Партнерка на США и Канаду по недвижимости, выплаты в крипто

  • 30% recurring commission
  • Выплаты в USDT
  • Вывод каждую неделю
  • Комиссия до 5 лет за каждого referral

АДМИНИСТРАЦИЯ КОНДИНСКОГО РАЙОНА

Ханты-Мансийского автономного округа - Югры

РАСПОРЯЖЕНИЕ

от 08 декабря 2011 года

пгт. Междуреченский

Об организации работ по обеспечению

безопасности персональных данных

при их обработке в информационных системах

персональных данных отдела ЗАГС

администрации Кондинского района

С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) отдела ЗАГС администрации Кондинского района в соответствии с действующими нормативными правовыми и методическими документами:

1.Назначить администраторами информационной безопасности ИСПДн отдела ЗАГС работников администрации (приложение 1) и возложить на них следующие функции:

1.1.Учёт лиц, допущенных к работе с персональными данными в информационных системах персональных данных.

1.2.Администрирование средств антивирусной защиты информационных систем персональных данных.

1.3.Администрирование средств и систем защиты персональных данных в информационных системах персональных данных.

1.4.Учёт машинных носителей персональных данных.

1.5.Обнаружение фактов несанкционированного доступа к персональным данным и принятие действенных мер по защите от несанкционированного доступа в соответствии с организационно-распорядительными документами учреждения.

1.6.Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

1.7.Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных.

НЕ нашли? Не то? Что вы ищете?

1.8.Отслеживание принимаемых мер по обеспечению безопасности персональных данных.

2.Комиссии по классификации ИСПДн, защите, информации и уничтожению персональных данных () в срок до 20 декабря 2011 года осуществить классификацию использующихся информационных систем персональных данных отдела ЗАГС в соответствии с распоряжением Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 01.01.01 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». При необходимости ввода в эксплуатацию новых информационных систем комиссия осуществляет их предварительную классификацию.

3.Утвердить список лиц, чей доступ к персональным данным, обрабатываемым в ИСПДн «ЗАГС», необходим для выполнения служебных (трудовых) обязанностей (приложение 2).

4.Утвердить перечень сведений, составляющих персональные данные, обрабатываемые в информационной системе «ЗАГС» (приложение 3).

5.Утвердить для использования в работе сотрудниками администрации, в части их касающейся, прилагаемые организационно-распорядительные документы по работе с ИСПДн «ЗАГС»:

5.1.Руководство пользователя ИСПДн «ЗАГС» (приложение Руководство администратора «информационной безопасности ИСПДн «ЗАГС» (приложение 5).

5.3.Инструкция по выполнению режимных мер и допуску к ИСПДн «ЗАГС» (приложение 6).

6.Начальнику отдела записей актов гражданского состояния администрации Кондинского района с периодичностью раз в полгода проводить учебные занятия с сотрудниками, допущенными к персональным данным, обрабатываемым в отделе с целью ознакомления их с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и локальными актами по вопросам обработки персональных данных (далее - ПДн).

7.Распоряжение довести до всех сотрудников отдела записей актов гражданского состояния администрации Кондинского района, комитета по информационным ресурсам администрации Кондинского района и главного специалиста администрации Кондинского района .

8.Контроль за выполнением распоряжения возложить на первого заместителя главы администрации района .

Глава администрации

Кондинского района

лг \С\Рабочий стол\ Распоряжения 2011

Приложение 1

к распоряжению администрации района

от 01.01.01 года

Список администраторов информационной безопасности ИСПДн «ЗАГС»

1., консультант комитета по информационным ресурсам администрации Кондинского района.

2., старший инженер отдела автоматизированных систем управления комитета по информационным ресурсам администрации Кондинского района.

4

Приложение 2

к распоряжению администрации района

от 01.01.01 года

Список сотрудников, допущенных к обработке

ПДн в ИСПДн «ЗАГС»

ФИО, должность

Перечень ПДн, к которым есть допуск

-

Полный перечень ПДн в соответствии

с утверждённым перечнем ПДн ИСПДн

-

Полный перечень ПДн в соответствии

с утверждённым перечнем ПДн ИСПДн

-

Полный перечень ПДн в соответствии

с утверждённым перечнем ПДн ИСПДн

Разграничение прав доступа к информационным ресурсам определенно разрешительной системой доступа к информационным ресурсам ИСПДн «ЗАГС».

5

Приложение 3

к распоряжению администрации района

от 01.01.01 года

Перечень сведений, составляющих ПДн, обрабатываемые в информационной системе «ЗАГС»

1.Ф. И.О.

2.Дата рождения.

3.Место рождения.

4.Гражданство.

5.Последнее место жительства.

6.Образование.

7.Паспортные данные.

8.Дата смерти.

9.Причина смерти.

10.Данные о смене фамилии.

11.Национальность.

12.Данные о заключении брака.

13.Данные об усыновлении/удочерении.

Примечание:

Данный перечень ПДн обрабатывается в МАИС ЗАГС с помощью системного и прикладного программного обеспечения.

Полный перечень системного и прикладного программного обеспечения и основных технических средств и систем, используемых для обработки, указан в техническом паспорте на ИСПДн и в разрешительной системе доступа к ресурсам ИСПДн.

6

Приложение 4

к распоряжению администрации района

от 01.01.01 года

Руководство пользователя ИСПДн «ЗАГС»

Обозначения и сокращения:

АРМ – автоматизированное рабочее место.

ИБ – информационная безопасность.

ИС – информационная система.

ЗИ – защита информации.

ОТСС – основные технические средства и системы.

ПЭВМ – персональная электронно-вычислительная машина.

СВТ – средства вычислительной техники.

СЗИ – средства защиты информации.

СЗПДн – система (подсистема) защиты персональных данных.

УБПДн – угрозы безопасности персональным данным.

1. Общие положения

1.1.Руководство пользователя (далее - Руководство) ИСПДн «ЗАГС» предназначено для пользователей всех уровней (руководителей и сотрудников) и регулирует порядок работы пользователей в ИСПДн.

1.2.Положения Руководства обязательны для исполнения всеми пользователями.

1.3.Все пользователи должны быть ознакомлены под расписку с Руководством и предупреждены об ответственности за его нарушение.

1.4.По уровню ответственности и правам доступа к ИСПДн пользователи ИСПДн разделяются на следующие категории: администраторы и пользователи.

1.5.Пользователь подключенного к ИСПДн компьютера - лицо, за которым закреплена ответственность за данный компьютер. Пользователь должен принимать все необходимые меры по защите информации и контролю за соблюдением прав доступа к ней.

2. Основные положения Руководства

2.1.При первичном допуске к работе в ИСПДн Пользователь изучает требования настоящей инструкции, положения по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн, разрешительной системы доступа, инструкций по использованию программных и аппаратных средств защиты информации и руководящих, нормативно-методических и организационно-распорядительных документов по вопросам обеспечения безопасности информации, получает личный текущий пароль у администратора информационной безопасности.

2.2.Каждый пользователь ИСПДн, имеющий в рамках своих обязанностей доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:

2.2.1.Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн, в том числе положения настоящего Руководства.

2.2.2.Знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции.

2.2.3.Располагать ОТСС в соответствии с техническим паспортом.

2.2.4.Хранить в тайне свой пароль (пароли). Парольную защиту организовывать в соответствии с Инструкцией пользователя ИСПДн по организации парольной защиты (приложение 1 к Руководству пользователя).

2.2.5.Выполнять требования Инструкции пользователя по организации антивирусной защиты (приложение 2 к Руководству пользователя).

2.2.6.Немедленно вызывать администратора информационной безопасности и ставить в известность вышестоящего руководителя при подозрении компрометации личных ключей и паролей или при обнаружении фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к ОТСС ИСПДн.

2.2.7.В случае появления у пользователя компьютера сведений или подозрений о фактах нарушения настоящих правил, а в особенности о фактах или попытках несанкционированного удаленного доступа к информации, размещенной на контролируемом им компьютере либо каком-либо другом, пользователь должен немедленно сообщить об этом администратору информационной безопасности ИСПДн.

2.2.8.Немедленно сообщать администратору информационной безопасности об обнаруженных фактах нарушения настоящего Руководства кем-либо.

2.2.9.Сообщать администратору информационной безопасности ИСПДн об отклонениях в нормальной работе установленных на СВТ технических средств защиты.

2.2.10.При работе в ИСПДн выполнять только служебные задания.

2.2.11.При отсутствии необходимости работы выключить компьютер.

2.2.12.При работе в ИСПДн использовать только учтенные машинные носители, при обоснованной необходимости использования неучтённых носителей согласовывать использование с администратором информационной безопасности. После того как цель переноса информации на носители достигнута (переданы третьим лицам и т. п.) информация незамедлительно удаляется с носителей.

2.2.13.Немедленно выполнять предписания администратора информационной безопасности ИСПДн в части обеспечения безопасности информации.

2.2.14.Экран видеомонитора в помещении располагать во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами.

2.2.15.Соблюдать установленный режим разграничения доступа к информационным ресурсам.

2.2.16.Не разглашать известную им информацию, составляющую ПДн, лицам, не имеющим допуска к этой информации.

2.2.17.Все изменения конфигурации технических и программных средств ИСПДн, ремонт, модификация и техническое обслуживание технических средств и систем, входящих в состав ИСПДн производить только на основании Инструкции по установке, модификации, ремонту, техническому обслуживанию, обновлению и восстановлению работоспособности программного обеспечения и аппаратных средств (приложение 3 к Руководству пользователя).

2.3. Пользователю запрещается:

2.3.1.Самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств, устанавливать или удалять установленные администратором информационной безопасности сетевые программы на компьютерах, вскрывать компьютеры, сетевое и периферийное оборудование, подключать к компьютеру дополнительное оборудование, вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства.

2.3.2.Привлекать посторонних лиц для производства ремонта ОТСС без согласования с администратором информационной безопасности.

2.3.3.Запускать любые системные или прикладные программы, не входящие в состав программного обеспечения.

2.3.4.Работать с неучтенными машинными носителями информации.

2.3.5.Отключать (блокировать) средства защиты информации.

2.3.6.Производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств.

2.3.7.Обрабатывать на СВТ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам обработки информации.

2.3.8.Сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам СВТ.

2.3.9.Хранить на учтенных носителях программы и данные, не относящиеся к рабочей информации.

2.3.10.Передавать свои учтённые носители кому-либо.

2.3.11.Вводить в ОТСС персональные данные под диктовку или с микрофона.

2.3.12.Осуществлять попытки несанкционированного доступа к ресурсам ИСПДн, проводить или участвовать в сетевых атаках и сетевом взломе.

2.3.13.Производить действия, направленные на взлом (несанкционированное получение привилегированного доступа) рабочих станций ИСПДн.

2.3.14.Закрывать доступ к информации паролями без согласования с администратором информационной безопасности.

2.4. Обязанности:

2.4.1.Пользователь обязан обеспечить:

2.4.1.1.Сохранность оборудования и физической целостности системных блоков компьютеров.

2.4.1.2.Обязательное выключение компьютера после завершения работы пользователя.

2.4.2.Руководитель отдела ЗАГС должна обеспечить:

2.4.2.1.Учёт изменений в конфигурацию технических и программных средств, что должно обеспечиваться внесением изменений в технический паспорт на ИСПДн.

2.4.2.2.Актуализацию и внесение при необходимости изменений в разрешительную систему доступа.

2.4.2.3.Знание и соблюдение сотрудниками отдела настоящей инструкции и других организационно-распорядительных документов администрации в области обеспечения защиты персональных данных.

2.5. Ответственность.

2.5.1.Пользователь несет персональную ответственность за соблюдение установленных требований во время работы. Пользователи, виновные в нарушении законодательства Российской Федерации о защите прав собственности и охраняемых по Закону сведений, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и организационно распорядительными документами.

2.5.2.Нарушение данной инструкции, повлекшее уничтожение, блокирование, модификацию либо копирование охраняемой законом компьютерной информации, нарушение работы компьютеров пользователей или ИСПДн в целом, может повлечь ответственность в соответствии с действующим законодательством.

Приложение 1

к Руководству пользователя ИСПДн

Инструкция пользователя ИСПДн по организации парольной защиты

Данная инструкция регламентирует организационно-техническое обеспечение процессов смены и прекращения действия паролей в ИСПДн:

1.Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора информационной безопасности.

2.Личный пароль должен генерироваться и распределяться централизованно либо выбираться пользователем ИСПДн самостоятельно с учетом следующих требований:

2.1.Длина пароля должна быть не менее 6 символов.

2.2.В числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т. п.).

2.3.Пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т. д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т. п.).

2.4.При смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.

2.5.Личный пароль пользователь не имеет права сообщать никому.

3.Владелец пароля должен быть ознакомлен под роспись с перечисленными выше требованиями и предупрежден об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

4.Плановая смена паролей пользователя должна проводиться регулярно, не реже одного раза в 3 месяца.

5.Внеплановая смена личного пароля или удаление учетной записи пользователя в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т. п.) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.

6.В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п.5 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

7. Контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора информационной безопасности.

Рекомендации по резервному копированию:

За осуществление резервного копирования ответственны начальник отдела ЗАГС и главный специалист отдела ЗАГС. Ежемесячно на учтённый USB носитель начальником отдела ЗАГС или главным специалистом отдела ЗАГС делаются резервные копии базы данных «ЗАГС».

Носитель с резервными копиями храниться в сейфе, расположенном в кабинете начальника отдела ЗАГС.

Носитель USB, используемый для сохранения резервных копий, запрещено использовать для других целей.

Рекомендации по использованию программных и аппаратных средств защиты информации ИСПДн.

В ИСПДн применяются сертифицированные СЗИ, предназначенные для защиты от несанкционированного доступа к информационным ресурсам ИСПДн.

Эксплуатация системы должна поддерживаться администратором информационной безопасности.

При первичном допуске к работе на АРМ ИСПДн пользователь обязан внимательно ознакомиться со всеми положениями инструкции. Пользователь имеет право требовать от администратора информационной безопасности разъяснений инструкции пользователя СЗИ и правил работы с СЗИ.

Пользователь обязан:

знать инструкцию по эксплуатации СЗИ;

соблюдать требования настоящего руководства пользователя ИСПДн и понимать, что СЗИ позволят администратору информационной безопасности выявить попытки подключения неучтённых носителей, попытки загрузки с внешних носителей и другие нарушения пользователя. При этом пользователь должен понимать, что при этом к нему будут применены дисциплинарные воздействия;

поддерживать настройки СЗИ установленные администратором информационной безопасности. Изменение настроек, отключение СЗИ без администратора информационной безопасности запрещено. При любых неполадках системы или некорректной работы следует немедленно обращаться к администратору информационной безопасности.

Приложение 2

к Руководству пользователя ИСПДн

Инструкция пользователя ИСПДн по организации антивируснй защиты

Настоящая Инструкция определяет требования к организации защиты СВТ ИСПДн от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих СВТ ИСПДн за их выполнение.

Установка средств антивирусного контроля на компьютерах (серверах) осуществляется администратором информационной безопасности в соответствии с Инструкцией по установке, модификации, ремонту, техническому обслуживанию, обновлению и восстановлению работоспособности программного обеспечения и аппаратных средств.

Настройка параметров средств антивирусного контроля осуществляется администратором информационной безопасности в соответствии с руководствами по применению конкретных антивирусных средств.

Ежедневно в начале работы при загрузке компьютера (для серверов - при перезапуске) в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов АРМ.

Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т. п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на выделенном автономном компьютере или, при условии начальной загрузки операционной системы в оперативную память компьютера. Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.

Установка (изменение) системного и прикладного программного обеспечения осуществляется на основании Инструкции по установке, модификации, ремонту, техническому обслуживанию, обновлению и восстановлению работоспособности программного обеспечения и аппаратных средств.

Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов.

На СВТ запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации на АРМ.

Пользователи при работе с носителями информации обязаны перед началом работы осуществить проверку их на предмет отсутствия компьютерных вирусов.

Ярлык для запуска антивирусной программы должен быть вынесен на «Рабочий стол» операционной системы.

При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т. п.) пользователь самостоятельно должен провести внеочередной антивирусный контроль своей рабочей станции.

Ответственность за организацию антивирусного контроля в соответствии с требованиями настоящей Инструкции возлагается на начальника отдела ЗАГС.

Периодический контроль за состоянием антивирусной защиты в ИСПДн, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции пользователями осуществляется начальником отдела ЗАГС.

Периодический контроль за состоянием антивирусной защиты в ИСПДн, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции и еженедельное обновление антивирусных баз осуществляется администратором информационной безопасности.

Приложение 3

к Руководству пользователя ИСПДн

Инструкция
по установке, модификации, ремонту, техническому обслуживанию, обновлению

и восстановлению работоспособности программного обеспечения

и аппаратных средств

1.Настоящей инструкцией регламентируется проведение любых модификаций и изменений в составе технических средств и программного обеспечения ИСПДн, технического обслуживания и устранения нештатных ситуаций в работе средств вычислительной техники (далее СВТ), входящих в состав ИСПДн.

2.Все изменения конфигурации технических и системных программных средств ИСПДн, ремонт, модификация, а также неконтролируемое со стороны администратора информационной безопасности техническое обслуживание технических средств и систем, входящих в состав ИСПДн, должны производиться только на основании письменных заявок в комитет по информационным ресурсам администрации района с указанием необходимых действий и обоснования их необходимости. Ответственность за выполнение данного требования несёт сотрудник, эксплуатирующий данные средства информатизации.

Порядок данных работ следующий:

2.1.При возникновении необходимости в проведении работ у сотрудников, эксплуатирующих ОТСС ИСПДн, последние направляют в адрес комитета по информационным ресурсам вышеуказанную заявку. Руководитель комитета по информационным ресурсам поручает исполнение заявки по существу вопроса лицам, ответственным за данные работы по компетенции, и параллельно администратору информационной безопасности в части его касающейся (в части контроля за действиями в ходе ремонта, обслуживания и т. п., в части резервного копирования, удаления СЗИ и информации при необходимости). Сотрудники, работающие на ОТСС ИСПДн, допускают лиц, прибывших для проведения работ по заявке, только в присутствии администратора информационной безопасности.

2.2.При всех вышеуказанных работах на объектах информатизации сотрудниками подразделений (или сторонних организаций), занимающихся ремонтом, модификацией программных и аппаратных средств, инженерных коммуникаций, кабельных линий и систем объекта и, выступающих в качестве инициаторов данных действий, в соответствии с планом работ либо внепланово, начальник ЗАГС либо пользователь ИСПДн допускает указанных исполнителей к данным работам только в присутствии администратора информационной безопасности.

Передача СВТ в другое подразделение или в распоряжение другой организации для ремонта или решения иных задач осуществляется только после того, как администратор информационной безопасности снимет средства защиты и предпримет необходимые меры для затирания или резервного копирования (при необходимости) защищаемой информации, которая хранилась на дисках.

О факте выполнения всех без исключения вышеуказанных работ администратором информационной безопасности делается соответствующая отметка в «Журнале учета ремонтных (профилактических) работ выполненных в информационной системе персональных данных «ЗАГС», ведение которого контролируется начальником отдела ЗАГС.

Формат записей «Журнала учета ремонтных (профилактических) работ, выполненных в информационной системе персональных данных «ЗАГС»:

Дата записи

Наименование и местоположение автоматизированной системы

Краткое описание выполненной работы, основание

Дата и время начала работы

Дата и время окончания работы

ФИО исполнителей работ и их подписи

Подпись лица, ответственного за защиту информации

№ наклейки для опечатывания системного блока АС

Примечание

1

2

3

4

5

6

7

8

9

10

3.Пользователям и администратору информационной безопасности необходимо знать, что контролю со стороны администратора информационной безопасности и регистрации в журнале подлежат:

замена (модификация) средств вычислительной техники входящих в состав ИСПДн в соответствии с техническим паспортом на ИСПДн, в том числе изменения линий локально-вычислительной сети и т. п.;

замена, изъятие, добавление средств информатизации ИСПДн (средства электронно-вычислительной техники, комплектующие, системы и сети ИСПДн, системы и сети электросвязи, программные средства);

техническое обслуживание и ремонт СВТ без замены комплектующих и составных частей;

ремонт инженерных коммуникаций (линий силового питания, слаботочных линий и т. п.), изменения в системе силового питания СВТ;

обновление (замена) на конкретном автоматизированном рабочем месте или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);

изменение местоположения СВТ и вспомогательных средств и систем, указанных в схеме технического паспорта.

После внесения изменений в состав ИСПДн администратором информационной безопасности делается пометка в техническом паспорте на ИСПДн.

Журнал и технический паспорт хранятся у начальника отдела ЗАГС и должны быть доступны пользователям ИСПДн для реализации требований данной инструкции в любой необходимый момент. Ответственность за предоставление журнала администратору информационной безопасности несёт пользователь эксплуатирующий СВТ на котором выполняются работы и начальник отдела ЗАГС

4.Установка и обновление программного обеспечения.

Установка или обновление подсистем ИСПДн должны проводиться уполномоченными сотрудниками (администраторы сети (серверов) и администраторы баз данных) обязательно в присутствии администратора информационной безопасности. После установки модифицированных модулей на сервер (рабочую станцию) администратор информационной безопасности производит пересчет контрольных сумм с помощью установленных средств защиты информации и проводит антивирусный контроль.

Установка и обновление общего программного обеспечения (системного, тестового и т. п.) на рабочие станции и сервера производится с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т. п.), полученных установленным порядком.

Факты установки или обновления фиксируются в «Журнале учета ремонтных (профилактических) работ выполненных в информационной системе персональных данных «ЗАГС».

5.Нештатные ситуации и форс-мажор.

В условиях необходимого немедленного реагирования на нештатные ситуации разрешается модификация, замена, ремонт и т. д. без согласования с администратором информационной безопасности.

К нештатным ситуациям относятся:

выход из строя или неустойчивое функционирование узлов ПЭВМ, периферийных устройств, средств защиты информации по различным причинам;

выход из строя системы электроснабжения.

При возникновении необходимости оперативной модификации, замены, ремонта и т. п. пользователи немедленно сообщают администратору информационной безопасности по средствам телефонной связи. Необходимые работы выполняются под контролем пользователей и последующим написанием служебной (докладной) записки на имя первого заместителя главы администрации с обоснованием экстренных изменений и описанием произведённых действий. По результатам рассмотрения служебной (докладной) записки администратор информационной безопасности выполняет все действия, предусмотренные настоящей инструкцией.

16

Приложение 5

к распоряжению администрации района

от 01.01.01 года

Руководство администратора информационной безопасности

ИСПДн «ЗАГС»

1. Общие положения

1.1.Настоящий документ определяет основные обязанности, права и ответственность администратора ИСПДн «ЗАГС».

1.2.Администратор информационной безопасности осуществляет контроль выполнения требований организационных и технических мероприятий по обеспечению безопасности информации в ИСПДн дополнительно к своим непосредственным обязанностям.

2. Особенности организации работы в ИСПДн

2.1.Администратор информационной безопасности должен знать:

2.1.1.ИСПДн относится к многопользовательским АС с разными правами. Группы пользователей, работающих в ИСПДн: администратор информационной безопасности, пользователи ИСПДн. Данные группы пользователей имеют права доступа к ресурсам ИСПДн в соответствии с разрешительной системой данной ИСПДн.

2.1.2.ИСПДн аттестована на соответствие требованиям по безопасности информации, что влечёт за собой обязательства владельца ИСПДн по организации работы в ней и администратор информационной безопасности отвечает за выполнение требований Положения по аттестации объектов информатизации по требованиям безопасности информации, заключения по результатам аттестационных испытаний и организационно-распорядительной документации в части безопасности информации в части его касающейся.

3. Обязанности администратора информационной безопасности

3.1.Администратор информационной безопасности должен:

3.1.1.Знать нормативно-методические документы в области безопасности информации и организационно-распорядительные документы в части его касающейся.

3.1.2.Знать состав ОТСС и вспомогательных технических средств и систем (далее – ВТСС) ИСПДн и контролировать их соответствие техническому паспорту на ИСПДн. Вести учет изменений аппаратно-программной конфигурации (архив заявок, на основании которых были произведены данные изменения).

3.1.3.Обеспечивать постоянный контроль за выполнением пользователями ИСПДн установленного комплекса мероприятий по обеспечению безопасности информации и соблюдения действующего законодательства в области информационной безопасности, а также руководства пользователя и других организационно-распорядительных документов в части обеспечения безопасности информации.

3.1.4.Требовать от пользователей ИСПДн и выполнять самому требования Инструкции по установке, модификации, ремонту, техническому обслуживанию, обновлению и восстановлению работоспособности программного обеспечения и аппаратных средств (приложение к Руководству администратора информационной безопасности ИСПДн «ЗАГС») и вести Журнал учета ремонтных (профилактических) работ, выполненных в информационной системе персональных данных «ЗАГС».

3.1.5.Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

3.1.6.Контролировать использование пользователями только учтенных машинных носителей.

3.1.7.Настройки ОС и СЗИ АРМ пользователей, не использующих учтённые носители информации, должны обеспечивать запрет пользователей на подключение носителей и использование дисководов, внешних жёстких дисков и т. д. (CD, DVD-ROM, USB, HDD). При возникновении обоснованной необходимости использования пользователями указанных устройств или неучтённых носителей разрешать и контролировать процесс использования. После выполнения задач настройки ОС и СЗИ возвращать в исходное состояние.

3.1.8.Проводить инструктаж пользователей по правилам работы с используемыми средствами и системами зашиты информации.

3.1.9.Устанавливать права доступа пользователей к информационным и техническим ресурсам ИСПДн в соответствии с принятой и утвержденной разрешительной системой доступа.

3.1.10.Следить за изменением программной среды АС и полномочиями пользователей.

3.1.11.Хранить дистрибутивы СЗИ, а также вторую резервную копию средств защиты информации. Производить при необходимости восстановление программной среды СЗИ или настройки защитных механизмов операционной системы и привилегий пользователей по доступу к ресурсам ИСПДн.

3.1.12.Фиксировать и пресекать невыполнение пользователями ИСПДн требований или норм нормативно-методических документов в области безопасности информации и организационно-распорядительных документов в информационной сфере, а также создания пользователями возможностей утечки информации.

3.1.13.При получении информации о фактах нарушения политики и правил безопасности, а также попыток использования внешними нарушителями атак, в том числе с использованием методов социальной инженерии – немедленно докладывать первому заместителю главы администрации района, инициировать проведение служебной проверки.

3.1.14.Регулярно (еженедельно) просматривать журналы учёта и регистрации событий СЗИ, ОС, информационных подсистем на предмет выявления подключения неучтённых носителей, попыток НСД и т. п.

3.1.15. Администратор информационной безопасности оказывает методическую помощь и контролирует выполнение начальником отдела ЗАГС следующих действий:

При смене пользователя начальник отдела ЗАГС инициирует внесение изменений в должностные инструкции пользователя, получающего доступ в ИСПДн, в перечень лиц допущенных к работе в данной ИСПДн и в разрешительную систему доступа.

При исключении пользователя ИСПДн из Списка лиц, имеющих право допуска к обработке сведений, составляющих ПДн в ИСПДн начальником отдела ЗАГС принимаются меры по исключению возможности нарушения данным пользователем характеристик безопасности информации ИСПДн. Администратору информационной безопасности необходимо до момента доведения до сотрудника информации о прекращении его работы в ИСПДн лишить сотрудника возможности доступа к защищаемой информации.

3.2.Администратору информационной безопасности запрещается:

3.2.1.Фиксировать учетные данные пользователя (пароли, идентификаторы, ключи и др.) на твердых носителях, а также сообщать их кому бы то ни было, кроме самого пользователя.

3.2.2.Раскрывать информацию об организации СЗПДн ИСПДн и любую информацию, которая может создать предпосылки для возникновения канала утечки информации или создания угрозы безопасности информации.

4.Права администратора информационной безопасности

Администратор информационной безопасности имеет право:

4.1.Требовать от пользователей ИСПДн соблюдения установленных технологий обработки информации, выполнения нормативно-методических документов в области безопасности информации и организационно-распорядительных документов на ИСПДн.

4.2.Инициировать проведение служебных проверок по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации.

4.3.Вносить первому заместителю главы администрации района свои предложения по совершенствованию мер защиты в ИСПДн.

5. Ответственность администратора информационной безопасности

5.1.Администратор информационной безопасности несет ответственность по действующему законодательству за разглашение сведений ограниченного распространения, ставших известными ему по роду деятельности.

5.2.Ответственность за защиту ИСПДн от несанкционированного доступа к информации возлагается на администратора информационной безопасности.

6.Инструкция администратора информационной безопасности ИСПДн по проведению антивирусного контроля.

На АРМ ИСПДн запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации на АРМ. К использованию в ИСПДн допускаются только лицензионные антивирусные средства.

Администратор информационной безопасности не реже одного раза в неделю осуществляет установку пакетов обновлений вирусных баз переносом антивирусных баз на учтённом носителе из открытой информационной системы в защищаемую ИСПДн, осуществляет контроль их подключения к антивирусному пакету и проверку жесткого диска и съемных носителей на наличие вирусов.

Администратор информационной безопасности в случае обнаружения вирусов или сообщения об обнаружении от пользователей принимает меры по выявлению и уничтожению вредоносных программ и недопущению их дальнейшего распространения. При этом в обязательном порядке устанавливает источник (носитель) заражения для принятия соответствующих мер.

Настройка параметров, режимов и функций средств антивирусного контроля осуществляется администратором информационной безопасности централизованно в соответствии с руководствами по применению конкретных антивирусных средств.

В случае обнаружения неподдающегося лечению вируса, администратор информационной безопасности обязан удалить инфицированный файл в соответствующую папку антивирусного пакета, и проверить работоспособность СВТ. В случае отказа СВТ – произвести восстановление соответствующего программного обеспечения.

Ответственность за организацию антивирусного контроля в соответствии с требованиями настоящей Инструкции возлагается на начальника отдела ЗАГС.

Ответственность за проведение мероприятий антивирусного контроля на своих рабочих станциях и соблюдение требований настоящей Инструкции возлагается на всех пользователей ИСПДн.

Периодический контроль за состоянием антивирусной защиты в ИСПДн, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции и еженедельное обновление антивирусных баз осуществляется администратором информационной безопасности.

7.Инструкция администратора информационной безопасности по организации парольной защиты.

Данная инструкция регламентирует организационно-техническое обеспечение процессов смены и прекращения действия паролей в ИСПДн:

7.1.Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора информационной безопасности.

7.2.Личный пароль должен генерироваться и распределяться централизованно либо выбираться пользователем ИСПДн самостоятельно с учетом следующих требований:

7.2.1.Длина пароля должна быть не менее 6 символов.

7.2.2.В числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т. п.).

7.2.3.Пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т. д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т. п.).

7.2.4.При смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.

7.2.5.Личный пароль пользователь не имеет права сообщать никому.

7.3.Администратор информационной безопасности имеет доступ к АРМ ИСПДн только под своей учётной записью и своим паролем.

7.4.Администратор информационной безопасности должен требовать от пользователей плановой смены паролей пользователя, которая должна проводиться регулярно, не реже одного раза в 3 месяца.

7.5.Внеплановая смена личного пароля или удаление учетной записи пользователя в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т. п.) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.

7.6.В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п.5 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

7.7.На всех АРМ вход в BIOS осуществляется только по паролю, установленному администратором информационной безопасности. При необходимости допуска к BIOS другого уполномоченного лица ввод пароля и контроль за изменением настроек осуществляется администратором информационной безопасности.

7.8.Контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора информационной безопасности.

8.Рекомендации по использованию программных и аппаратных средств защиты информации.

В ИСПДн применяются сертифицированные СЗИ Secret Net 6K, предназначенные для защиты от несанкционированного доступа к информационным ресурсам ИСПДн.

Эксплуатация системы должна поддерживаться администратором информационной безопасности. Администратор информационной безопасности обязан:

8.1.Знать эксплуатационную документацию на применяемые СЗИ. Устанавливать и эксплуатировать СЗИ в соответствии с документацией.

8.2.Хранить документацию и дистрибутивы СЗИ в соответствии с техническими условиями. Компакт-диск с программным обеспечением системы должен упаковываться согласно требованиям, предусмотренным для оптических носителей.

8.3.Поддерживать настройки СЗИ соответствующие требованиям нормативных документов по безопасности информации и протоколу аттестационных испытаний.

При этом система должна реализовывать в совокупности на каждой АРМ ИСПДн функции необходимые для выполнения требований по защите от НСД для ИСПДн класса К1.

9.Порядок продления сроков действия сертификатов соответствия на средства защиты информации, программные средства контроля защищенности информации от несанкционированного доступа.

Организация, эксплуатирующая средства защиты информации или программные средства контроля защищенности информации от несанкционированного доступа, заблаговременно, до окончания срока действия сертификата соответствия, который указан в копии сертификата, а также в Государственном реестре сертифицированных средств защиты информации в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00, связывается с производителем, с целью получения информации о продлении сертификата соответствия.

В случае получения информации об отсутствии намерений в продлении сертификата соответствия производителем, организация, эксплуатирующая средства защиты информации или программные средства контроля защищенности информации от несанкционированного доступа, направляет в Федеральный орган по сертификации заявку на продление срока действия сертификата соответствия.

К заявке прикладываются протоколы оценки эффективности применения СЗИ, (для технических средств защиты информации от утечки по физическим каналам) или протоколы оценки защищенности информации, обрабатываемой на объекте информатизации, от несанкционированного доступа (для СЗИ от НСД), оформленные не ранее двенадцати месяцев до дня отправки заявки о продлении срока действия сертификата соответствия.

Указанные протоколы оформляются при проведении аттестационных испытаний или ежегодного периодического контроля состояния защиты информации.

Для объекта информатизации, предназначенного для обработки информации, содержащей сведения, составляющие государственную тайну, протокол оформляется организацией, аккредитованной в качестве органа по аттестации объектов информатизации в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 или организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации), позволяющей осуществлять деятельность по контролю защищенности информации ограниченного доступа.

Для объекта информатизации, предназначенного для обработки информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, протокол оформляется организацией, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Протокол должен содержать оценку применения средства защиты информации, о котором идет речь в письме.

В протоколе обязательно должна содержаться идентификационная информация средства защиты информации, а именно его заводской номер, номер голографического знака соответствия, номер и срок действия сертификата соответствия.

Номер знака соответствия для маркирования сертифицированной продукции можно получить либо с самого знака, либо из формуляра (паспорта) на средство защиты информации, либо от производителя.

Для продления срока действия сертификата соответствия на программное средство контроля защищенности от НСД, к письму прикладывается протокол контрольного суммирования, оформленный не ранее месяца до дня отправки письма о продлении.

Указанный протокол оформляется организацией, эксплуатирующей это СКЗИ и:

аккредитованной в качестве испытательной лаборатории или органа по аттестации объектов информатизации в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00;

имеющей лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации), позволяющей осуществлять деятельность по контролю защищенности информации ограниченного доступа или деятельность по проведению сертификационных испытаний;

имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

В протоколе обязательно должна содержаться идентификационная информация программного средства контроля защищенности информации от НСД, а именно его заводской номер, номер голографического знака соответствия, номер и срок действия сертификата соответствия.

В протоколе должна содержаться идентификационная информация о средстве контроля защищенности, с помощью которого проводилось контрольное суммирование, информация о дате проведения контрольного суммирования.

В протоколе должен содержаться вывод о соответствии полученных контрольных сумм, суммам, приведенным в формуляре (паспорте).

К заявке прикладываются заверенные копии платежных поручений об уплате:

государственной пошлины за выдачу сертификата соответствия;

платежа за специальный защитный знак, наносимый на бланк сертификата, аттестата аккредитации.

Если сертификат соответствия продлевается на партию СЗИ, платить необходимо за один сертификат (разными платежными поручениями).

Если в заявке сказано о продлении разных сертификатов соответствия, то к письму прикладываются копии платежных поручений за каждый продлеваемый сертификат.

С банковскими реквизитами ФСТЭК России, а также наименованиями платежей можно ознакомиться на официальном сайте ФСТЭК России www. *****.

В случае принятия положительного решения по экспертизе представленных материалов Федеральным органом по сертификации выписывается сертификат (сертификаты) соответствия, который в соответствии с указанным в заявке почтовым адресом отправляется заявителю.

Приложение к Руководству

администратора ИСПДн «ЗАГС»

Инструкция
по установке, модификации, ремонту, техническому обслуживанию

и восстановлению работоспособности программного обеспечения

и аппаратных средств

Настоящей инструкцией регламентируется проведении любых модификаций и изменений в составе технических средств и программного обеспечения ИСПДн, технического обслуживания и устранения нештатных ситуаций в работе средств вычислительной техники (далее СВТ), входящих в состав ИСПДн.

Все изменения конфигурации технических и системных программных средств ИСПДн, ремонт, модификация, а также неконтролируемое со стороны администратора информационной безопасности техническое обслуживание технических средств и систем, входящих в состав ИСПДн, должны производиться только на основании письменных заявок в комитет по информационным ресурсам с указанием необходимых действий и обоснования их необходимости. Ответственность за выполнение данного требования несёт сотрудник, эксплуатирующий данные средства информатизации.

Порядок данных работ следующий:

1.При возникновении необходимости в проведении работ у сотрудников, эксплуатирующих ОТСС ИСПДн последние направляют в адрес комитета по информационным ресурсам выше указанную заявку. Председатель комитета по информационным ресурсам поручает исполнение заявки по существу вопроса лицам ответственным за данные работы по компетенции и параллельно администратору информационной безопасности в части его касающейся (в части контроля за действиями в ходе ремонта, обслуживания и т. п., в части резервного копирования, удаления СЗИ и информации при необходимости). Сотрудники, работающие на ОТСС ИСПДн, допускают лиц прибывших для проведения работ по заявке только при присутствии администратора информационной безопасности.

2.При всех вышеуказанных работах на объектах информатизации сотрудниками подразделений (или сторонних организаций) занимающихся ремонтом, модификацией программных и аппаратных средств, инженерных коммуникаций, кабельных линий и систем объекта и выступающих в качестве инициаторов данных действий в соответствии с планом работ либо внепланово, начальник отдела ЗАГС либо пользователь ИСПДн допускает указанных исполнителей к данным работам только в присутствии администратора информационной безопасности.

Передача СВТ в другое подразделение или в распоряжение другой организации для ремонта или решения иных задач осуществляется только после того, как администратор информационной безопасности снимет средства защиты и предпримет необходимые меры для затирания или резервного копирования (при необходимости) защищаемой информации, которая хранилась на дисках.

О факте выполнения всех без исключения, вышеуказанных работ администратором информационной безопасности делается соответствующая отметка в «Журнале учета ремонтных (профилактических) работ, выполненных в информационной системе персональных данных «ЗАГС», ведение которого контролируется начальником отдела ЗАГС.

Формат записей «Журнала учета ремонтных (профилактических) работ выполненных в информационной системе персональных данных «ЗАГС»:

Дата записи

Наименование и местоположение автоматизированной системы

Краткое описание выполненной работы, основание

Дата и время начала работы

Дата и время окончания работы

Ф. И.О. исполнителей работ и их подписи

Подпись лица, ответственного за защиту информации

№ наклейки для опечатывания системного блока АС

Примечание

1

2

3

4

5

6

7

8

9

10

Пользователям и администратору информационной безопасности необходимо знать, что контролю со стороны администратора и регистрации в журнале подлежат:

замена (модификация) средств вычислительной техники входящих в состав ИСПДн в соответствии с техническим паспортом на ИСПДн, в том числе изменения линий локально-вычислительной сети и т. п.;

замена, изъятие, добавление средств информатизации ИСПДн (средства электронно-вычислительной техники, комплектующие, системы и сети ИСПДн, системы и сети электросвязи, программные средства);

техническое обслуживание и ремонт СВТ без замены комплектующих и составных частей;

ремонт инженерных коммуникаций (линий силового питания, слаботочных линий и т. п.), изменения в системе силового питания СВТ;

обновление (замена) на конкретном автоматизированном рабочем месте или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);

изменение местоположения СВТ и вспомогательных средств и систем, указанных   схеме технического паспорта.

После внесения изменений в состав ИСПДн администратором информационной безопасности делается пометка в техническом паспорте на ИСПДн.

Журнал и технический паспорт хранятся у начальника отдела ЗАГС и должны быть доступны пользователям ИСПДн для реализации требований данной инструкции в любой необходимый момент.

Установка и обновление программного обеспечения.

Установка или обновление подсистем ИСПДн должны проводиться уполномоченными сотрудниками (администраторы сети (серверов) и администраторы баз данных) обязательно в присутствии администратора информационной безопасности. После установки модифицированных модулей на сервер (рабочую станцию) администратор информационной безопасности производит пересчет контрольных сумм с помощью установленных средств защиты информации и проводит антивирусный контроль.

Установка и обновление общего программного обеспечения (системного, тестового и т. п.) на рабочие станции и сервера производится с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т. п.), полученных установленным порядком.

Факты установки или обновления фиксируются в «Журнале учета ремонтных (профилактических) работ выполненных в информационной системе персональных данных «ЗАГС».

Нештатные ситуации и форс-мажор.

В условиях необходимого немедленного реагирования на нештатные ситуации разрешается модификация, замена, ремонт и т. д. без согласования с администратором информационной безопасности.

К нештатным ситуациям относятся:

выход из строя или неустойчивое функционирование узлов ПЭВМ, периферийных устройств, средств защиты информации по различным причинам;

выход из строя системы электроснабжения.

При возникновении необходимости оперативной модификации, замены, ремонта и т. п. пользователи немедленно сообщают администратору информационной безопасности по средствам телефонной связи. Необходимые работы выполняются под контролем пользователей и последующим написанием служебной (докладной) записки на имя первого заместителя главы администрации района с обоснованием экстренных изменений и описанием произведённых действий. По результатам рассмотрения объяснительной записки администратор информационной безопасности выполняет все действия предусмотренные настоящей инструкцией. В случае выявления начальником отдела ЗАГС или администратором информационной безопасности факта модификации, замены, ремонта и других действий, предусмотренных настоящей инструкцией пользователями ИСПДн без согласования с администратором информационной безопасности или без последующего написания служебной (докладной) записки на имя первого заместителя главы администрации района начальник отдела ЗАГС и администратор информационной безопасности обязаны доложить о фактах грубого нарушения настоящего распоряжения первому заместителю главы администрации района и инициировать проведение служебной проверки по факту нарушения.

25

Приложение 6

к распоряжению администрации района

от 01.01.01 года

Инструкция по выполнению режимных мер и допуску к ИСПДн «ЗАГС»

1. Общие положения

1.1.Инструкция по выполнению режимных мер и допуску к информационной системе персональных данных (далее - Инструкция) регулирует порядок допуска пользователей и сотрудников администрации Кондинского района к работе в ИСПДн «ЗАГС».

1.2.Правила, устанавливаемые положениями Инструкции, обязательны для исполнения.

2. Порядок допуска к ИСПДн

2.1.Для работы в ИСПДн каждый пользователь должен получить соответствующий допуск. Под допуском к ИСПДн понимается возможность самостоятельного доступа пользователя к средствам информатизации ИСПДн (средства электронно-вычислительной техники, системы и сети ЭВМ, системы и сети электросвязи, программные средства) и помещения, в которых размещены средства и системы ИСПДн. Право допуска предоставляется пользователю только после включения его в утверждённую первым заместителем главы администрации района, курирующим вопросы защиты информации «Разрешительную систему доступа пользователей к ресурсам ИСПДн «ЗАГС» с прописанными в ней правами по допуску.

2.2.Устные указания кого бы то ни было об установлении права доступа пользователю к ИСПДн либо об изменении его прав доступа не имеют юридической силы и необязательны для исполнения. Администратор информационной безопасности не может быть наказан за невыполнение подобного указания от вышестоящего руководителя.

2.3.Процедура получения (лишения прав) соответствующего права допуска пользователя для сотрудника инициируется заявкой начальника отдела ЗАГС в адрес первого заместителя главы администрации района, курирующего вопросы защиты информации.

2.4.Администратором информационной безопасности при положительном решении первого заместителя главы администрации района вносятся соответствующие изменения в «Разрешительную систему доступа пользователей к ресурсам ИСПДн «ЗАГС».

2.5.Обновлённая «Разрешительная система доступа пользователей к ресурсам ИСПДн «ЗАГС» представляется на утверждение.

2.6.Далее администратор информационной безопасности обеспечивает:

2.6.1.Регистрацию (удаление) персонального имени (учетная запись пользователя) и пароля, под которым пользователь регистрируется и работает в системе.

2.6.2.Внесение необходимых изменений администратором сети, серверов, баз данных в списки пользователей соответствующих подсистем и СУБД.

2.6.3.Настройки средств защиты и программного обеспечения рабочих станций пользователя, соответствующие категориям защиты.

26

2.6.4.Внесение необходимых изменений администратором информационной безопасности в матрицу доступа к ИСПДн и в соответствующие настройки по присвоению (удалению) пользователю начального значения пароля и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие системные группы пользователей и другие необходимые операции.

2.6.5.Хранение заявки в номенклатурном накопительном деле по защите информации.

2.7.Начальник отдела ЗАГС контролирует внесение изменений в должностные инструкции пользователя и допускает сотрудника к работе в ИСПДн. Если новый пользователь не был допущен в помещение, в котором установлены ОТСС ИСПДн, начальником отдела ЗАГС решается вопрос о порядке допуска нового пользователя в помещение. В случае исключения пользователя из списка допущенных к ИСПДн начальником отдела ЗАГС и администратором информационной безопасности принимаются исключительные меры по лишению пользователя возможности беспрепятственного допуска к информационным ресурсам ИСПДн.

2.8.При принятии решения об исключении пользователя ИСПДн из «Разрешительной системы…» начальнику отдела ЗАГС необходимо информировать администратора информационной безопасности до момента объявления пользователю о лишении его прав на допуск к ИСПДн. Администратором информационной безопасности принимаются меры по исключению возможности нарушения данными лицами характеристик безопасности информации ИСПДн.

3. Требования по организации режимных мер

3.1.Состав ИСПДн должен соответствовать техническому паспорту. Обработка неучтённых в техпаспорте технических средств запрещается.

Полный порядок действий при модификации, обновлении программного обеспечения и других изменениях в ИСПДн приведён в Инструкции
по установке, модификации, ремонту, техническому обслуживанию, обновлению и восстановлению работоспособности программного обеспечения и аппаратных средств Руководства пользователя ИСПДн.

Контроль за соблюдением данных требований и ведения учета средств информатизации ИСПДн возлагается на начальника отдела ЗАГС.

3.2.Помещения, в которых размещаются средства информатизации ИСПДн, должны исключать возможность бесконтрольного проникновения в него посторонних лиц. Уборка помещения должна осуществляться в присутствии пользователей имеющих допуск к ИСПДн.

При обнаружении факта несанкционированного проникновения в указанные помещения начальника отдела ЗАГС обязан немедленно сообщить о происшедшем курирующему вопросы защиты информации первому заместителю главы администрации района. По данному происшествию проводится служебная проверка.

При утере ключа от помещения сотрудники имеющие право допуска в помещение обязаны сообщить о случившемся начальнику отдела ЗАГС. По данному происшествию проводится служебная проверка. Руководством принимаются меры по исключению возможности хищения носителей ПДн и ОТСС ИСПДн (замена замков или другие меры).

Все ключи от дверей в помещении ЗАГС хранятся под контролем начальника отдела (или лица официально его замещающего) и передаются только представителям муниципального учреждения «Хозяйственная служба администрации Кондинского района» в соответствии с представленным директором муниципального учреждения списком сотрудников, назначенных на охрану отдела ЗАГС. Список направляется в отдел ЗАГС официальным письмом с указанием фамилии, отчества и имени сотрудников, назначаемых для охраны.

27

Выдача дубликатов ключей для вскрытия помещений производится дежурным МУ «Хозяйственная служба администрации Кондинского района» по окончании дежурства только начальнику отдела ЗАГС и главному специалисту отдела ЗАГС.

При необходимости выдача ключей лицам, не входящим в данный перечень, возможна только с разрешения первого заместителя главы администрации района, курирующего вопросы защиты информации. При этом допуск данных лиц в помещение осуществляется под контролем администратора информационной безопасности.

3.3.Технические средства АРМ в помещении размещаются таким образом, чтобы исключить просмотр экрана видеомонитора и распечаток принтера лицами, не имеющими допуска к обрабатываемой информации. Не допускается перемещение АРМ в другие помещения.

3.4.Хранение информации, представляющей ПДн, разрешается только с использованием взятых на инвентарный учет машинных носителей и на стационарно установленном жестком магнитном диске (ЖМД).

4. Ответственность за нарушение режимных мер

За соблюдение непосредственно подчинёнными сотрудниками действующего законодательства в области защиты персональных данных, Руководства пользователя ИСПДн «ЗАГС», Инструкции по организации антивирусной защиты, Инструкции по организации парольной защиты, Инструкции по установке, модификации, ремонту и техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средств и других документов администрации в части обеспечения безопасности информации отвечает начальник отдела ЗАГС.

Факт нарушения требований настоящей Инструкции является чрезвычайным происшествием. По каждому случаю проводится служебная проверка.

Невыполнение требований настоящей Инструкции рассматривается как нарушение трудовой дисциплины и влечет за собой наложение дисциплинарного взыскания.