Инструкция по обеспечению конфиденциальности работ, проводимых в ГБУ Белебеевский детский дом РБ

Государственное бюджетное учреждение для детей-сирот и детей, оставшихся без попечения родителей, Белебеевский детский дом Республики Башкортостан

УТВЕРЖДАЮ

директор ГБУ

Белебеевский детский дом РБ

_____________

«___»_______________2015 г.

(приказ №___ от _________ 2015 г.)

Инструкция

по обеспечению конфиденциальности работ,

проводимых в ГБУ Белебеевский детский дом РБ

1. Общие положения

1.1. Настоящая Инструкция устанавливает порядок обеспечения конфиденциальности работ и защиты конфиденциальной информации, обрабатываемых персональных данных воспитанников и сотрудников, установленных в учреждении.

1.2. Данная Инструкция разработана в соответствии со «Специальными требованиями и рекомендациями по технологической защите конфиденциальной информации, (СТР-К)», а также другими руководящими и нормативными документами по защите информации, действующими на территории Российской Федерации.

1.3. Ответственность за обеспечение конфиденциальности проводимых на ПЭВМ работ, своевременную разработку и осуществление необходимых мероприятий по защите конфиденциальной информации возлагается на сотрудника учреждения приказом руководителя.

1.4. Сотрудник, виновный в нарушении требований настоящей Инструкции и других руководящих документов по вопросам обеспечения и соблюдения требований конфиденциальности при обработке на ПЭВМ конфиденциальных требований, и не принявший своевременных мер по устранению выявленных недостатков по указанному вопросу, в зависимости от причиненного ущерба привлекается к административной или дисциплинарной ответственности.

1.5. Настоящая Инструкция не исключает обязательного выполнения других действующих руководящих документов по вопросам обеспечения защиты сведений, относящихся к конфиденциальным.

1.6. Инструкция предназначена для персонала, обеспечивающего проведение конфиденциальных работ.

Требования к помещению и размещению ПЭВМ

2.1. Помещение, в котором ведутся конфиденциальные работы на ПЭВМ, должно исключать возможность бесконтрольного проникновения в него посторонних лиц.

2.2. Помещение должно быть оборудовано пожарной сигнализацией, по окончании рабочего дня — осматриваться сотрудником с отметкой в «Журнале осмотра помещений в конце рабочего дня и перед выходными днями».

2.3. Вход в помещение разрешается постоянно работающим в них сотрудникам.

2.4. Техническое обслуживание ПЭВМ должно производиться под контролем специалиста, допущенного к самостоятельной работе на ПЭВМ и работающего в данном кабинете. При проведении данных работ обработка конфиденциальной информации запрещена.

2.5. Уборка помещения должна производиться под контролем сотрудника, работающего в данном кабинете.

2.6. На окнах должны быть шторы или жалюзи. Вблизи окна не должно быть пожарных лестниц или водосточных труб или других каких-либо пристроек.

2.7. При обнаружении несанкционированного проникновения в помещение сотрудник обязан немедленно сообщить о происшедшем руководителю. По данному происшествию провести расследование с обязательным составлением акта.

2.8. ПЭВМ, используемая для работы с конфиденциальной информацией, должна быть размещена таким образом, чтобы исключалась возможность визуального просмотра экрана видемонитора лицами, не имеющими отношения к конкретно обрабатываемой информации Не допускается перемещение автоматизированного рабочего места (АРМ) в другие помещения. При эксплуатации АРМ должно обеспечиваться:

-  функционирование средств защиты;

-  использование в составе АРМ только технических средств, указанных в техническом паспорте на АРМ.

2.9. Вынос ПЭВМ, на котором производилась обработка конфиденциальной информации, за пределы территории учреждения с целью ее ремонта разрешает руководитель.

Ремонт, связанный с заменой отдельных узлов или устройств из состава технических средств АРМ, должен производиться по согласованию с организацией, проводившей специальные исследования технических средств.

При принятии решения о выносе компьютера, винчестер должен быть вынут из ПЭВМ и убран в сейф.

3. Определение конфиденциальности информации машинных носителей

3.1. Конфиденциальность информации, обрабатываемой на ПЭВМ, устанавливается исполнителем, исходя из действующего Перечня сведений конфиденциального характера.

3.2. Гриф работы в целом определяется по степени конфиденциальности ее составляющих (исходной, входной, промежуточной и выходной информации).

3.3. Гриф конфиденциальности машинного носителя в целом должен соответствовать грифу находящейся на нем информации.

3.4. Если степень конфиденциальности не может быть определена на основании Перечня сведений конфиденциального характера, то конфиденциальность информации определяется комиссией специалистов, назначаемых приказом руководителя.

4. Организация защиты конфиденциальной информации и порядок ее проведения

4.1. Проведение конфиденциальных работ на ПЭВМ разрешается только после выполнения комплекса мероприятий по защите информации в соответствии с действующими нормативными документами.

4.2. Защита ПЭВМ от утечки за счет побочных электромагнитных излучений и наводок должна соответствовать требованиям, изложенным в «Сборнике временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, 2002 г.

4.3. ПЭВМ, выделенная для обработки конфиденциальной информации, может быть предварительно подвергнута спецпроверкам на предмет выявления специальных электронных усторйств (закладок).

4.4. Автоматизированная система (АС) обработки информации, используемая для решения задач на ПЭВМ, должна удовлетворять нормативным классам защищенности АС от несанкционированного доступа (НСД).

Для определения класса АС следует руководствоваться нормативным документом «Классификация АС и требования по защите», а также требованиям СТР-К, Гостехкомиссия России.

4.5. Класс АС определяет комиссия по классификации. Правильность выбранного класса подтверждается актом, утвержденным руководителем учреждения.

4.6. При определении режима обработки данных в АС необходимо учесть, что индивидуальным режимом обработки считается режим, при котором ко всей обрабатываемой информации в целом и к составным ее частям допущен только один пользователь.

4.7. Для обработки конфиденциальной информации приказом руководителя назначается ответственный по защите персональных данных, на которого возлагаются следующие функции:

-  регистрация пользователей, допущенных работе на АРМ в регистрационном журнале системы защиты, а также распределение прав доступа новых пользователей к информационным ресурсам АС по указанию руководителя;

-  периодически проводить обновление антивирусных баз антивирусной системы;

-  регистрация и анализ попыток НСД;

-  участие в ликвидации последствий попыток НСД.

5.Порядок допуска пользователей к конфиденциальной информации, их обязанности

5.1. Допущенный к обработке конфиденциальной информации на ПЭВМ сотрудник обязан:

·  знать и строго соблюдать требования настоящей Инструкции, а также требования других нормативных документов и положений;

·  соблюдать установленный режим функционирования АС при работе с конфиденциальной информацией;

·  информировать руководителя обо всех фактах и попытках НСД, наличии компьютерных вирусов, случаях утечки и порчи обрабатываемой конфиденциальной информации;

·  обеспечивать сохранность полученных в процессе работы конфиденциальных материалов, в т. ч. бракованных;

·  передавать машинный носитель информации (МНИ) другому исполнителю только установленым порядком;

·  немедленно сообщать о фактах потери, недостачи конфиденциальных документов или машинных носителей;

·  по требованию Роскомнадзора предъявлять для проверки все числящиеся или имеющиеся конфиденциальные документы и МНИ;

·  знать порядок обработки информации при использовании средств защиты.

5.2. Исполнителю работ на ПЭВМ запрещается:

·  разглашать сведения о применяемой системе защиты конфиденциальной информации и содержание конфиденциальных документов лицам, не имеющим отношения к проводимым работам;

·  записывать конфиденциальные сведения на неучтенных дискетах, дисках, листах бумаги, блокнотах и т. д.;

·  накапливать (держать) ненужные для работы конфиденциальные документы, черновики и рабочие тетради;

·  оставлять конфиденциальные диски и дискеты бесконтрольно;

·  разрабатывать и использовать программы, с помощью которых можно получить НСД к конфиденциальным данным, разработка и использование которых квалифицируется как попытка преднамеренного НСД к обрабатываемым данным;

·  проводить дешифровку содержания конфиденциальных носителей информации, делать на них пометки, раскрывающие содержание конфиденциальных сведений;

·  вести разговоры о паролях и ключах с лицами, не имеющими к этому отношения;

·  проводить работу с паролями и ключами в присутствии лиц? yе имеющими к ним доступа;

·  использовать в работе пароли и ключи, если есть подозрение на их раскрытие;

·  изменять и тиражировать программное и информационное обеспечение.

6. Учет, хранение и обращение конфиденциальных носителей информации

6.1. Все виды носителей, предназначенные для нанесения на них конфиденциальной информации, должны быть взяты на учет.

6.2. Копирование конфиденциальной информации на гибкий магнитный диск (ГМД), не взятые на учет, запрещено.

6.3. Распечатки с нужной информацией при необходимости их длительного хранения переводятся на учет.

6.4. Несъемные магнитные диски, используемые в качестве рабочих, для временного (до окончания сеанса работы) хранения размещенной конфидициальной информации не ставятся на учет.

6.5. На учет берутся МНИ (съемные жесткие диски, дискеты, магнитооптические диски, магнитные ленты и т. п.). предназначенные для нанесения на них конфиденциальной информации с проставлением на них реквизитов (шифр работы, гриф, учетный номер, дата регистрации, фамилия исполнителя).

6.6. Выдача МНИ и других конфиденциальных документов регистрируется в карточках учета.

6.7. По окончании работ на ПЭВМ все съемные конфиденциальные носители должны сдаваться ответственному за обработку и защиту персональных данных.

6.8. По истечении срока хранения или за ненадобностью дальнейшего использования информация с магнитных носителей должна быть стерта.

7. Уничтожение конфиденциальных распечаток и машинных носителей

7.1. Все конфиденциальные распечатки и машинные носители, подлежащие уничтожению, хранятся отдельно от использумых в работе.

7.2. Уничтожаются с оформлением акта:

·  конфиденциальные распечатки, надобность дальнейшего использования которых отпала или срок работы с которыми истек;

·  конфиденциальные машинные носители, пришедшие в негодность.

7.3. Сотрудники, выполнявшие работу по уничтожению конфиденциальных распечаток и МНИ, обяаны сделать отметки (№ акта, дата регистрации) в карточках или журналах учета.

7.4. Уничтожаются без оформления акта только с отметкой (дата уничтожения) в журнале учета, за двумя подписями сотрудников, забракованные во время работы на ПЭВМ отдельные листы.

7.5. Конфиденциальные материалы уничтожаются:

-  распечатки — сжиганием;

-  машинные носители (дискеты) путем нагревания до температуры размягчения и спекания;

-  жесткий диск — путем физического уничтожения.

8. Контроль за обеспечением конфиденциальности

8.1. Непосредственный контроль за обеспечением конфиденциальности выполняемых работ и требований настоящей Инструкции возлагается на ответственного за обработку и защиту персональных данных.

8.2. Ответственный за обработку и защиту персональных данных должен:

-  Знать перечень установленных автоматизированных рабочих мест (АРМ) и перечень задач, решаемых с их использованием.

-  Осуществлять учет и периодический контроль за составом и полномочиями пользователей различных АРМ информационной системы персональных данных (ИСПДн).

-  Осуществлять оперативный контроль за работой пользователей защищенных АРМ, анализировать содержимое системных журналов всех АРМ и адекватно реагировать на возникающие нештатные ситуации. Обеспечивать надлежащий режим хранения данных архивов.

-  Осуществлять непосредственное управление режимами работы и административную поддержку функционирования применяемых на АРМ ИСПДн специальных технических средств защиты от несанкционированного доступа (НСД).

-  Присутствовать при внесении изменений в конфигурацию (модификации) аппаратно-программных средств защищенных АРМ и серверов.

-  Периодически проверять состояние используемых средств защиты информации (СЗИ) от НСД.

-  Периодически контролировать целостность печатей (пломб, наклеек) на устройствах защищенных АРМ.

-  По указанию руководителя своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению средствами защиты от НСД, установленных на АРМ ИСПДн.

-  Проводить занятия с сотрудниками по правилам работы на АРМ, оснащенных СЗИ от НСД, и по изучению руководящих документов по вопросам обеспечения безопасности информации.

-  Участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в результате НСД.

-  Проводить проверки (они могут носить внезапный характер), независимо от срока проведения последней проверки с оформлением акта, доводимого до сведения руководителя.

- Участвовать в работе комиссий по пересмотру планов защиты.

Инструкция рассмотрена и принята решением ________________________________________ (протокол от «___»______________2015 г.)