УТВЕРЖДАЮ

Ректор

ФГБОУ ВПО ЮРГПУ (НПИ)

имени


_______________________

"___"___________ 2014 г.


СБОРНИК ИНСТРУКЦИЙ

по обеспечению безопасности персональных данных
в ФГБОУ ВПО ЮРГПУ (НПИ) имени

Новочеркасск,

2014

Перечень сокращений используемых в инструкциях


Администратор БИ

– Администратор безопасности информации

АвС

– Антивирусные средства

АРМ

– Автоматизированное рабочее место

АС

– Автоматизированная система

ЗИ

– Защита информации

ИСПДн

– Информационная система персональных данных

ЛВС

– Локальная вычислительная сеть

МНИ

– Машинный носитель информации

НСД

– Несанкционированный доступ

ОС

– Операционная система

Ответственный за ПДн

– Ответственный за организацию обработки персональных данных

ОТСС

– Основные технические средства и системы (тех. средства
и системы, предназначенные для обработки ПДн).

ПДн

ПО

– Персональные данные

– Программное обеспечение

СВТ

– Средства вычислительной техники

СЗИ

– Средство защиты информации

СКЗИ

– Средство криптографической защиты информации

СПО

– Специальное программное обеспечение

Университет

– ФГБОУ ВПО ЮРГПУ (НПИ) имени

ФСБ России

– Федеральная служба безопасности Российской Федерации

ФСТЭК России

– Федеральная служба по техническому и экспортному контролю России

ЭП

– Электронная подпись

Перечень инструкций, включенных в настоящий сборник

НЕ нашли? Не то? Что вы ищете?


Инструкция ответственному за ПДн в ИСПДн. Инструкция Администратору БИ. Инструкция пользователю по общему порядку работы. Инструкция по организации парольной защиты. Инструкция пользователю при действиях в нештатных ситуациях. Инструкция Администратору БИ при возникновении неисправностей СВТ. Инструкция по организации антивирусной защиты АС. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы. Инструкция по уничтожению носителей персональных данных Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств. Приложение 1 – Форма журнала регистрации нештатных ситуаций. Лист регистрации изменений и дополнений. Лист ознакомления с инструкциями.

ИНСТРУКЦИЯ

ответственному за ПДн в ИСПДн

Настоящая инструкция определяет права и обязанности ответственного
за ПДн.

Ответственный за ПДн назначается приказом Ректора Университета, из числа сотрудников Университета, имеющих разрешение на доступ ко всем ПДн, обрабатываемым работниками Университета.

Настоящая инструкция корректируется и дополняется установленным порядком.

В своей деятельности ответственный за ПДн:

руководствуется:
    Федеральным законом "Об информации, информационных технологиях и о защите информации" -ФЗ; Федеральным законом "О персональных данных" от 01.01.2001
    ; Постановление Правительства Российской Федерации от 01.01.2001
    № 000 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Приказ ФСТЭК "Об утверждении Состава
    и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; Приказ ФСТЭК России "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"; постановлениями Правительства РФ; нормативными документами ФСБ России, ФСТЭК России по защите информации; приказами (распоряжениями, и т. п.) Ректора Университета; эксплуатационно-технической документацией на ИСПДн.
отвечает:
    за организацию проведения аттестационных испытаний на ИСПДн; за неизменность состава, структуры и конфигурации аттестованной
    по требованиям безопасности ИСПДн; за предотвращение утечки информации по техническим каналам
    и НСД к ней; за предупреждение преднамеренных воздействий с целью разрушения информации, нарушения режима конфиденциальности информации; за обеспечение эффективного управления системой защиты информации ИСПДн; за разработку предложений по организации защиты информации
    и их реализацию; за организацию и своевременность проведения контроля состояния
    и эффективности средств и мер защиты.
организует:
    работу пользователей ИСПДн с привлечением, при необходимости Администратора БИ; работу сотрудников Университета в соответствии с требованиями законодательства РФ в области защиты ПДн; эксплуатацию ИСПДн в соответствии с утвержденной Ректором Университета организационно-распорядительной, нормативной и эксплуатационно-технической документацией; прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
при обнаружении нарушений системы защиты информации обязан:
    принять меры по устранению нарушения; принять меры с целью недопущения нарушений в дальнейшем; контролировать ход устранения нарушения.
допускает установленным порядком к работе в ИСПДн Администратора БИ и пользователей. разрабатывает, согласовывает и представляет Ректору Университета для утверждения организационно-распорядительную, нормативную документацию на объект, доводит ее до подчиненных, в части их касающейся. планирует осуществление периодического контроля эффективности принятых в ИСПДн организационных и технических мер по защите информации, организует выполнение контрольных мероприятий. осуществляет допуск установленным порядком для проведения работ
и (или) оказания услуг, связанных с защитой информации представителей организаций, имеющих соответствующие лицензии ФСТЭК, ФСБ России. планирует, разрабатывает (при необходимости) предложения
по совершенствованию и (или) модернизации информационной системы, согласовывает с органом по аттестации возможность, порядок и сроки проведения работ.

ИНСТРУКЦИЯ

Администратору безопасности информации


Общие положения Администратор БИ Университета организует выполнение мероприятий по защите информации в ИСПДн, обеспечивает контроль за соблюдением технологии обработки ПДн, выполняет и контролирует настройку полномочий доступа пользователей к сервисам ИСПДн. Администратор БИ ведет поэкземплярный учет СКЗИ (при использовании в ИСПДн таких средств). Администратор БИ назначается приказом по Университету из числа сотрудников Университета, имеющих разрешение на доступ ко всей информации, обрабатываемой сотрудниками Университета в ИСПДн. В практической деятельности Администратор БИ руководствуется:
    Федеральным законом "Об информации, информационных технологиях
    и о защите информации" -ФЗ; Федеральным законом "О персональных данных" от 01.01.2001
    ; Постановление Правительства Российской Федерации от 01.01.2001
    № 000 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Приказ ФСТЭК "Об утверждении Состава
    и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; Приказ ФСТЭК "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных"; постановлениями Правительства РФ; нормативными документами ФСБ России, ФСТЭК России по защите информации; эксплуатационно-технической документацией на объекты информатизации Университета; техническим паспортом ИСПДн; приказами (распоряжениями, и т. п.) Ректора Университета; "Руководством администратора" (при наличии) из комплекта документации на ИСПДн; настоящей Инструкцией.
Настоящая инструкция корректируется и дополняется установленным порядком.
Функции администратора БИ

Основными функциями Администратора БИ являются:

Организация работ по предотвращению НСД лиц к защищаемой информации. Выявление возможных каналов утечки защищаемой информации
в процессе деятельности организации и функционирования ИСПДн, внесение предложений по их закрытию. Обеспечение режима конфиденциальности при автоматизированной обработке защищаемой информации в ИСПДн. Установка, настройка и поддержание в исправном состоянии технических и программных средств ИСПДн. Регистрация пользователей в системе с присвоением каждому из них полномочий по доступу к сервисам ИСПДн, изменение полномочий в случае необходимости для выполнения ими своих функциональных обязанностей. Выполнение работ по расширению ИСПДн в Университете. Ведение Журнала регистрации нештатных ситуаций, анализ его содержимого. Форма журнала приведена в Приложении 1 к сборнику инструкций.
Обязанности Администратора БИ

Администратор БИ обязан:

Выполнять требования действующих нормативных и руководящих документов ФСТЭК России, а также внутренних инструкций и распоряжений, регламентирующих порядок действий по ЗИ. Совместно с ответственным за ПДн организовывать разработку
и обеспечивать проведение мероприятий по ЗИ при ее обработке в ИСПДн. Обеспечивать сохранность эталонных вариантов общесистемного, прикладного и специального ПО ИСПДн. В случаях неисправности СВТ, выявления попыток НСД к защищаемой информации, либо обнаружения следов вскрытия СВТ, входящих в ИСПДн - немедленно прекратить работу с использованием скомпрометированного СВТ, ограничить доступ в помещение и поставить в известность ответственного за ПДн 
и действовать в соответствии с его распоряжениями. В случае выявления каких-либо неквалифицированных действий пользователей, не несущих в себе угроз для безопасности информации, поставить
в известность ответственного за ПДн, временно заблокировать возможность работы этого пользователя и организовать с ними дополнительные занятия (инструктирование). Производить настройку полномочий пользователей ИСПДн
в соответствии с заявками. Присваивать учетной записи пользователя персональный идентификатор (наименование учетной записи пользователя) и текущий пароль. Сообщать их пользователю; Регулярно, не реже 1 раза в квартал, ознакомлять с результатами администрирования ответственного за ПДн. Регулярно производить смену личного пароля доступа в соответствии
с "Инструкцией по парольной защите". При увольнении или переводе пользователей в другие подразделения оперативно изменять учетные реквизиты защиты пользователей: пароли, идентификаторы (если это необходимо). При необходимости оказывать консультации пользователям ИСПДн; В случае возникновения каких-либо нештатных ситуаций действовать в соответствии с инструкцией по действиям в нештатных ситуациях. При работе с криптосредствами (при использовании в ИСПДн таких средств) выполнять требования инструкции Администратору БИ при работе с криптосредствами. В случае выхода из строя СВТ ИСПДн производить мероприятия
по восстановлению работоспособности СВТ. Восстановление работоспособности СВТ производится в соответствии с "Инструкцией Администратору БИ при возникновении неисправностей СВТ". Внесение в ИСПДн новых СВТ производится в соответствии
с "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств".
Требования к действиям Администратора БИ при работе: Обработка защищаемой информации Администратором БИ при выполнении им функций по администрированию ИСПДн строго запрещается. Обработка защищаемой информации Администратором БИ должна осуществляться с использованием отдельных учетных реквизитов (персональной учетной записи и индивидуального пароля с пользовательскими привилегиями). Общий порядок работы Администратора БИ должен включать в себя следующие действия: Включить СВТ, убедиться в исправности и нормальном функционировании. Войти в систему с привилегиями администратора. Выполнить работу по администрированию. Выключить СВТ.

Запрещается:

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4