Правила работы с информационными системами Отдела образования администрации Сусанинского муниципального района Костромской области 1
|
Скачать 291.93 Kb.
|
1 2
|
3. Администратор безопасности обязан: 3.1. Принимать необходимые меры по обеспечению безаварийного функционирования и работоспособности автоматизированных средств обработки информации, системного и прикладного ПО, СЗИ от НСД в пределах, возложенных на него функций; 3.2. Проводить инструктаж пользователей правилам работы на АРМ, с установленными СКЗИ и СЗИ от НСД; 3.3. Докладывать заведующему Отделом образования или лицу, исполняющему его обязанности, о фактах и попытках несанкционированного доступа к конфиденциальной информации, о неправомерных действиях пользователей или иных лиц, приводящих к нарушению требований безопасности информации. 3.5. Вносить изменения в документацию ИС в соответствии с требованиями нормативных документов в части, касающейся СЗИ от НСД; 3.6. Проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учёт и принимать меры к их устранению; 3.7. Регистрировать факты нарушений требований режима безопасности и организовывать проведение расследований по возникшим инцидентам информационной безопасности. 3.8. Блокировать учётные записи пользователей на АРМ в случае окончания срока действия сертификата соответствия ФСТЭК России, ФСБ России на любое СЗИ, из используемых в ИСПДн, до момента его продления. В случае непродления сертификата соответствия на СЗИ администратор обязан поставить в известность орган по аттестации, проводивший аттестацию ИСПДн, для принятия дальнейшего совместного решения. 3.9. Контролировать действия пользователей при уничтожении и затирании информации записанной на электронных носителях (накопителях) информации. 4. Администратор безопасности имеет право: 4.1. Запрашивать и получать необходимую информацию от структурных подразделений Отдела образования для планирования и организации работ по защите конфиденциальной информации. 4.2. Требовать от сотрудников Отдела образования - пользователей ИСПДн соблюдения установленных технологий обработки информации и выполнения требований руководящих документов. 4.3. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности, доступа к информационным ресурсам, утраты, порчи защищаемой информации и технических компонентов автоматизированной системы. 4.4. Требовать от руководителей структурных подразделений департамента прекращения работы сотрудников в автоматизированной информационной системе при несоблюдении ими установленной технологии обработки информации или невыполнения требований по безопасности. 4.5. Вносить на рассмотрение руководства предложения по совершенствованию технических мер защиты. 5. Администратор безопасности несёт ответственность: 5.1. За разглашение конфиденциальных сведений организации (в том числе - персональных данных работников и должностных лиц контрагентов, используемых способов и методов защиты информационных ресурсов), ставших ему известными по роду своей деятельности. 5.2. За умышленное причинение материального ущерба, повлекшее отказ в работе оборудования корпоративной информационной системы, - в пределах, определенных действующим трудовым, уголовным и гражданским законодательством РФ. Приложение 3 к правилам работы с информационными системами Отдела образования Инструкция по проведению антивирусного контроля на автоматизированном рабочем месте (АРМ) 1. Настоящая Инструкция предназначена для администратора безопасности и пользователей, обрабатывающих персональные данные с использованием средств автоматизации. 2. В целях обеспечения защиты автоматизированной информационной системы от программных закладок и программно-математического воздействия на обрабатываемые конфиденциальные данные на автоматизированных рабочих местах (АРМ) производится антивирусный контроль. 3. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения антивирусного контроля возлагается на администратора безопасности. 4. К установке и использованию в автоматизированной информационной системе и на АРМ разрешаются только лицензионные антивирусные средства, имеющие сертификат ФСТЭК. 5. На АРМ пользователя запрещается установка прикладного программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации на АРМ. 6. Пользователи АРМ при работе с информацией (ПО, БД, файлы) записанной на электронных носителях информации (Flash-карты, CD-диски, дискеты и т.п.) обязаны перед началом работы осуществить их проверку на предмет отсутствия компьютерных вирусов. 7. Ярлык для запуска антивирусной программы должен быть вынесен на "Рабочий стол" операционной системы. 8. Обновление вирусных баз осуществляется ежедневно путём скачивания и установки антивирусных баз с сервера производителя антивирусного ПО. Посредством настроек антивирусного средства и организации доступа к серверам разработчика антивирусного средства обновление можно выполнять в автоматическом режиме без участия пользователя АРМ. При невозможности настроить доступ АРМ к серверам обновлений разработчика антивирусного средства Администратор информационной безопасности один раз в неделю производит установку пакетов. 9. При обнаружении компьютерного вируса в процессе эксплуатации АРМ либо сканирования съёмных электронных носителей информации пользователь обязан немедленно поставить об этом в известность администратора безопасности и прекратить какие-либо действия, связанные с обработкой конфиденциальной информации на АРМ. 10. По факту заражения АРМ компьютерным вирусом администратор безопасности производит «лечение» зараженных файлов путём выбора соответствующего пункта меню антивирусной программы, после чего вновь проводит антивирусный контроль файловой системы и обрабатываемых данных на АРМ. По результатам заражения АИС администратор безопасности проводит служебное расследование. 11. При обнаружении не поддающегося лечению вируса, администратор безопасности обязан удалить инфицированный файл в соответствующую папку антивирусного пакета, и проверить работоспособность АРМ. В случае отказа работоспособности АРМ - произвести восстановление и настройки соответствующего операционного и прикладного программного обеспечения. 12. О всех фактах заражения АИС и АРМ вредоносным программным обеспечением администратор безопасности обязан проинформировать ответственного за организацию обработки персональных данных либо заведующего Отделом образования. Приложение 4. к правилам работы с информационными системами Отдела образования Инструкция по резервному копированию информации и восстановлению работоспособности ИС 1. Общие положения. 1.1. В целях предупреждения возможности неблагоприятных последствий и обеспечения защиты важной или критичной для обеспечения работоспособности автоматизированных информационных систем информации от её случайного либо умышленного уничтожения, модификации или хищения, а также обеспечения её сохранности необходимо создавать её резервные копии. 1.2. Настоящая Инструкция разработана в соответствии с требованиями Федеральных законов от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» и от 27.07.2006 № 152-ФЗ «О персональных данных», постановлений Правительства РФ от 15.09.2008 № 687 «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных» и иных нормативных документов и определяет общие правила резервирования обрабатываемых данных, в том числе при обработке информации ограниченного распространения (обработка персональных данных и иной конфиденциальной информации). 1.3. При осуществлении резервирования (резервного копирования) данных пользователи в своей работе руководствуется настоящей Инструкцией, иными внутренними нормативными документами и требованиями законодательства в сфере защиты информации ограниченного доступа. 1.4. Резервирование данных проводится для обеспечения восстановления работоспособности автоматизированных информационных систем (АИС), вызванной сбоями в работе либо отказами аппаратного и программного обеспечения, чрезвычайными обстоятельствами, ошибками пользователей и (или) иными внешними воздействиями, ведущими к полной или частичной утрате информации. 1.5. Требования настоящей Инструкции, связанные с резервным копированием критичной информации обязательны для исполнения всеми сотрудниками (пользователями), обрабатывающими такую информацию. 1.6. Администратор безопасности Отдела образования осуществляет плановый и периодический контроль действий пользователей по обеспечению резервного копирования критически важных для обеспечения работоспособности АИС данных (информация о серийных номерах лицензионного ПО, настройках и т.п.). 2. Термины и определения Автоматизированная информационная система (АИС) - взаимосвязанная совокупность данных, оборудования, программных средств, персонала, реализующая информационную технологию выполнения установленных функций, предназначенных для сбора, обработки, распределения, хранения, выдачи (предоставления) информации (по ГОСТ 34.003). Критичная информация - любая важная информация, а также системное и прикладное программное обеспечение, утрата которых может привести к перебоям либо отказу в работе автоматизированной информационной системы и затруднению (либо невозможности) исполнения служебных обязанностей. Резервное копирование - сохранение текущего состояния информации (системы) без обязательного сохранения предыдущего. Съемный носитель информации - носитель информации, предназначенный для автономного хранения информации вне зависимости от места записи и использования (НЖМД, CD-DVD-диск, Flash-накопитель и т.п). Гарантированное хранение - хранение, обеспечивающее целостность информации, определяемую требованиями федерального законодательства и внутренними организационно-распорядительными документами Отдела образования. 3. Информация, подлежащая резервированию В целях скорейшего восстановления работоспособности автоматизированной ИС и исключения неблагоприятных последствий вызванных отказами в её работе либо утратой критичной информации в Отделе образования определен перечень информационных ресурсов, системного и прикладного ПО, подлежащих резервному копированию (Приложение 1), в который включен: 3.1. Персональные данные работников организации, обрабатываемые с использованием средств автоматизации и прикладного программного обеспечения в бухгалтерии. 3.2. Инсталляции системного и прикладного ПО, используемого для защиты и обработки критичной информации, персональных данных и иной конфиденциальной информации. 4. Порядок резервирования данных Организация обеспечения резервного копирования обрабатываемой критичной информации, в том числе персональных данных, возложена на руководителей структурных подразделений Отдела образования, в которых она обрабатывается (одного из его сотрудников). 4.1. Обязательному резервному копированию и гарантированному хранению подлежит информация, указанная в Приложении 1. 4.2. В качестве носителей, на которые осуществляется резервное копирование информации, в зависимости от сохраняемых информационных ресурсов, используются: - папки на сетевом диске Отдела образования; - накопители на жестких магнитных носителях АРМ пользователей, физически разнесенные с накопителями, где происходит обработка критичной информации; - перезаписываемые или не перезаписываемые диски (CD, DVD, Blu-Ray). 4.3. К носителям, на которые производится резервное копирование предъявляются следующие требования: 4.4.1. Наличие достаточного объема свободного дискового пространства либо свободной памяти для обеспечения надежного хранения резервных копий; 4.4.2. Носитель должен периодически проходить полную проверку целостности (не реже одного раза в 6 месяцев); 4.4.3. Носитель должен быть учтён по Журналу учёта электронных носителей с указанием наименования, информационной емкости, ответственного за его эксплуатацию сотрудника; 4.4.4. К носителю должен быть ограничен физический доступ посторонних лиц, в том числе по сети. Его хранение осуществляется в местах с ограниченным доступом (запираемый шкаф, сейф и т.п.); 4.4.5. Ход выполнения установленных требований соблюдения установленных правил хранения и доступа, целостности ячеек памяти и работоспособности осуществляется на регулярной основе в соответствии с планом проведения внутренних проверок. 4.5. Период сохранения резервных копий определяется комиссионно, исходя из целесообразности обеспечения гарантированного сохранения тех или иных информационных ресурсов (частота внесения изменений в данные, критичность их утраты и т.п.) и производится по окончании рабочего времени ежеквартально, ежегодно с сохранением информации за указанный период + 1 день. 5. Учёт материальных носителей резервных копий 5.1. В целях обеспечения сохранности резервируемой в Отделе образования ведётся журнальный учёт электронных носителей, на которых сохраняются резервные копии критичной информации. Журнал учёта электронных носителей информации (Приложение 2) ведётся ответственным за организацию работы с персональными данными. 5.2. Сотрудник структурного подразделения Отдела образования, отвечающий за резервное копирование критичной информации, обязан зарегистрировать электронный носитель по Журналу учёта и в дальнейшем хранить его в недоступном для посторонних лиц месте (запираемом шкафу, сейфе или иных защищенных местах хранения). 5.3. Уничтожение электронных носителей с резервными копиями (при необходимости) производится членами экспертной комиссии Отдела образования на основании принятого ими решения в соответствии с установленным порядком ( «Положение об экспертной комиссии») 6. Порядок восстановления работоспособности ИС 6.1. В случае потери (уничтожения, модификации) критичной информации пользователь информационных ресурсов ИСПДн либо ответственный работник обязан сообщить руководителю структурного подразделения о факте происшедшего сбоя в работе информационной системы, в результате которого произошла утрата данных. При этом сотрудник сообщает о возможных признаках сопутствующих отказу в работе АИС и принимает незамедлительные меры по восстановлению утраченной информации в кратчайший срок. 6.2. При потере критичной информации хранящейся на сетевом диске локальной информационной системы восстановление производится при участии администратора безопасности Отдела образования. 6.3. По итогам происшедшего инцидента с утратой критичной информации в целях предотвращения подобных фактов в дальнейшем администратором безопасности проводится разбирательство с выявлением причин инцидента и лиц, допустивших нарушение. 7. Ответственность за нарушение установленного порядка резервирования данных 7.1. Персональная ответственность за обеспечение безопасного хранения критичной информации пользователя в соответствии с установленным порядком возлагается на ответственных работников, обрабатывающих эту информацию. 7.2. Ответственность за обеспечение резервного копирования критичной информации, обрабатываемой и сохраняемой в ИСПДн, возлагается на руководителя и ответственных работников подразделений. 7.3. Хранение резервных копий и инсталляций эксплуатируемого ПО, серийных номеров и регистрационных кодов возлагается на администратора безопасности. 7.4. Нарушение требований настоящей Инструкции влечёт за собой дисциплинарную ответственность в соответствии с трудовым законодательством РФ. 7.5. К лицам, нарушившим установленный порядок резервирования критичной информации, обеспечения сохранности и уничтожения электронных носителей информации ограниченного доступа, вследствие которых произошло нанесение материального ущерба организации, могут быть приняты меры по возмещению убытков и компенсации морального вреда1. Приложение: 1. Перечень критичных информационных ресурсов; 2. Форма журнала учёта электронных носителей информации 1 Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению установленного порядка резервирования или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. Приложение 1. к инструкции по резервному копированию информации и восстановлению работоспособности ИС ПЕРЕЧЕНЬ критичных информационных ресурсов, подлежащих резервному копированию
Приложение 2. к инструкции по резервному копированию информации и восстановлению работоспособности ИС Типовая форма журнала учета съемных носителей персональных данных Начат "___" _____ 20__ года на ______ листах Окончен "___" _____ 20__ года ______________________________________________ _______________ Должность и Ф.И.О., ответственного за хранение Подпись
|
1 2
Похожие:
 |
Постановление от 06 февраля 2013 года №63 Об утверждении Административного... «Рассмотрение обращений граждан в администрации Буйского муниципального района Костромской области» |
|
Телефоны экстренных служб муниципального образования городского поселения... Начальника отдела безопасности и атз комитета по народному образованию администрации Солнечногорского муниципального района |
 |
Акт Контрольно-ревизионного управления администрации Саратовского... На основании Положения «О контрольно-ревизионном управлении администрации Саратовского муниципального района Саратовской области»,... |
|
И. о. Руководителя администрации Коломенского муниципального района А. В. Фатеев Об утверждении Положения об отделе муниципального заказа Комитета по экономической и инвестиционной политике администрации Коломенского... |
|
Отчёт о результатах деятельности отдела загс администрации Лужского... Отдел загс администрации Лужского муниципального района Ленинградской области (далее отдел) является отраслевым органом администрации... |
|
Марксовского муниципального района саратовской области Ворониной В. А, инспектором контрольно-счетной комиссии Кадырбаевой В. И, проведена проверка финансово-хозяйственной деятельности... |
|
План работы отдела образования и молодежной политики администрации... Анализ работы отдела образования и молодежной политики администрации Курортного района за 2015/2016 учебный год. Основные задачи... |
|
Заявка на присвоение статуса региональной инновационной площадки на Информационно методический центр отдела образования администрации городского округа город Буй Костромской области |
|
Должностная инструкция начальника отдела сельского хозяйства Администрации... Стырщинский район» Смоленской области (далее – Администрация) назначается на должность и освобождается от должности Главой Администрации... |
|
Краткая информация по итогам плановой проверки Отдела образования... Отдела образования Администрации Обливского района, инспекцией по контролю в сфере размещения заказов на поставки товаров, выполнение... |
|
Администрация надеждинского муниципального района Об утверждении Положения об отделе муниципального имущества администрации Надеждинского муниципального района и должностных инструкций... |
|
Отдел образования администрации муниципального образования “кардымовский... На основании плана основных мероприятий Отдела образования Администрации муниципального образования «Кардымовский район» Смоленской... |
|
Мной, главным специалистом отдела анализа и прогнозирования доходов... «Управление финансов администрации Тындинского района» Надутой Н. О. проведена плановая проверка бухгалтерского учета и отчетности... |
|
План гражданской обороны и защите населения муниципального образования... Начальник отдела по делам го и чс администрации Георгиевского муниципального района |
|
Муниципального района муниципального образования «нижнеудинский район»... На основании приказа начальника финансового управления администрации муниципального района муниципального образования «Нижнеудинский... |
|
Ооо испо «костромагорстрой» схема территориального планирования судиславского... Схема территориального планирования судиславского муниципального района костромской области |