8.Требования к персоналу по обеспечению защиты ПДн
При вступлении в должность нового работника непосредственный руководитель структурного подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн. Ответственный за обеспечение безопасности персональных данных обучает навыкам выполнения процедур, необходимых для работы в ИСПДн и выполнения требований по защите ПДн и знакомит под роспись с Инструкцией пользователя информационных систем персональных данных.
Работники должны соблюдать установленные организационно-распорядительными документами требования по режиму обработки персональных данных, учету, хранению, передаче носителей информации и обеспечению безопасности ПДн.
Работники должны быть проинформированы об ответственности за нарушение требований по обеспечению безопасности ПДн.
9.Контроль состояния защиты ПДн
Целью контроля состояния защиты является своевременное выявление и предотвращение утечки информации.
Контроль состояния защиты ПДн должен осуществляться ежегодно в соответствии с утвержденным Планом внутренних проверок состояния защиты персональных данных. Форма журнала учета проведения мероприятий приведена в Приложении 4.
Проведение контроля состояния защиты включает в себя мероприятия по оценке:
соблюдения требований руководящих и нормативно-методических документов по защите ПДн;
работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
знаний и выполнения персоналом своих функциональных обязанностей в части защиты ПДн.
Проверка проводится дополнительно при изменении состава технических средств и систем, условий обработки информации, содержащей ПДн.
В случаях обнаружения нарушений при обработке ПДн в ИСПДн необходимо:
немедленно прекратить обработку ПДн в ИСПДн, где обнаружены нарушения и принять меры к их устранению;
организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц.
Возобновление работ разрешается только после устранения нарушений и проверки достаточности и эффективности принятых мер, соответствия их требованиям нормативных документов по защите ПДн.
Приложение А. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации.
1. Настоящий порядок определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
2. К использованию, для создания резервной копии в ИСПДн, допускаются только зарегистрированные в журнале учета носители.
3. Ответственный за обеспечение безопасности персональных данных обязан осуществлять периодическое резервное копирование персональных данных, обрабатываемых в ИСПДн.
4. Носители информации (ЖМД, ГМД, CD-ROM, USB накопитель, другие), предназначенные для создания резервной копии и хранения ПДн выдаются установленным порядком ответственным за организацию обработки ПДн или ответственным за обеспечение безопасности персональных данных. По окончании процедуры резервного копирования электронные носители ПДн сдаются на хранение ответственному за обеспечение безопасности персональных данных, или руководителю подразделения, или ответственному за организацию обработки ПДн.
5. Перед резервным копированием пользователь или ответственным за обеспечение безопасности персональных данных обязан проверить электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель) на отсутствие вирусов.
6. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль в соответствии с разделом 16 настоящего Положения.
7. Запрещается запись посторонней информации на электронные носители (ЖМД, ГМД, CD-ROM, USB накопитель и другие) резервной копии.
8. Порядок создания резервной копии:
- вставить в компьютер зарегистрированный электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель, другие) для резервного копирования;
- выбрать необходимый каталог (файл) для создания резервного архива;
- при использовании систем управления базами данных необходимо создать файл с резервной копией защищаемой информации с помощью встроенных средств системы;
- выполнить процедуру создания резервной копии;
- произвести копирование на отчуждаемый носитель;
- произвести отключение отчуждаемого носителя и, создав не обходимые записи в журналах убрать носитель в хранилище.
9. Хранение отчуждаемого носителя с резервной копией защищаемой информации осуществляется в запираемом шкафу или сейфе совместно с ключевой и аутентифицирующей информацией.
10. При восстановлении работоспособности программного обеспечения сначала осуществляется резервное копирование защищаемой информации, затем производится полная деинсталляция некорректно работающего программного обеспечения.
11. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов, хранение которых осуществляется ответственным за обеспечение безопасности персональных данных в специальном хранилище.
12. При необходимости ремонта технических средств, с них удаляются опечатывающие пломбы и по согласованию с ответственным за обеспечение безопасности персональных данных оборудование передается в сервисный центр производителя. Ремонт носителей защищаемой информации не допускается. Неисправные носители с защищаемой информацией подлежат уничтожению в соответствии с порядком уничтожения носителей защищаемой информации. Работа с использованием неисправных технических средств запрещается.
13. При работе на компьютерах ИСПДн рекомендуется использовать источники бесперебойного питания, с целью предотвращения повреждения технических средств и(или) защищаемой информации в результате сбоев в сети электропитания.
14. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в техническом задании на создание системы защиты персональных данных.
15. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов, которые хранятся у ответственного за обеспечение безопасности персональных данных. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств с помощью встроенных в них функций на зарегистрированный носитель.
16. Ответственность за проведение резервного копирования в ИСПДн в соответствии с требованиями настоящего Положения возлагается на пользователя ИСПДн и ответственного за обеспечение безопасности персональных данных.
17.Ответственность за проведение мероприятий по восстановлению работоспособности технических средств, средств защиты информации (далее – СЗИ) и программного обеспечения баз данных возлагается на ответственного за обеспечение безопасности персональных данных.
|
