ИНСТРУКЦИЯ
пользователя информационных систем персональных данных
Управления Министерства юстиции Российской Федерации
по Республике Карелия по обеспечению безопасности
1. Общие требования по обеспечению безопасности
обработки информации в ИСПДн Управления
1.1. К защищаемой информации, обрабатываемой в информационных системах персональных данных Управления (далее - ИСПДн), относятся персональные данные, служебная (технологическая) информация системы защиты, другая информация конфиденциального характера в соответствии с Перечнем защищаемых информационных ресурсов ИСПДн Управления (Приложение № 2).
1.2. Действие настоящей Инструкции распространяется на все структурные подразделения Управления.
1.3. Обработка защищаемой информации в ИСПДн Управления осуществляется на основании приказа начальника Управления.
1.4. Ответственность за организацию защиты информации в ИСПДн Управления и выполнение установленных условий ее функционирования возлагается на администратора ИСПДн. Ответственность за выполнение мероприятий по обеспечению безопасности информации возлагается на лицо, производящее ее обработку (далее - Пользователь) и администратора безопасности информации (далее – Администратор безопасности).
1.5. Допуск пользователей к работе в ИСПДн Управления осуществляется в соответствии со списком лиц (приложение № 3), доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, утверждаемом начальником Управления.
1.6. К самостоятельной работе на автоматизированных рабочих местах (далее - АРМ), входящих в состав ИСПДн Управления, допускаются лица, изучившие требования настоящей инструкции и освоившие правила эксплуатации АРМ и технических средств защиты. Допуск производится после проверки знания настоящей инструкции и практических навыков в работе.
1.7. Помещения, в которых размещены технические средства ИСПДн Управления, должны отвечать режимным требованиям.
1.8. Вход в помещения, в которых производится автоматизированная обработка защищаемой информации, разрешается постоянно работающим в нем работникам, а также лицам, привлекаемым к проведению ремонтных, наладочных и других работ и посетителей в сопровождении работников Управления.
1.9. Техническое обслуживание АРМ, уборка помещения и т.п. проводятся только под контролем уполномоченного лица Управления. При проведении этих работ обработка защищаемой информации (ПДн) запрещается.
1.10. По фактам и попыткам несанкционированного доступа к защищаемой информации, а также в случаях ее утечки и (или) модификации (уничтожения) проводятся служебные расследования.
2. Обязанности пользователя
2.1. При первичном допуске к работе в ИСПДн Управления пользователь знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных (регламентирующих) документов по вопросам безопасности при автоматизированной обработке информации, изучает настоящую инструкцию, получает личный текущий пароль у администратора безопасности.
2.2. Каждый работник Управления, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн Управления, несет персональную ответственность за свои действия и обязан:
2.2.1. строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн Управления;
2.2.2. знать и строго выполнять правила работы со средствами защиты информации, установленными в ИСПДн Управления;
2.2.3. хранить в тайне свой пароль;
2.2.4. передавать для хранения установленным порядком при необходимости свои реквизиты разграничения доступа только администратору безопасности Управления;
2.2.5. выполнять требования по антивирусной защите в части, касающейся действий пользователей;
2.2.6. немедленно ставить в известность администратора безопасности в следующих случаях:
- при подозрении компрометации личного пароля;
- обнаружения нарушения целостности пломб (наклеек) на аппаратных средствах АРМ или иных фактов совершения в отсутствие пользователя попыток несанкционированного доступа (далее - НСД) к ресурсам ИСПДн Управления;
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн Управления;
- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ИСПДн Управления, выхода из строя или неустойчивого функционирования узлов или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;
- некорректного функционирования установленных средств защиты;
- обнаружения непредусмотренных отводов кабелей и подключенных устройств;
- обнаружения фактов и попыток НСД и случаев нарушения установленного порядка обработки защищаемой информации.
2.3. Пользователю категорически запрещается:
2.3.1. использовать компоненты программного и аппаратного обеспечения ИСПДн Управления в неслужебных целях;
2.3.2. самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн Управления или устанавливать дополнительно любые программные и аппаратные средства;
2.3.3. осуществлять обработку защищаемой информации в присутствии посторонних (не допущенных к данной информации) лиц;
2.3.4. записывать и хранить защищаемую информацию на неучтенных носителях информации (гибких магнитных дисках и т.п.);
2.3.5. оставлять включенным без присмотра АРМ, не активизировав средства защиты от НСД;
2.3.6. оставлять без личного присмотра на АРМ или где бы то ни было свои персональные реквизиты доступа, машинные носители и распечатки, содержащие защищаемую информацию;
2.3.7. умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к ознакомлению с защищаемой информацией посторонних лиц. Об обнаружении такого рода ошибок ставить в известность администратора безопасности;
2.3.8. производить перемещения технических средств АРМ без согласования с администратором безопасности;
2.3.9. вскрывать корпуса технических средств АРМ и вносить изменения в схему и конструкцию устройств, производить техническое обслуживание (ремонт) средств вычислительной техники без согласования с администратором безопасности и без оформления соответствующего акта;
2.3.10. подключать к АРМ нештатные устройства и самостоятельно вносить изменения в состав и конфигурацию;
2.3.11. осуществлять ввод пароля в присутствии посторонних лиц;
2.3.12. оставлять без контроля АРМ в процессе обработки конфиденциальной информации;
2.3.13. привлекать посторонних лиц для производства ремонта (технического обслуживания) технических средств АРМ.
Приложение № 7
УТВЕРЖДАЮ
Начальник Управления Министерства
юстиции Российской Федерации
по Республике Карелия
____________________М.Л. Свинкина
«___»______________________2014 г.
ПЛАН
контроля выполнения требований по обеспечению безопасности
персональных данных при их обработке в информационных
системах персональных данных Управления Министерства юстиции Российской Федерации по Республике Карелия
№ п/п
|
Дата
проведения
мероприятий
|
Краткое описание проверочных мероприятий
|
Периодичность проверочных мероприятий
|
Результат проверки
|
Ф.И.О. ответственного пользователя, подпись
|
Фамилия и роспись лица, проводившего проверку
|
Примечание
|
1
|
|
Контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны
|
1 раз в месяц
|
|
|
|
|
2
|
|
Проверка выполнения требований по условиям размещения АРМ в помещениях, в которых размещены средства ИСПДн
|
1 раз в 3 месяца
|
|
|
|
|
3
|
|
Проверка соответствия состава и структуры программно-технических средств ИСПДн документированному составу и структуре средств, разрешенных для обработки ПДн
|
1 раз в 3 месяца
|
|
|
|
|
4
|
|
Проверка целостности наклейки на
системных блоках и других ТС, участвующих в обработке ПДн
|
1 раз в месяц
|
|
|
|
|
5
|
|
Проверка допуска в помещения, где
размещены средства ИСПДн, и осуществляется обработка ПДн
|
1 раз в 3 месяца
|
|
|
|
|
6
|
|
Проверка соответствия реального уровня полномочий по доступу к ПДн различных пользователей, установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий
|
1 раз в 3 месяца
|
|
|
|
|
7
|
|
Проверка наличия средств защиты
информации в соответствии с указанными в Журнале учета средствами защиты информации
|
1 раз в 3 месяца
|
|
|
|
|
8
|
|
Проверка правильности применения средств защиты информации
|
1 раз в 3 месяца
|
|
|
|
|
9
|
|
Проверка неизменности настроенных параметров антивирусной защиты на рабочих станциях пользователей
|
1 раз в месяц
|
|
|
|
|
10
|
|
Контроль за обновлениями ПО и единообразия применяемого ПО на всех элементах ИСПДн
|
1 раз в неделю
|
|
|
|
|
11
|
|
Проверка соблюдения правил парольной защиты
|
1 раз в 3 месяца
|
|
|
|
|
12
|
|
Проверка работоспособности системы резервного копирования
|
1 раз в месяц
|
|
|
|
|
13
|
|
Проведение мероприятий по проверке организации учета и условий хранения съемных носителей ПДн
|
1 раз в 3 месяца
|
|
|
|
|
14
|
|
Проверка соблюдения требований по обеспечению безопасности при ипользовании ресурсов сети Интернет
|
1 раз в месяц
|
|
|
|
|
15
|
|
Проверка знаний персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях
|
1 раз в год
|
|
|
|
|
16
|
|
Проверка знаний инструкций по обеспечению безопасности информации пользователями ИСПДн
|
1 раз в 6 месяцев
|
|
|
|
|
17
|
|
Проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения средств защиты (сертификатов соответствия и других документов)
|
1 раз в 3 месяца
|
|
|
|
|
Приложение № 8
УТВЕРЖДАЮ
Начальник Управления Министерства
юстиции Российской Федерации
по Республике Карелия
____________________М.Л. Свинкина
«___»______________________2014 г.
Журнал
|
