Инструкция администратора безопасности информационной системы персональных данных

Скачать 360.26 Kb.

Название	Инструкция администратора безопасности информационной системы персональных данных
страница	2/4
Тип	Инструкция

rykovodstvo.ru > Руководство эксплуатация > Инструкция

1 2 3 4

7. Порядок учета средств защиты персональных данных и эксплуатационной и технической документации к ним

Используемые средства защиты персональных данных, в т.ч. криптографические (далее средства защиты), эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету Администратором безопасности в журналах установленной формы. Средства защиты, эксплуатационная и техническая документация к ним, ключевые документы доставляются Администратором безопасности при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
Передача средств защиты, эксплуатационной и технической документации к ним между пользователями производится под расписку в соответствующем журнале.
Носители программного обеспечения, эксплуатационную и техническую документацию к ним, ключевые документы хранятся в шкафах индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Системные блоки рабочих станций, на которые установлены программные средства защиты, оборудуются средствами контроля за их вскрытием (опечатываются). Место опечатывания должно быть таким, чтобы его можно было визуально контролировать.
Уничтожение программных средств защиты производится Администратором безопасности по указанию органа криптографической защиты с составлением акта. Акт об уничтожении средств криптографической защиты информации (далее СКЗИ) представляется в орган криптографической защиты.
Ключевые документы уничтожаются Администратором безопасности не позднее 10 суток после вывода их из действия (окончания срока действия) с отметкой об уничтожении в соответствующем журнале.
Учет средств защиты информации производится в соответствующих журналах:

«Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним»;

«Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов».

Порядок учета, хранения и выдачи носителей ПДн
1. При учете носителей реализуются следующие требования обеспечения защиты персональных данных:

формирование основы для последующей персональной ответственности сотрудника за сохранность носителя, повышенного внимания к нему;
предупреждение возможности нецелевого использования носителя или его неправильного хранения;
предупреждение возможности тайной подмены носителя, изъятия из него или включения в него отдельных частей (листов, частей фото-, видео- или магнитной пленки), для чего фиксируются технические характеристики носителя (количество листов, длина ленты, наличие склеек и др.);
включение носителя в сферу регулярного контроля сохранности и местонахождения;
предотвращение выдачи носителя лицу, исключенному из состава лиц, допускаемых к данному носителю (составляемому документу);
выявление факта утраты носителя или его частей, организация поиска носителя и проведения служебного расследования;
предотвращение нарушения принципа персональной ответственности за сохранность носителя и фиксируемых в нем персональных данных;
обнаружение факта подмены носителя другим, фальсификации части носителя;
обнаружение фактов случайной или умышленной порчи носителя, изменения формата, нумерации листов, вырывания листов, их загрязнения, склеивания и т.п.;
предотвращение несанкционированной и неоправданной деловой необходимостью передачи носителя между руководителями и исполнителями;
предотвращение несанкционированного ознакомления посторонних лиц с содержанием информации, зафиксированной на носителе, в процессе его выдачи исполнителю и прием от исполнителя.

Обязательному инвентарному учету и маркировке подлежат магнитные носители персональных данных, для которых любые угрозы представляют значительно большую опасность, чем для бумажных, а обнаружение реализации этих угроз возможно только на основе сложных аналитических наблюдений.
Этапы оформления и учета носителей персональных данных, выдачи их исполнителям и приема от исполнителей выполняются как в традиционном, так и автоматизированном режимах и включают в себя следующие процедуры:

первичное оформление носителя, в процессе которого выполняются специализированные операции, позволяющие в дальнейшем контролировать подлинность носителя и сохранность всех его элементов;
традиционный или автоматизированный учет носителя, при котором документируется факт включения носителя в категорию носителей ограниченного доступа с присвоением ему инвентарного номера;
окончательное оформление носителя, в процессе которого учетные данные переносятся на носитель и его составные части для их идентификации;
выдача учтенного, укомплектованного носителя персональных данных исполнителю, закрепление за исполнителем персональной ответственности за сохранность носителя, его целостность и целевое использование;
выдача исполнителю при необходимости дополнительных учтенных листов, форм и бланков;
прием от исполнителя носителя информации, в процессе которого проверяются комплектность носителя, наличие оправдательных отметок за отсутствующие элементы и документирование факта передачи носителя;
ежедневная проверка правильности учета носителей и их наличия.

9. Порядок применения средств организации архивирования и восстановления прикладного программного обеспечения и персональных данных

9.1. Администратор безопасности организует архивирование и восстановление прикладного программного обеспечения и персональных данных на рабочих станциях пользователей.

9.2. Администратор безопасности осуществляет:

ведение графика резервных копий;
восстановление утерянных данных;
контроль за созданием резервных копий персональных данных;

создание подробного отчета о каждой архивации, содержащий информацию о всех заархивированных и пропущенных файлах и папках;
ведение учета заданий архивации в виде календаря, в котором указаны дни и время, когда они выполнялись. Для каждого задания должны указываться: тип архива и местоположение носителя;
оказание помощи в решении проблем, возникающих при эксплуатации программ архивирования.

9.3. Средства организации архивирования и восстановления прикладного программного обеспечения должны устанавливаться на всех средствах вычислительной техники.

9.4. Порядок применения средств организации архивирования и восстановления прикладного программного обеспечения устанавливается с учетом соблюдения следующих требований:

обязательное хранение всех архивов в защищенном месте;
частота архивации данных зависит от их важности и частоты их изменения;
системные папки операционной системы необходимо архивировать после серьезных изменений конфигурации;
данные, которые изменяются очень редко, не имеет смысла архивировать.
восстановление работоспособности программных средств и информационных массивов, в случае утери и повреждения.

9.5. Организации архивирования и восстановления прикладного программного обеспечения подлежат следующие файлы и документы:

все файлы операционной системы и установленных приложений. Архивирование системных файлов должно производиться только после установки новых приложений или обновления самой операционной системы;
личные профили пользователей;
папки, содержащие важные документы;
базы данных;
другие файлы и папки, представляющие ценность.

9.6. Организация архивирования и восстановления прикладного программного обеспечения и персональных данных является необходимым элементом защиты информационных ресурсов от их модификации и уничтожения. Организация архивирования и восстановления прикладного программного обеспечения и персональных данных на серверах и рабочих станциях должна, как правило, проводиться по согласованию с Администратором безопасности в нерабочее время, за исключением внештатных ситуаций.

Требования к организации парольной защиты

10.1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями осуществляет Администратор безопасности.

10.2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

длина пароля должна быть не менее 6 символов;
в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

10.3. В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на Администратора безопасности ИСПДн. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самого Администратора безопасности с паролями пользователей.

10.4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц.

10.5. Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы персональных данных в случае прекращения его полномочий (увольнение, переход на другую работу внутри территориального органа) должна производиться Администратором безопасности немедленно после окончания последнего сеанса работы данного пользователя с системой.

10.6. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри территориального органа) Администратора безопасности и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем ИСПДн.

10.7. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п.9.6 или п.9.7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
11. Порядок подключения рабочих станций к сетям общего пользования

11.1. Сеть общего пользования является открытой системой передачи данных, при работе в которой могут возникнуть следующие основные угрозы безопасности информации:

заражение информационно-вычислительных ресурсов программными вирусами;
несанкционированный доступ внешних пользователей к ресурсам информационной системы персональных данных;
внедрение в автоматизированные системы программных закладок;
загрузка трафика нежелательной корреспонденцией (спамом);
несанкционированная передача персональных данных пользователями ИСПДн в сети общего пользования.

Для предотвращения указанных угроз необходимо:

разграничить доступ пользователей к ресурсам сетей общего пользования путём использования средств межсетевого экранирования защищённого сегмента локальной вычислительной сети, в котором происходит обработка персональных данных;
осуществлять контроль за персональными данными, выходящими из информационной системы Организации и загружаемых из сети общего пользования;
передача информации с персональными данными при использовании каналов связи сети общего пользования должна осуществляться только с применением средств криптографии.

12. Организация обмена персональными данными со сторонними организациями

При приеме и передаче персональных данных Администратор безопасности должен учитывать следующие требования:

коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны;
при конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) и прокладке кабельной системы ЛВС необходимо учитывать разделение трафика по отдельным сетевым фрагментам на производственной основе и видам деятельности предприятия;
подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием межсетевого экрана, требования к которому определяются РД Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
если каналы связи выходят за пределы контролируемой зоны, необходимо использовать защищенные каналы связи.

Порядок применения средств антивирусной защиты информации

13.1. Средства антивирусной защиты информации должны устанавливаться на всех средствах вычислительной техники, обрабатывающих персональные данные.

13.2. Порядок применения средств антивирусной защиты информации устанавливается с учетом соблюдения следующих требований:

обязательный входной контроль за отсутствием программных вирусов во всех поступающих в Организацию электронных носителях информации, информационных массивах, программных средствах общего и специального назначения;
обязательная проверка всех электронных писем на предмет отсутствия программных вирусов;
периодическая проверка на предмет отсутствия программных вирусов жестких магнитных дисков (не реже одного раза в неделю) и обязательная проверка съемных носителей информации перед началом работы с ними;
внеплановая проверка жестких магнитных дисков и съемных носителей информации в случае подозрения на наличие программных вирусов;
восстановление работоспособности программных средств и информационных массивов, поврежденных программными вирусами.

13.3. Инсталляция и настройка средств антивирусной защиты информации осуществляются в соответствии с программной и эксплуатационной документацией, поставляемой в комплекте с ними.

13.4. Копирование любой информации, переносимой с помощью любых съемных носителей информации, должно производиться только после проведения процедуры полного антивирусного контроля съемного носителя.

13.5. Антивирусная профилактика является необходимым элементом защиты информационных ресурсов от их модификации и уничтожения. Антивирусная профилактика состояния средств антивирусной защиты информации на серверах и рабочих станциях должна проводиться по согласованию с Администратором безопасности.

13.6. Своевременное обновление баз данных средств антивирусной защиты информации в структурных подразделениях является неотъемлемой частью обеспечения эффективной политики антивирусной защиты информации.

13.7. Обновление баз данных средств антивирусной защиты информации на рабочих станциях и серверах осуществляется в автоматическом режиме.

13.8. На рабочем месте Администратора безопасности могут быть установлены средства, позволяющие через ЛВС управлять компонентами системы антивирусной защиты, установленными на рабочих станциях и серверах в структурных подразделениях, а также проводить обновления баз средств антивирусной защиты информации. В случае если рабочая станция пользователя не подключена к ЛВС, обновление средств антивирусной защиты информации производится пользователем через съемные носители информации. Периодичность обновления определяется программными требованиями средств антивирусной защиты информации или устанавливается Администратором безопасности.

При невозможности ликвидации последствий заражения программными вирусами Администратору безопасности необходимо:

сообщить в организацию, осуществляющую техническую поддержку эксплуатации средств антивирусной защиты информации;
заархивировать зараженные файлы с внедренными программными вирусами и направить в организацию, осуществляющую техническую поддержку эксплуатации средств антивирусной защиты информации;
осуществить полную переустановку программного обеспечения на зараженном компьютере.

Все факты модификации и разрушения данных на серверах или рабочих станциях, заражение их вирусами, а также обнаружение других вредоносных программ классифицируются как значимые нарушения информационной безопасности и должны анализироваться посредством проведения служебного расследования.

1 2 3 4

	Инструкция администратора информационной безопасности информационной... Настоящая инструкция определяет функции администратора информационной безопасности информационной системы персональных данных Дневник...		Инструкция администратора информационной безопасности информационной... Администратор информационной безопасности (далее – аиб) информационной системы персональных данных фгбу цсмс (далее – испдн) назначается...
	Инструкция администратора безопасности информационной системы персональных... Администратор безопасности (далее – Администратор) информационной системы персональных данных (далее – испдн) назначается приказом...		Инструкция администратора безопасности в Муниципальном учреждении... Ава и обязанности администратора безопасности по вопросам обеспечения информационной безопасности при обработке персональных данных...
	Должностная инструкция администратора информационной системы персональных данных Настоящий документ подготовлен в рамках выполнения работ по обеспечению безопасного администрирования информационной системы персональных...		Должностная инструкция системного администратора информационной системы персональных данных Настоящая инструкция определяет основные обязанности, права и ответственность системного администратора информационной системы доу...
	Инструкция пользователя информационной системы персональных данных Пользователь информационной системы персональных данных (далее – Пользователь) осуществляет обработку персональных данных в информационной...		Инструкция по работе ответственного за обеспечение безопасности персональных... Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение...
	Приказ Фз «О персональных данных» и в целях обеспечения мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной...		Инструкция администратора информационной системы персональных данных фгбу цсмс Администратор информационной системы (далее – Администратор) персональных данных фгбу цсмс (далее – испдн) назначается приказом
	Инструкция пользователя информационной системы персональных данных фгбу цсмс Пользователь информационной системы персональных данных (далее – Пользователь) осуществляет обработку персональных данных (далее...		Инструкция администратора безопасности информации информационных... Настоящая инструкция определяет функции, права и обязанности администратора безопасности информации испдн по вопросам обеспечения...
	Инструкция администратора безопасности информационных систем персональных данных ООО ук «Атал» Администратор безопасности информационных систем персональных данных (далее – Администратор) назначается приказом ООО ук «Атал» (далее...		О защите персональных данных информационной системы персональных данных Оператор – Государственное учреждение – Новосибирское региональное отделение Фонда социального страхования Российской Федерации осуществляющее...
	Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке...		Инструкция по организации антивирусной защиты информационной системы... Арм или серверов испдн. При необходимости он должен привлечь администратора информационной безопасности для определения ими факта...

Инструкция администратора безопасности информационной системы персональных данных

Похожие: