен для систем, работающих с любым количеством общедоступных данных при 1 типе опасностей. Для систем, подверженных угрозам 2 типа, в которых обрабатываются специальные данные сотрудников компании и информация третьих лиц в объеме менее 100 тысяч субъектов, биометрические данные, общедоступная информация или иные сведения о более чем 100 тысячах субъектов, не являющихся сотрудниками предприятия.

    Для систем, подверженных угрозам 3 типа, работающих со специальными категориями информации более чем 100 тысяч субъектов – не сотрудников.

  3. Третий устанавливается для систем с угрозами 2 типа, в которых обрабатываются общедоступные или иные сведения о менее чем 100 тысячах субъектов, работающих в компании или нет.

    Систем, подверженных угрозам 3 типа, работающих со специальной или иной информацией менее чем 100 тысяч субъектов, не работающих в компании, с биометрическими данными любого количества субъектов, иными сведениями о более чем 100 тысячах субъектов – не сотрудников.

  4. Четвертый уровень распространяется на информационные базы с 3 типом угроз, в которых обрабатываются общедоступные сведения любого количества субъектов, или иные категории информации о сотрудниках и третьих лицах, в объеме меньше 100 тысяч субъектов.

Для удобства определения нужного уровня, представим данные в таблице.

Типы угроз/ уровень защищенности Категории данных Категории субъектов Объем
1 2 3
1УЗ 1УЗ 2УЗ Специальные Третьи лица от 100 тыс.
1УЗ 2УЗ 3УЗ до 100 тыс.
1УЗ 2УЗ 3УЗ Персонал любой
1УЗ 2УЗ 3УЗ Биометрические Третьи лица от 100 тыс.
1УЗ 2УЗ 3УЗ до 100 тыс.
1УЗ 2УЗ 3УЗ Персонал любой
1УЗ 2УЗ 3УЗ Иные Третьи лица от 100 тыс.
1УЗ 3УЗ 4УЗ до 100 тыс.
1УЗ 3УЗ 4УЗ Персонал любой
2УЗ 2УЗ 4УЗ Общедоступные Третьи лица от 100 тыс.
2УЗ 3УЗ 4УЗ до 100 тыс.
2УЗ 3УЗ 4УЗ Персонал любой

Поскольку речь в статье пойдет о так называемой «бумажной» безопасности, хотелось бы сразу обозначить нашу позицию об этой части инфобеза.

У многих технарей, работающих «руками» зачастую вызывает резкое отторжение и пренебрежение эта самая «бумажная» безопасность. Однако, как это ни странно, когда такой технарь получает в свое распоряжению новую железку или софт (а иногда и то и другое в одном продукте), он хочет в первую очередь ознакомиться с документацией на это чудо техники.

Самое частое обоснование такой пренебрежительной позиции – эти все документы делаются просто для галочки, чтобы выполнить требования законодательства, это пустая трата времени, документы нужно поддерживать, но никто заниматься этим не будет и т. д. и т. п.

К сожалению, такая позиция не беспочвенна. За многие годы как среди безопасников на местах, так и среди лицензиатов, интеграторов и прочих заинтересованных лиц сложилась печальная практика такого же отношения к документам по информационной безопасности. В итоге нарисовался порочный круг – документы делают бесполезными, потому что к ним пренебрежительно относятся, в свою очередь к ним пренебрежительно относятся, потому что они бесполезные.

Отчасти это еще усугубляется тем, что зачастую документы по информационной безопасности пишут люди, далекие от информационных технологий. Ведь как можно писать раздел про защиту средств виртуализации, не понимая как эта самая виртуализация работает?

Чтобы такую ситуацию переломить, необходимо делать хорошие, содержательные и полезные документы. В то же время эти документы должны удовлетворять действующему законодательству по защите информации. Давайте посмотрим, что же можно со всем этим сделать.

01 Приказ необходимости защиты информации

Нас часто спрашивают, зачем вообще нужен такой приказ. Дело в том, что 17-м приказом ФСТЭК первым мероприятием по формированию требований к защите информации установлено некое «принятие решения о необходимости защиты информации, содержащейся в информационной системе». А как мы помним, исполнение таких требований нужно подтверждать документально, вот и появился такой приказ, которым мы «принимаем решение».

Обратите внимание, что для государственных и для муниципальных информационных систем шаблоны разные.

02-03 Приказ о классификации и акт классификации

Классификация государственной информационной системы очень важный этап формирования требований к системе защиты информации. От того какой мы класс установим, будет зависеть и количество требований, которые нам нужно выполнить.

Приказом мы назначаем комиссию по классификации, а актом эта комиссия фиксирует параметры информационной системы и на основе исходных данных присваивает первый, второй или третий класс защищенности.

Единственное на что необходимо обратить внимание – если в ГИС обрабатываются, в том числе персональные данные, то для них тоже необходимо в этом же акте определить их уровень защищенности.

04 Приказ о вводе в действие

В соответствии с 17-м приказом ФСТЭК, государственная (или муниципальная) информационная система может быть введена в действие только на основании аттестата соответствия требованиям по безопасности информации.

Здесь представлены документы, учитывающие требования ФСБ по обращению с криптосредствами. Соответственно, они не нужны, если криптография не применяется. Поскольку многие требования довольно старые и достаточно жесткие (один из руководящих документов аж от 2001 года), мы постарались как-то сбалансировать внутренние документы, чтобы и вам и нам, как говорится. Но проверяющие от ФСБ у нас ребята самые непредсказуемые, поэтому эти документы у нас часто дополняются и изменяются.

  • 27 октября 2008 г.
    • Сутки
    • Неделя
    • Месяц

    Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

    Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

    1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

    2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

    3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

    4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

    По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

    • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
    • обработка персональных данных субъектов, не являющихся работниками вашей организации.

    По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

    • менее 100 000 субъектов;
    • более 100 000 субъектов;

    К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…

    И наконец, типы актуальных угроз:

    • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
    • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
    • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

    Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

    Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

    • English(selected)
    • español
    • português
    • Deutsch
    • français
    • Русский
    • italiano
    • român
    • Bahasa Indonesia
    • Home
    • Books
    • Audiobooks
    • Documents, active

    Акт определение уровня защищенности персональных данных

    Бытовые услуги • Телекоммуникационные компании • Доставка готовых блюд • Организация и проведение праздников • Ремонт мобильных устройств • Ателье швейные • Химчистки одежды • Сервисные центры • Фотоуслуги • Праздничные агентства

    Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

    Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений.

    В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы.

    В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

    Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

    С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

    • ведут электронные амбулаторные карты, электронную регистратуру;
    • обрабатывают данные медицинских исследований в цифровой форме;
    • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
    • используют как средство общения между сотрудниками;
    • анализируют финансовую и административную информацию.

    При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

    • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
    • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

    В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

    ИСПДн — это информационная система персональных данных. Она включает в себя сами персональные данные и средства, которые используют для их обработки и защиты.

    Например, у вас интернет-магазин и вы собираете в базу персональные данные клиентов. В таком случае вы оператор персональных данных, а к вашей ИСПДн относят:

    1. Сами персональные данные: имена, фамилии, почтовые адреса, номера телефонов, а также другую информацию, которую вы можете спрашивать у клиентов, чтобы предлагать им определенные товары и скидки, например, дату рождения или данные о семейном положении и наличии детей.
    2. Базы данных, в которых эти данные записаны.
    3. Серверы, то есть физическое оборудование, на котором хранятся базы.
    4. Программы, где данные обрабатываются, например CRM менеджеров.
    5. Компьютеры, на которых сотрудники работают с персональными данными.
    6. Защитные программы: антивирусы, межсетевые экраны и другое подобное ПО.

    ИСПДн делят на виды и классы, в зависимости от разных параметров. При этом сами данные — обязательная часть системы. Поэтому когда мы говорим о видах и классах ИСПДн, мы можем говорить о видах и классах самих персональных данных.

    Шаблоны документов по защите информации

    Согласно документу ФСТЭК об определении угроз, ИСПДн делят на несколько групп по разными критериям. У каждой группы есть базовая защищенность, которую нужно знать, чтобы определить общий уровень защищенности системы.

    Общий уровень защищенности считается так:

    • Если у 70% критериев системы высокий уровень защищенности, а у остальных — средний, то уровень защищенности всей ИСПДн высокий.
    • Если у 70% критериев системы высокий или средний уровень защищенности, а у остальных низкий — уровень защищенности всей системы средний.
    • В остальных случаях уровень защищенности системы низкий.

    Ниже расскажем, на какие группы ИСПДн делят, а также как оценить общий уровень защищенности системы с учетом базовой защищенности групп, к которым ее относят.

    Группы ИСПДн по территориальному размещению:

    • Распределенные, которые находятся в разных регионах и городах России. Например, ИСПДн облачного провайдера распределенная, так как серверы и клиенты находятся по всей стране.
    • Городские, все части которых находятся в пределах одного города.
    • Корпоративные распределенные, все части которой принадлежат одной компании. Они могут находиться как в одном, так и в нескольких городах. Например, если у компании много филиалов по всей стране, ее ИСПДн считается корпоративной распределенной.
    • Кампусные, все части которых находятся в пределах близко расположенных зданий. Так, ИСПДн завода будет кампусной.
    • Локальные, все части которых находятся в одном здании. Обычно это ИСПДн небольших локальных фирм.

    Низкий уровень защищенности по какому-либо параметру не означает, что система всегда будет уязвима и данные в ней хранить опасно — это всего лишь накладывает на владельца системы дополнительные обязанности по защите данных.

    Группы ИСПДн по наличию выхода в интернет:

    • Многоточечный выход в сеть, когда выход в интернет есть у нескольких компьютеров и серверов.
    • Одноточечный выход в интернет, когда все компьютеры и серверы выходят в интернет через один общий шлюз.
    • Выхода в интернет нет, например, если на заводе построена закрытая сеть.

    Группы ИСПДн по доступным операциям с данными:

    • Разрешены только чтение и поиск — база сформирована, дополнять и изменять ее нельзя.
    • Дополнительно разрешена запись данных, их удаление и сортировка.
    • Дополнительно разрешена модификация и передача данных — так работают практически все системы.

    Группы ИСПДн по разграничению доступа к персональным данным:

    • Доступ к персональным данным есть только у их субъекта и у отдельных сотрудников оператора персональных данных.
    • Доступ к персональным данным есть у всех сотрудников оператора.

    Формально может существовать система, в которой доступ к персональным данным есть у любого постороннего человека. Но это запрещено законом — персональные данные не должны находиться в открытом доступе.

    Группы ИСПДн по уровню обезличивания данных:

    • Пользователи ИСПДн получают только обезличенные данные, их нельзя связать с конкретным человеком. При этом в самой системе данные хранятся в необезличенном виде, поэтому остаются персональными.
    • Данные обезличивают при передаче в другие организации, но сотрудники внутри организации могут получить их необезличенными.
    • Данные не обезличивают даже для передачи.

    Группы ИСПДн по объему предоставления базы данных другим компаниям:

    • По запросу оператор предоставляет другой компании полный доступ к базе персональных данных.
    • По запросу оператор выдает доступ только к части данных, например, к информации об отдельных пользователях.
    • Оператор не предоставляет никакой информации, хранит базу только для себя и не передает ее третьим лицам.

    Предположим, у вашей компании филиалы в разных городах, доступ к интернету многоточечный, доступ к данным разрешен только некоторым сотрудникам, разрешены только чтение и поиск данных, система выдает обезличенные данные и компания хранит данные только для себя. Получается, что по одному критерию у вас низкий уровень защищенности, по двум средний, а по остальным трем — высокий. И у вашей ИСПДн будет средний общий уровень защищенности.

    Рубрика: Закон есть закон

    ЮРИЙ КНЯЗЕВ, ООО «Агентство Р.О.С.долгЪ», начальник отдела информационной безопасности, Обработка и защита персональных данных, или Как угодить регуляторам. Часть 2 Продолжим разбираться с вопросом о персональных данных [1].

    Что такое модель угроз безопасности персональных данных? Для чего она нужна и как ее разработать? Основные мероприятия по защите документов, содержащих персональные данные Документы (как в бумажном, так и в электронном виде), содержащие персональные данные, должны храниться отдельно от остальных документов в сейфе или в закрываемом на ключ металлическом шкафу (ящике).

    Кроме того, нельзя хранить в одном месте персональные данные, цели обработки которых различны.

    Например, в банке нельзя хранить в одном сейфе или в одной информационной системе личные дела сотрудников и клиентов. Доступ в места хранения и обработки документов, содержащих персональные данные, должен быть ограничен (помещение должно запираться на ключ, быть оснащено техническими средствами охраны) и регламентирован.

    Для этого создается документ

    «Перечень помещений, предназначенных для обработки ПДн»

    .

    Для этого разрабатывается

    «Инструкция о порядке физической охраны помещений, содержащих носители персональных данных»

    . В инструкции указываются порядок доступа в помещение в начале рабочего дня, порядок закрытия помещения при окончании рабочего дня, какие действия необходимо предпринять принештатных ситуациях. Должен быть разработан и утвержден руководителем организации перечень лиц, имеющих доступ к документам, содержащим персональные данные.

    1 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

    В. Иванова 20 г. М.П. (Московская область, г.

    Жуковский, ул. Солнечная, дом 6, оф.

    95) В соответствии с п. 5

    «Требований к защите персональных данных при их обработке в информационных системах персональных данных»

    (далее Требования), утверждённых постановлением Правительства от 1 ноября 2012 г.

    1119, и Политикой в отношении обработки персональных данных информационная система ООО «ДМ» (далее Оператор) является информационной системой, обрабатывающей иные категории персональных данных, а также информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Оператора.

    В соответствии с пп. 6 и 7 Требований и Актом оценки потенциального вреда субъектам персональных данных для информационной системы Оператора актуальны угрозы безопасности персональных данных 3-го типа.

    С учётом того, что информационная система Оператора обрабатывает персональные данные менее чем субъектов персональных данных, необходимо обеспечение 4-го уровня защищённости персональных данных при их обработке в информационной системе Оператора.

    Ответственный за организацию обработки персональных данных Иванова Н. В.2 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н. В. Иванова 20 г. М.П. АКТ оценки потенциального вреда субъектам персональных данных ООО «ДМ» (Московская область, г.

    Жуковский, ул. Солнечная, дом 6, оф. Ответственный за организацию обработки персональных данных Иванова Н.

    В.3 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н. В. Иванова М.П.

    ЖУРНАЛ регистрации фактов нарушения и восстановления работоспособности оборудования или ИСПДн ООО «ДМ» 4 п/п Наименование ИСПДн, описание нарушения работоспособности оборудования или ИСПДн Дата и время обнаружения начала нарушения работоспособности Выявленная причина нарушения работоспособности Дата и время восстановления работоспособности Сотрудник, проводивший восстановление работоспособности оборудования или ИСПДн Фамилия Подпись5 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

    В. Иванова М.П. ЭЛЕКТРОННЫЙ ЖУРНАЛ УЧЁТА обращений субъектов персональных данных и их законных представителей6 п/п Дата обращения Номер, реквизиты входящего документа ФИО запрашивающего лица Цель обращения Действия по результатам обращения Подпись ответственного лица Примечание7 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

    Введение.

    Внутренняя проверка (далее — Проверка) произведена на основании Приказа № . Проверка проводилась на территории предприятия по адресу .

    Проверка проводилась в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.

    В ходе проверки была выявлена ИСПДн:

    В ходе проверки для ИСПДн определялось:

    1) Состав и структура объектов защиты.

    2) Конфигурация и структура ИСПДн.

    3) Режим обработки ПДн.

    4) Перечень лиц, участвующих в обработке ПДн.

    5) Права доступа лиц, допущенных к обработке ПДн.

    6) Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.

    7) Существующие меры защиты ПДн.

    8) Список необходимых мер защиты ПДн.

    Данные Проверки служат информационной основой для других нормативно-организационных документов.

    Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.

    Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.

    Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.

    Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.

    Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.

    Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

    1.

    Структура ИСПДн.



    Администрация Перемиловского сельского поселения
    Шуйского муниципального района Ивановской области

    ПОСТАНОВЛЕНИЕ

    от 04.04.2018 г. № 69 А

    Об утверждении Акта определения уровня защищённости информационной системы персональных данных администрации Перемиловского сельского поселения

    Во исполнение требований Федерального закона от 27.07.2006 № 152 «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а также иных нормативных документов по защите информации, администрация Перемиловского сельского поселения постановляет:

    1. Утвердить Акт определения уровня защищённости информационной системы персональных данных администрации Перемиловского сельского поселения.
    2. Контроль за исполнением настоящего постановления оставляю за собой.
    3. Настоящее постановление вступает в силу после его официального опубликования.

    Глава Перемиловского
    сельского поселения А.Н.Зайчиков

    УТВЕРЖДЕН
    постановлением администрации
    Перемиловского сельского поселения
    от 04.12.2018 № 69 А

    АКТ
    определения уровня защищённости информационной системы
    персональных данных администрации Перемиловского сельского поселения Шуйского муниципального района Ивановской области

    В соответствии с п. 5 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Требования), утверждённых постановлением Правительства от 1 ноября 2012 г. № 1119, и Политикой в отношении обработки персональных данных информационная система Администрация Перемиловского сельского поселения Шуйского муниципального района Ивановской области (далее — Оператор) является информационной системой, обрабатывающей иные категории персональных данных, а также информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Оператора.
    В соответствии с пп. 6 и 7 Требований и Актом оценки потенциального вреда субъектам персональных данных для информационной системы Оператора актуальны угрозы безопасности персональных данных 3-го типа.
    С учётом того, что информационная система Оператора обрабатывает персональные данные менее чем 100 000 субъектов персональных данных, необходимо обеспечение 4-го уровня защищённости персональных данных при их обработке в информационной системе Оператора.

    Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.

    В локальном акте допустимо расписать права и обязанности:

    • работодателя — оператора ПнД;
    • работника — субъекта ПД.

    По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.

    Пример

    • обработка ПнД в ИСПДн;
    • использование ПД при оформлении бланков документов;
    • передача ПД в госструктуры (ФСС, ПФР, ФНС), в третьи организации (банки, страховщики, отели);
    • принятие решения в отношении соискателя и т.д.

    Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:

    • проанализируйте фактическую деятельность предприятия;
    • изучите устав — там указаны основные направления работы;
    • отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.

    Вы указали в локальном акте все используемые термины, определили цели. Теперь в Положении о защите персональных данных работников закрепите перечень должностей с допуском к ПнД. Это требует ст. 86 ТК РФ и 152-ФЗ.

    Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.

    При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.

    Пример перечня должностей и перечня документов с персональными данными

    АКТ-определения-уровня-защищенности-персональных-данных

    Ст. 5, п.5 No152-ФЗ посвящена:

    • соразмерности объема и характера полученных данных объявленным целям;
    • запрещению избыточности ПДн.

    Об этом будет следующий раздел локального акта.

    Пример

    Если объявленная цель обработки ПД — подписание договора с физлицом Ивановым И.И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес. Избыточной будет информация о семье и имущественном положении.

    Важно!

    Именно цель определяет объем ПД. Если ваша организация предложит Иванову И.И. дополнительную социальную поддержку (полис ДМС) — это другая цель, она потребует иное количество ПД.

    В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.

    Совет

    Параллельно с перечислением целей рекомендуем дать перечень обрабатываемых перс данных применительно к указанным категориям субъектов.

    Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.

    Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:

    • моделирование угроз безопасности персональных данных в информационных системах;
    • выявление самовольного доступа к конфиденциальным сведениям и оперативное реагирование на инциденты.

    Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:

    • установление аутентичности субъектов и объектов доступа;
    • наблюдение за допусками;
    • защита носителей, хранящих / обрабатывающих ПД;
    • наблюдение за событиями;
    • обследование защищенности ПД;
    • обеспечение невредимости ИС и информации;
    • доступность ПД;
    • защита технических ресурсов и др.

    Полностью состав этих мер приводит Приказ ФСТЭК No 21.

    Если режим хранения ПнД позволяет раскрыть их субъекта, то хранение такой информации оканчивается:

    • с достигнутой целью обработки;
    • вместе с действием согласия на обработку ПД/его отзыва;
    • согласно нормам об архивном деле.

    Совет

    Рекомендуем продолжительность и порядок хранения ПД в ИСПДн или на бумаге указывать, учитывая установленный к ним доступ должностных лиц. Место хранения используемых баз конфиденциальных сведений также следует указать в Регламенте.

    Важно!

    Напоминаем — базы данных личных сведений работников локализуются в России

    МИНИСТЕРСТВО ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
    (МИНОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ)

    ПРИКАЗ


    от 12 декабря 2018 года N 3224
    г. Новосибирск

    Об утверждении инструкций, правил, регламентов и форм актов при проведении мероприятий по защите персональных данных в министерстве образования Новосибирской области


    В связи с проведением работ по защите информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее — Информация), в информационных системах министерства образования Новосибирской области,

    приказываю:

    1. Утвердить прилагаемые:
    1) Правила обращения с машинными носителями информации в информационных системах министерства образования Новосибирской области;
    2) Правила по ограничению программной среды в информационных системах министерства образования Новосибирской области;
    3) Правила защиты периметра информационных систем министерства образования Новосибирской области при их взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями;
    4) Правила обработки персональных данных в системах министерства образования Новосибирской области;
    5) Положение об обеспечении целостности информационных систем министерства образования Новосибирской области;
    6) Инструкцию по порядку обращения со средствами защиты информации в информационных системах министерства образования Новосибирской области;
    7) Регламент подключения информационных систем министерства образования Новосибирской области к информационно-телекоммуникационной сети Интернет вне государственной инфокоммуникационной сети передачи данных Новосибирской области;
    8) Типовую форма отчета о результатах проведения внутренней проверки обеспечения защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, в информационных системах министерства образования Новосибирской области;
    9) Типовую форму акта определения уровня защищенности персональных данных при их обработке в информационных системах министерства образования Новосибирской области;
    10) Форму акта классификации защищенности информационной системы министерства образования Новосибирской области;
    11) форма акта утери машинных носителей информации;
    12) форма акта уничтожения информации на машинных носителей информации.

    2. Контроль за исполнением настоящего приказа оставляю за собой.


    Министр
    С.В. Федорчук


    УТВЕРЖДЕНЫ
    приказом Минобразования
    Новосибирской области
    от 12.12.2018 N 3224



    I. Общие положения


    1. Настоящие правила рассматривают вопросы защиты машинных носителей информации в информационных системах министерства образования Новосибирской области (далее — ИС Минобразования Новосибирской области) от несанкционированного доступа к ним, уничтожения, а также неразрешенного раскрытия, модификации, удаления информации на них.
    2. В качестве машинных носителей информации в настоящей инструкции рассматриваются машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках).
    3. Под использованием машинных носителей информации в ИС Минобразования Новосибирской области понимается их подключение к инфраструктуре ИС Минобразования Новосибирской области с целью обработки, приема/передачи информации между информационной системой и носителями информации.
    4. Данные правила обязательны для применения во всех подразделениях Минобразования Новосибирской области, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну.

    II. Использование машинных носителей информации

    5. В ИС Минобразования Новосибирской области допускается использование только учтенных машинных носителей информации, которые являются собственностью Минобразования Новосибирской области и подвергаются регулярной ревизии и контролю.
    6. Машинные носители информации предоставляются работниками министерства образования Новосибирской области (далее — министерство) по инициативе начальника структурного подразделения в случаях:
    1) необходимости выполнения вновь принятым сотрудниками своих должностных обязанностей;
    2) возникновения у сотрудников министерства производственной необходимости.
    7. При использовании сотрудниками машинных носителей информации необходимо:
    1) использовать машинные носители информации исключительно для выполнения своих служебных обязанностей;
    2) ставить в известность ответственного за организацию обработки персональных данных в министерство и администратора информационной безопасности в ИС Минобразования Новосибирской области о любых фактах нарушения требований настоящих правил;
    3) бережно относиться к машинным носителям информации;
    4) обеспечивать физическую безопасность машинных носителей информации;
    5) извещать ответственного за организацию обработки персональных данных обработку в министерстве и администратора информационной безопасности и о фактах утраты (кражи) машинных носителей информации;
    6) перед началом работы с машинными носителями информации пользователь обязан проверять их на наличие вредоносных программ (вирусов) с помощью штатных антивирусных программ. В случае обнаружения вирусов, пользователь обязан действовать в соответствии с Инструкцией по антивирусной защите в информационных системах министерства образования Новосибирской области.
    8. При использовании машинных носителей информации запрещено:
    1) использовать машинные носители информации в личных целях;
    2) передавать носители информации другим лицам (за исключением администратора информационной безопасности);
    3) оставлять машинные носители информации без присмотра или передавать на хранение другим лицам;
    4) выносить машинные носители информации из служебных помещений для работы с ними на дому и т.д.;
    5) ответственность за подключение машинных носителей информации, не учтенных соответствующим образом, не прошедших проверку, несет пользователь, подключивший данное устройство.

    III. Управление доступом к машинным носителям информации

    Акт определения уровней защищенности персональных данных


    УТВЕРЖДЕНЫ
    приказом Минобразования
    Новосибирской области
    от 12.12.18 N 3224



    I. Общие положения

    1. Настоящие Правила регламентируют контроль использования в информационных системах министерства образования Новосибирской области (далее — ИС Минобразования Новосибирской области) программного обеспечения, разрешенного к использованию, и возможности восстановления программного обеспечения при возникновении внештатных ситуаций.

    II. Установка (инсталляция) только разрешенного к использованию программного обеспечения и его компонентов

    2. Установка (инсталляция) в ИС Минобразования Новосибирской области программного обеспечения (вида, типа, класса программного обеспечения) и (или) его компонентов осуществляется с учетом Перечня программного обеспечения, разрешенного к использованию в ИС Минобразования Новосибирской области.
    3. Установка (инсталляция) в ИС Минобразования Новосибирской области программного обеспечения и (или) его компонентов осуществляется только от имени администратора.
    4. В ИС Минобразования Новосибирской области администратором информационной безопасности обеспечивается контроль не реже одного раза в три месяца установленного (инсталлированного) в ИС Минобразования Новосибирской области программного обеспечения на предмет соответствия его Перечню программного обеспечения, разрешенного к использованию в информационных системах министерства образования Новосибирской области, а также на предмет отсутствия программного обеспечения, запрещенного в ИС Минобразования Новосибирской области к установке.
    5. Пересмотр Перечня программного обеспечения, разрешенного к использованию в информационных системах министерства образования Новосибирской области, может осуществляться по заявке пользователя, согласованной с непосредственным руководителем пользователя и администратором информационной безопасности.

    УТВЕРЖДЕНЫ
    приказом Минобразования
    Новосибирской области
    от 12.12.2018 N 3224



    I. Общие положения

    1. В информационных системах министерства образования Новосибирской области (далее — ИС Минобразования Новосибирской области) осуществляется защита периметра (физических и (или) логических границ) при их взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, предусматривающая:
    2) управление (контроль) входящими в ИС Минобразования Новосибирской области и исходящими из ИС Минобразования Новосибирской области информационными потоками на физической и (или) логической границе ИС Минобразования Новосибирской области;
    3) обеспечение взаимодействия ИС Минобразования Новосибирской области с иными информационными системами и сетями только через сетевые интерфейсы, которые обеспечивают управление (контроль) информационными потоками с использованием средств защиты информации (управляемые (контролируемые) сетевые интерфейсы), установленных на физическом и (или) логическом периметре ИС Минобразования Новосибирской области (маршрутизаторов, межсетевых экранов, коммутаторов, прокси-серверов, шлюзов безопасности, средств построения виртуальных частных сетей и иных средств защиты информации).
    2. Количество точек доступа в ИС Минобразования Новосибирской области определяется администратором информационной безопасности с учетом функций ИС Минобразования Новосибирской области при этом количество точек должно быть минимальным и должен обеспечиваться постоянный и всесторонний контроль входящих и исходящих информационных потоков.

    II. Защита информации от раскрытия, модификации и навязывания при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны

    3. Защита информации от раскрытия, модификации и навязывания при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны в ИС Минобразования Новосибирской области обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации или иными методами.

    УТВЕРЖДЕНЫ
    приказом Минобразования
    Новосибирской области
    от 12.12.18 N 3224



    I. Наименования информационных систем

    1. Полное и сокращенное наименование информационных систем (далее — ИС) министерства образования Новосибирской области (далее — Минобразования Новосибирской области.

    Наименование информационной системы

    Полное

    Сокращенное


    УТВЕРЖДЕНО
    приказом Минобразования
    Новосибирской области
    от 12.12.18 N 3224



    I. Общие положения

    1. Настоящее положение определяет порядок и процедуры обнаружения фактов несанкционированного нарушения целостности информационных систем министерства образования Новосибирской области (далее — ИС Минобразования Новосибирской области) и содержащейся в ней информации, а также возможность восстановления информационной системы и содержащейся в ней информации.

    II. Обеспечение возможности восстановления программного обеспечения (в том числе средств защиты информации) при возникновении нештатных ситуаций

    2. Для обеспечения возможности восстановления программного обеспечения в ИС Минобразования Новосибирской области разработаны и утверждены Инструкция администратора информационной безопасности информационных систем министерства образования Новосибирской области и Инструкция пользователя информационных систем министерства образования Новосибирской области.
    3. Возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций предусматривает:
    1) восстановление программного обеспечения, включая программное обеспечение средств защиты информации, из резервных копий (дистрибутивов) программного обеспечения;
    2) восстановление и проверку работоспособности системы защиты информации, обеспечивающей необходимый уровень защищенности информации;
    3) возврат ИС Минобразования Новосибирской области в начальное состояние (до возникновения нештатной ситуации), обеспечивающее их штатное функционирование, или восстановление отдельных функциональных возможностей ИС Минобразования Новосибирской области, позволяющих решать задачи по обработке информации.


    УТВЕРЖДЕНА
    приказом Минобразования
    Новосибирской области
    от 12.12.18 N 3224




    I. Общие положения

    1. Инструкция по порядку обращения со средствами защиты информации в информационных системах министерства образования Новосибирской области (далее — ИС Минобразования Новосибирской области) (далее — Инструкция) регламентирует порядок обращения со средствами защиты информации в процессе получения, хранения, доставки, передачи, встраивания в прикладные системы, тестирования в целях защиты информации, обрабатываемой с использованием средств автоматизации.
    2. Настоящая Инструкция подготовлена в соответствии с требованиями нормативных и методических документов ФСТЭК России и ФСБ России по защите информации ограниченного доступа, не содержащую сведения, составляющие государственную тайну.
    3. В настоящей Инструкции используются следующие понятия и определения:
    4. Доступ к информации — возможность получения информации и ее использования.
    5. Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
    6. Контролируемая зона — пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, а также транспортных, технических или иных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
    7. Средство защиты информации (СЗИ) — техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации, не являющееся криптосредством.
    8. Для обеспечения безопасности информации при ее обработке в ИС Минобразования Новосибирской области должны использоваться СЗИ, прошедшие в установленном порядке процедуру оценки соответствия, в случаях, когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

    II. Учет СЗИ

    9. Инсталлирующие СЗИ носители и установленные СЗИ подлежат поэкземплярному учету администратором информационной безопасности (далее — ИБ).
    10. Программные СЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СЗИ учитываются также совместно с соответствующими аппаратными средствами.
    11. Эксплуатационная и техническая документация к СЗИ подлежит поэкземплярному учету администратором информационной безопасности.
    12. СЗИ, а также эксплуатационная и техническая документация к СЗИ должны быть упакованы в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия.
    13. Полученные упаковки с СЗИ, а также с эксплуатационной и технической документацией к ним, вскрываются администратором информационной безопасности. администратор информационной безопасности проверяет целостность упаковки и содержимого.
    14. Уничтожение СЗИ:
    1) СЗИ уничтожаются (утилизируются) по решению комиссии по проведению мероприятий по защите информации совместно с администратором ИБ;
    2) намеченные к уничтожению (утилизации) СЗИ изымаются из аппаратных средств, с которыми они функционировали. При этом СЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СЗИ процедура удаления программного обеспечения СЗИ, и они полностью отсоединены от аппаратных средств;
    3) пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения используются после уничтожения СЗИ без ограничений.
    14. Эксплуатационная и техническая документация к СЗИ уничтожается путем сжигания или с помощью любых бумагорезательных машин.

    III. Эксплуатация хранилищ

    Акт определения уровня защищенности персональных данных образец 2021

    Уровень защиты сведений зависит от следующих параметров:

    • категории обрабатываемой информации;
    • количества обрабатываемых лиц;
    • вида угрозы безопасности.

    Типы обрабатываемых сведений:

    • специальная информация — сюда можно отнести сведения о расовой принадлежности, национальности, вероисповедании, состоянии здоровья, материальном положении или интимной жизни субъекта;
    • биометрические параметры — к таковым относятся любые физиологические и особенности лица, позволяющие определить его личность;
    • сведения, находящиеся в общем доступе — это все данные, которые были получены из общедоступных источников, например, социальных сетей;
    • иные — все данные, которые не подходят ни к одной из описанных выше категорий.

    Количество обрабатываемых субъектов:

    • меньше ста тысяч субъектов;
    • больше ста тысяч субъектов.

    Типы угроз безопасности:

    • первого типа — связаны с недокументированными возможностями в системном программном обеспечении;
    • второго типа — связаны с недокументированными возможностями в программах обработки персональных данных;
    • третьего типа — не связаны с наличием недокументированных возможностей.

    Источники угроз делятся на внешние и внутренние. К внешним угрозам относятся недобросовестные партнеры, конкуренты, криминальные структуры и прочие физические лица. Что касается внутренних угроз, то к таковым можно отнести всевозможные вредоносные программы.

    Чтобы определить уровень защищенности информации необходимо соблюдать следующий алгоритм:

    • определить категорию персональных данных, например, личную, специальную или общедоступную;
    • определение типа субъекта;
    • определение числа обрабатываемых субъектов. Как было отмечено, оно может быть больше 100 000 или меньше этого числа;
    • определение типа актуальной угрозы.

    После того, как анализ информации будет завершен, необходимо соотнести полученные сведения со специальной таблицей, утвержденной законодательством.

    +7 495 660-38-09

  • EN
    • Русский
    • English
    • Бизнес-анализ
    • Внедрение
    • Техподдержка
    • Обучение
    • Подготовка сотрудников

    Для заполнения используется стандартная форма по образцу. В ней записываются следующие сведения:

    • дата осуществления осмотра;
    • полный перечень членов комиссии, которые производили осмотр, с указанием инициалов и должностей;
    • дата и номер указа для создания комиссии;
    • период, в течение которого комиссия должна выполнить осмотр;
    • в тексте нужно уточнить детального типа параметры объекта, которые помогут провести обоснованную оценку его состояния.

    Для этого в документе заполняется табличка стандартной формы со сведениями:

    1. название и точное расположение сооружения или его отдельной части;
    2. полное описание замеченных дефектов;
    3. работы, требуемые для устранения проблем;
    4. рекомендуемого типа сроки для осуществления работ по ремонту и восстановлению.

    В итоге, документ подписывается всеми членами комиссии и утверждается руководством предприятия.

    С целью выполнения осмотра постройки набирается комиссионная группа из сотрудников с инженерным и строительным образованием, которые могут сделать правильную оценку. Основанием для осмотра могут стать следующие факторы:

    • необходимость осуществления запланированного осмотра;
    • вычисление результатов ЧП;
    • осмотр перед осуществлением капитального ремонта или реконструкции всего или части дома.

    В утвержденном акте указывается комплекс мероприятий, которые потребуется сделать для устранения всех дефектов. Еще должны быть установлены ответственные должностные лица за выполнение ремонтно-восстановительных работ в определенные сроки.

    ВНИМАНИЕ! Технический осмотр – это довольно обширное понятие, которое может включать в себя огромный комплекс манипуляций, осуществляемых в процессе обследования строения или сооружения.

    В их число может войти как обычный визуального типа осмотр фасадной части и внутренних помещений строения, чердака, подвального помещения, так и проверка инженерных систем: водоснабжения, канализации, и так далее. Все зависит от целей и задач, которые выставлены перед теми, кто выполняет эту проверку.

    Перед оформлением документации, лучше ознакомиться с актом осмотра зданий и сооружений образцом заполнения, который можно скачать в интернете. В начале записывается его наименование, место (город) и дата создания.

    После этого, в основную часть, вписываются следующие сведения:

    • состав комиссии по обследованию: сначала тут записываются названия организаций, представители которых участвовали в проверке, потом – должности и инициалы этих сотрудников. Среди состава комиссии выделяется председатель, на которого переходит огромная часть ответственность за осмотр дома и составление документа;
    • адрес объекта и его личные параметры (здесь можно указать, сколько этажей у объекта, материал стен и т.п.);
    • весь список мероприятий, проведенных в процессе технического осмотра и мониторинга (их можно оформить как списком, так и в форме таблички), условиях их осуществления;
    • если найдены какие-то минусы, повреждения, дефекты, их необходимо описать или в самом акте, или в обычном приложении к нему;
    • если участники комиссионной группы могут сходу обозначить способы устранения найденных недостатков, то они полностью описываются в документе;
    • в конце подводится итог деятельности комиссии.

    В случае, когда кто-либо из членов комиссии не согласен с какой-либо информацией, в бланке это в обязательном порядке выделяется отдельным пунктом. Сведения обо всех прикладываемых к документу бумагах нужно тоже внести в бланк.


    Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *