Приказ об утверждении инструкций по работе в информационной системе персональных данных «Сотрудники» г. Ханты-Мансийск «28» мая 2015г. №170

Скачать 0.63 Mb.

Название	Приказ об утверждении инструкций по работе в информационной системе персональных данных «Сотрудники» г. Ханты-Мансийск «28» мая 2015г. №170
страница	3/5
Тип	Документы

rykovodstvo.ru > Руководство эксплуатация > Документы

1 2 3 4 5

Инструкция по использованию программных и аппаратных средств защиты информации
1. Порядок эксплуатации средств защиты информации
1.1. Антивирусные программные продукты KasperskyEndpointSecurity.

При эксплуатации данных программных продуктов выполнять требования и руководствоваться следующими документами:

Руководства по установке;
Руководства пользователя.

Данные документы разрабатываются производителем программного продукта и предоставляются в электронном виде на установочном оптическом диске.
1.2. Средство защиты информации от несанкционированного доступа «DallasLock 8.0-К».

При эксплуатации средства защиты информации выполнять требования и руководствоваться следующими документами:

Описание применения;
Руководство оператора;
Руководство по эксплуатации.

Данные документы разрабатываются производителем программного продукта и предоставляются в электронном виде на установочном оптическом диске.
2. Порядок установки, настройки, модификации и технического обслуживания средств защиты информации

В соответствии с Федеральным законом от 4.05.2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» и Постановлением Правительства РФ от 3.02.2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» выполнение работ по установке, монтажу, испытаниям, ремонту средств защиты информации отнесены к лицензируемому виду деятельности по технической защите конфиденциальной информации. С учетом этого для выполнения данных работ может привлекаться только организация, имеющая соответствующую лицензию.

Эксплуатация средств защиты информации осуществляется лицами, допущенными к ним в соответствии с разрешительной системой доступа пользователей к сведениям конфиденциального характера в информационной системе.

Контроль по выполнению данными лицами требований документов по эксплуатации средств защиты информации возлагается на администратора информационной безопасности.

Приложение 4

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

Инструкция администратору информационной безопасностиинформационной системы персональных данных«Сотрудники»
Обозначения и сокращения
Департамент – Департамент общественных и внешних связей Югры;

АРМ – автоматизированное рабочее место;

ИС –информационная система персональных данных «Сотрудники»;

АРМ – автоматизированное рабочее место;

ВТСС – вспомогательные технические средства и системы;

ИБ – информационная безопасность;

ОТСС – основные технические средства и системы;

ПДн – персональные данные;

ПЭВМ – персональная электронно-вычислительная машина;

СВТ – средства вычислительной техники;

СЗИ – средства защиты информации;

СЗПДн – система (подсистема) защиты персональных данных;

УБПДн – угрозы безопасности персональным данным;

ПО – программное обеспечение;

ОРД – организационно-распорядительная документация;

ОС – операционная система;

Машинные носители информации (МНИ) –накопители на жестких магнитных дисках (HDD);

Съемные носители информации (СНИ) – USB-флэш-накопители информации.

1.Общие положения
1.1. Настоящий документ определяет основные обязанности, права и ответственность администратора информационной безопасности ИС.

1.2.Администратор информационной безопасности осуществляет контроль выполнения требований организационных и технических мероприятий по обеспечению безопасности информации в ИС.

1.3. Методическое руководство и контроль работыадминистратора информационной безопасности осуществляется ответственным за организацию обработки персональных данных вДепартаменте.
2.Особенности организации работы в ИС

Администратор информационной безопасности должен знать, что:

ИС относится к многопользовательским информационным системам с разными правами доступа пользователей к ресурсам ИС. Группы пользователей, работающих в ИС: администратор информационной безопасности, пользователи ИС. Данные группы пользователей имеют права доступа к ресурсам ИС в соответствии с разрешительной системой доступа пользователей к сведениям конфиденциального характера ИС.

3.Обязанности администратора информационной безопасности

3.1. Администратор информационной безопасности должен:

3.1.1. Знать нормативно-методические документы в области безопасности информации и организационно-распорядительные документы в части его касающейся;

3.1.2. Знать состав ОТСС ИС и контролировать их соответствие техническому паспорту на ИС. Вести учет изменений аппаратно-программной конфигурации (архив заявок, на основании которых были произведены данные изменения);

3.1.3 Контролировать процесс управления (заведения, активации, блокирования, уничтожения) учетными записями пользователей ИС:

Проверять соответствие прав доступа пользователей к объектам доступа ИС в соответствии с задачами, решаемыми пользователями в ИС и взаимодействующими с ней ИС и Разрешительной системой доступа к ИС;
Контролировать назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;
Проверять отсутствие в ИС учетных записей уволенных (отстраненных) сотрудников;
Оповещать администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;
Проверять своевременность удаления временных учетных записей, предоставленных для однократного (ограниченного по времени) выполнения задач в ИС;

3.1.4 Контролировать неизменность настроек средств защиты информации:

Настройки средств защиты информации должны препятствовать передаче защищаемой информации через сеть Интернет (или) другие информационно-телекоммуникационные сети международного информационного обмена по незащищенным линиям связи;
Средства защиты информации должны ограничивать доступ к ИС на 10 минут при 5 неудачных попытках входа в ИС;
Должен быть запрещен доступ к ИС до прохождения процедур аутентификации и идентификации;
Должен обеспечиваться запрет удаленного доступа к ИС.

3.1.5 Контролировать запрет использования в ИС технологий беспроводного доступа и мобильных технических средств.

3.1.6 Контролировать отсутствие доступа к ИС со стороны пользователей информационных систем сторонних организаций.

3.1.7 Контролировать установку на АРМ ИС ПО с целью отсутствия в составе АРМ ИС стороннего ПО, не связанного с задачами, решаемыми пользователями в ИС.

3.1.8 Вести учет машинных носителей персональных данных.

3.1.9 Обеспечивать уничтожение (стирание) защищаемой информации с машинных носителей АРМ ИС, при их передаче в сторонние организации для ремонта или утилизации, либо контролировать процесс уничтожения (стирания). Уничтожение защищаемой информации должно исключать возможность восстановления защищаемой информации.

3.1.10 Контролировать регистрацию в информационной системе следующих событий безопасности:

входа (выхода), а также попытки входа субъектов доступа в информационную систему и загрузки (останова) операционной системы:
- дата (время) входа/выхода в систему (из системы) или загрузки/останова операционной системы, результат попытки входа (успешная или неуспешная), результат попытки загрузки (останова) операционной системы (успешная или неуспешная), идентификатор, предъявленный при попытке доступа.
подключения машинных носителей информации и вывода информации на носители информации:
- дата и время подключения машинных носителей информации и вывода информации на носители информации, логическое имя (номер) подключаемого машинного носителя информации, идентификатор субъекта доступа, осуществляющего вывод информации на носитель информации.
запуска (завершения) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации:
- дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный).
попыток доступа программных средств к защищаемым объектам доступа:
- дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификация защищаемого файла (логическое имя, тип).
попыток удаленного доступа:
- дату и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иную информацию о попытках удаленного доступа к информационной системе.

3.1.11 Контролировать права на доступ к информации о событиях безопасности: доступ должен предоставляться исключительно администраторам ИС, обеспечивающим функционирование ИС, а также администратору информационной безопасности.

3.1.12. Обеспечивать постоянный контроль за выполнением пользователями ИС установленного комплекса мероприятий по обеспечению безопасности информации и соблюдения действующего законодательства в области информационной безопасности, а также инструкции пользователя и других организационно-распорядительных документов в части обеспечения безопасности информации;

3.1.13. Требовать от пользователей ИС и выполнять самому требования «Инструкции по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных «Сотрудники» и вести «Журнал учета нештатных ситуаций, выполнения профилактических и ремонтных работ на объекте, установки и модификации аппаратных и программных средств ИС»;

3.1.14. Контролировать порядок учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов;

3.1.15. Контролировать использование пользователями только учтенных съемных носителей. После того как цель переноса информации на носители достигнута (переданы третьим лицам и т.п.) информация незамедлительно удаляется с носителей;

3.1.16. Контролировать настройки ОС и СЗИ АРМ пользователей

3.1.17. Проводить инструктаж пользователей по правилам работы с используемыми средствами и системами зашиты информации;

3.1.18. Устанавливать права доступа пользователей к информационным и техническим ресурсам ИС в соответствии с принятой и утвержденной разрешительной системой доступа;

3.1.19. Следить за изменением программной среды ИС и полномочиями пользователей;

3.1.20. Хранить дистрибутивы СЗИ, производить при необходимости восстановление программной среды СЗИ или настройки защитных механизмов операционной системы и привилегий пользователей по доступу к ресурсам ИС. При необходимости для данных мероприятий привлекать других технических специалистов БУ «Урайский политехнический колледж»;

3.1.21. Фиксировать и пресекать невыполнение пользователями ИС требований или норм нормативно-методических документов в области безопасности информации и организационно-распорядительных документов в информационной сфере, а также создания пользователями возможностей утечки информации;

3.1.22. При получении информации о фактах нарушения политики и правил безопасности, а также попыток использования внешними нарушителями атак, в том числе с использованием методов социальной инженерии – немедленно докладывать ответственному за организацию обработки персональных данных, инициировать проведение служебной проверки (при нарушениях со стороны ответственного за организацию обработки персональных данных докладывать необходимо непосредственно вышестоящему руководству), регистрировать в журнале учёта инцидентов ИБ.

3.1.23. Не реже 1 раза в месяц просматривать журналы учёта и регистрации событий СЗИ (в соответствии с инструкцией по использованию программных и аппаратных средств защиты информации, операционной системы на предмет выявления подключения неучтённых носителей, попыток НСД и т.п.

3.1.24.Требовать от пользователей ИС и выполнять самому порядокпропускного и внутриобъектового режима в здании.

3.1.25. Контролировать отсутствие в составе ПО АРМ, входящих в ИС, средств разработки и отладки программ.

3.1.26. Реагировать на поступление в ИС спама (в случае присутствия данной информации в журналах событий межсетевого экрана) путем блокирования атакующего хоста.

3.1.27. Выполнять мероприятия по периодическому резервному копированию защищаемой информации в соответствии с «Инструкцией по резервному копированию и восстановлению данных винформационной системе персональных данных «Сотрудники»;

3.1.28.Знать эксплуатационную документацию на применяемые СЗИ. Устанавливать и эксплуатировать СЗИ в соответствии с документацией;

3.1.29. Хранить документацию и дистрибутивы СЗИ в соответствии с техническими условиями. Компакт-диск с программным обеспечением системы должен упаковываться согласно требованиям, предусмотренным для оптических носителей;

3.1.30. Поддерживать настройки СЗИ, соответствующие требованиям нормативных документов по безопасности информации и протоколу аттестационных испытаний, при этом система должна реализовывать в совокупности на каждой АРМ ИС функции необходимые для выполнения требований по защите от НСД для ИС;

3.1.31. Контролировать срок действия сертификатов соответствия на СЗИ и обеспечить их продление в соответствии с порядком продления, приведённым ниже.

3.2.Администратор информационной безопасности оказывает методическую помощь и контролирует выполнение руководителем подразделения, эксплуатирующего ИС следующих действий:

При смене пользователя руководитель подразделения, эксплуатирующего ИС, инициирует внесение изменений в перечень лиц, допущенных к работе в данной ИС и в разрешительную систему доступа;
При исключении пользователя ИС из «Перечня лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники» руководителем подразделения, эксплуатирующего ИС, принимаются меры по исключению возможности нарушения данным пользователем характеристик безопасности информации ИС. Администратору информационной безопасности необходимо до момента доведения до сотрудника информации о прекращении его работы в ИС, лишить сотрудника возможности доступа к защищаемой информации.

3.3. Администратору информационной безопасности запрещается:

3.3.1. Фиксировать учетные данные пользователя (пароли, идентификаторы, ключи и др.) на твердых носителях, а также сообщать их кому бы то ни было, кроме самого пользователя;

3.3.2. Раскрывать информацию об организации СЗПДн ИС и любую информацию, которая может создать предпосылки для возникновения канала утечки информации или создания угрозы безопасности информации.
4. Права администратора информационной безопасности

4.1. Требовать от пользователей ИС соблюдения установленных технологий обработки информации, выполнения нормативно-методических документов в области безопасности информации и организационно-распорядительных документов на ИС;

4.2. Давать своему непосредственному начальнику свои предложения по совершенствованию мер защиты в ИС.
5. Ответственность

5.1.Администратор информационной безопасности несет ответственность по действующему законодательству за разглашение сведений ограниченного распространения, ставших известными ему по роду деятельности.

5.2.Ответственность за защиту ИС от несанкционированного доступа к информации и за неукоснительное соблюдение положений настоящего руководства возлагается на администратора информационной безопасности.

1 2 3 4 5

	Приказ Фз «О персональных данных» и в целях обеспечения мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной...		Инструкция по работе ответственного за обеспечение безопасности персональных... Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение...
	Должностная инструкция администратора информационной системы персональных данных Настоящий документ подготовлен в рамках выполнения работ по обеспечению безопасного администрирования информационной системы персональных...		Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации...
	Инструкция пользователя информационной системы персональных данных Пользователь информационной системы персональных данных (далее – Пользователь) осуществляет обработку персональных данных в информационной...		Инструкция по работе пользователей информационной системы персональных данных общие положения Пользователями информационных систем персональных данных (испдн) Администрации Максатихинского района Тверской области, предназначенных...
	Инструкция пользователя информационной системы персональных данных фгбу цсмс Пользователь информационной системы персональных данных (далее – Пользователь) осуществляет обработку персональных данных (далее...		2. Должностные обязанности Пользователь информационных систем персональных данных (испдн) (далее – Пользователь) осуществляет обработку персональных данных...
	Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных...		О защите персональных данных информационной системы персональных данных Оператор – Государственное учреждение – Новосибирское региональное отделение Фонда социального страхования Российской Федерации осуществляющее...
	Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке...		Приказ г. Ханты-Мансийск >02. 06. 2017 №23-Пр-78-од об утверждении Перечня нормативных Реестра компонентов портфеля проектов Совершенствование контрольно-надзорной деятельности в Ханты-Мансийском автономном округе –...
	Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении...		Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
	Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных...		Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных...

Приказ об утверждении инструкций по работе в информационной системе персональных данных «Сотрудники» г. Ханты-Мансийск «28» мая 2015г. №170

Похожие: