Инжавинского района тамбовской области постановление
|
Скачать 0.57 Mb.
|
|
АДМИНИСТРАЦИЯ КАРАУЛЬСКОГО СЕЛЬСОВЕТА ИНЖАВИНСКОГО РАЙОНА ТАМБОВСКОЙ ОБЛАСТИ ПОСТАНОВЛЕНИЕ
Об утверждении Положения об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных Во исполнение требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного Приказом Гостехкомиссии России от 30.08.2002 № 282: 1. Утвердить Положение об организации и проведении работ в Администрации Караульского сельсовета Инжавинского района Тамбовской области по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных согласно Приложению. 2. Специалисту администрации сельсовета обеспечить ознакомление сотрудников Администрации сельсовета, имеющих доступ к конфиденциальной информации, в том числе персональным данным, с Положением в части касающейся, под подпись. 3. Контроль за исполнением настоящего распоряжения возложить на заместителя главы администрации сельсовета В.С. Зайцеву. Глава сельсовета Л.В. Гальцева Зайцева В.С. 37-1-33 Приложение утверждено постановлением Администрации сельсовета от 01. 04. 2014 г. № 25 ПОЛОЖЕНИЕ об организации и проведении работ в Администрации Караульского сельсовета Инжавинского района Тамбовской области по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных 1. Общие положения 1.1. Данное «Положение об организации и проведению работ в Администрации Караульского сельсовета Инжавинского района Тамбовской области по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных» (далее – Положение) разработано в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», методическими рекомендациями ФСТЭК России и ФСБ России в целях обеспечения безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн). 1.2. Положение определяет порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке, порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления, порядок обучения персонала практике работы в ИСПДн, порядок проверки электронного журнала обращений к ИСПДн, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила обновления общесистемного и прикладного программного обеспечения, правила организации антивирусной защиты и парольной защиты ИСПДн, порядок охраны и допуска посторонних лиц в защищаемые помещения. 1.3. При обеспечении безопасности персональных данных в ИСПДн с использованием криптографических средств защиты информации все сотрудники Администрации сельсовета обязаны выполнять требования, изложенные в документе «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, № 149/6/6-622, 2008)». 2. Порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. Настоящий порядок определяет действия персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. 2.1. Допуск пользователей для работы на компьютерах ИСПДн осуществляется на основании распоряжения (постановления), который издается руководителем Администрации сельсовета (далее руководитель), и в соответствии со списком лиц допущенных к работе в ИСПДн. С целью обеспечения ответственности за ведение, нормальное функционирование и контроль работы средств защиты информации в ИСПДн руководителем назначается администратор безопасности; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности ответственный за защиту информации; 2.2. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, утверждаемой руководителем организации. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей. 2.3. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в ИСПДн. 2.4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю. 2.5. Запись информации, содержащей ПДн, может, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей. 2.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПДн. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения. 2.7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан: - строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн; - знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПДн; - хранить в тайне свой пароль (пароли). В соответствии с п.п. 8.5., 8.6. данного Положения и с установленной периодичностью менять свой пароль (пароли); - хранить установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу); - выполнять правила антивирусной защиты в полном объеме. Немедленно известить ответственного за защиту информации и (или) администратора информационной безопасности в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении: - нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к данным защищаемым СВТ; - несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн; - отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения; - некорректного функционирования установленных на компьютеры технических средств защиты; - непредусмотренных отводов кабелей и подключенных устройств. Пользователю категорически запрещается: - использовать компоненты программного и аппаратного обеспечения ПЭВМ в неслужебных целях; - самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения; - осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц; - записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.); - оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры); - оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения); - умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации; - размещать средства ИСПДн так, чтобы с них существовала возможность визуального считывания информации. 2.8. Администратор безопасности (а при его отсутствии – ответственный за защиту информации) обязан: - знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС) установленных и смонтированных в ИСПДн, перечень используемого программного обеспечения (далее - ПО) в ИСПДн; - контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах; - производить необходимые настройки подсистемы управления доступом установленных в ИСПДн СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом: - реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.); - вводить описания пользователей ИСПДн в информационную базу СЗИ от НСД; - своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц; - контролировать доступ лиц в помещение в соответствии со списком сотрудников, допущенных к работе в ИСПДн; - проводить инструктаж сотрудников - пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации; - контролировать своевременное (не реже чем один раз в течение 360 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам ИСПДн; - обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПДн; - осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных; - настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе в ИСПДн; - вводить в базу данных СЗИ от несанкционированного доступа описания событий, подлежащих регистрации в системном журнале; - проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в 10 дней; - организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации. Сопровождать подсистемы обеспечения целостности информации в ИСПДн; - периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей; - восстанавливать программную среду, программные средства и настройки СЗИ при сбоях; - вести две копии программных средств СЗИ от НСД и контролировать их работоспособность; - контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей; - периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования: - проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники; - сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств ИСПДн; - контролировать соответствие документально утвержденного состава аппаратной и программной части ИСПДн реальным конфигурациям ИСПДн, вести учет изменений аппаратно-программной конфигурации; - обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПДн и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта); - присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПДн; - вести «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания СВТ, выполнения профилактических работ, установки и модификации аппаратных и программных средств СВТ»; - поддерживать установленный порядок проведения антивирусного контроля согласно требований настоящего Положений в случае отказа средств и систем защиты информации принимать меры по их восстановлению; - докладывать ответственному за защиту информации, ответственному за эксплуатацию ИСПДн о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации; - вести документацию на ИСПДн в соответствии с требованиями нормативных документов. 2.9. Администратор безопасности и ответственный за защиту информации имеют право: - требовать от сотрудников - пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн; - инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов ИСПДн; - требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации; - участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа. 3. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации. 3.1. Настоящий порядок определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. 3.2. К использованию, для создания резервной копии в ИСПДн, допускаются только зарегистрированные в журнале учета носители. 3.3. Администратор безопасности обязан осуществлять периодическое резервное копирование конфиденциальной информации. 3.4. Еженедельно, по окончанию работы с конфиденциальными документами (содержащими персональные данные) на компьютере, пользователь, при отсутствии администратора, обязан создавать резервную копию конфиденциальных документов на зарегистрированный носитель (ЖМД, ГМД, CD, DVD – диски, USB накопитель, другие), создавая тем самым резервный электронный архив конфиденциальных документов. 3.5. Носители информации (ЖМД, ГМД, CD-ROM, USB накопитель, другие), предназначенные для создания резервной копии и хранения конфиденциальной информации выдаются установленным порядком руководителем, ответственным за защиту информации и (или) администратором. По окончании процедуры резервного копирования электронные носители конфиденциальной информации сдаются на хранение администратору безопасности, или руководителю, или ответственному за защиту информации. 3.6. Перед резервным копированием пользователь или администратор безопасности обязан проверить электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель) на отсутствие вирусов. 3.7. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль в соответствии с п. 7 настоящего Положения. 3.8. Запрещается запись посторонней информации на электронные носители (ЖМД, ГМД, CD-ROM, USB накопитель и другие) резервной копии. 3.9. Порядок создания резервной копии: - вставить в компьютер зарегистрированный электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель, другие) для резервного копирования; - выбрать необходимый каталог (файл) для создания резервного архива; - при использовании систем управления базами данных необходимо создать файл с резервной копией защищаемой информации с помощью встроенных средств системы; - выполнить процедуру создания резервной копии; - произвести копирование на отчуждаемый носитель; - произвести отключение отчуждаемого носителя и, создав необходимые записи в журналах убрать носитель в хранилище. 3.10. Хранение отчуждаемого носителя с резервной копией защищаемой информации осуществляется в специальном металлическом хранилище совместно с ключевой и аутентифицирующей информацией. 3.11. При восстановлении работоспособности программного обеспечения сначала осуществляется резервное копирование защищаемой информации, затем производится полная деинсталляция некорректно работающего программного обеспечения. 3.12. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов, хранение которых осуществляется администратором безопасности в специальном хранилище. 3.13. При необходимости ремонта технических средств, с них удаляются опечатывающие пломбы, изымаются носители конфиденциальной информации и по согласованию с администратором безопасности, ответственным за защиту информации и представителем организации, проводившей аттестацию, оборудование передается в сервисный центр производителя. Ремонт носителей защищаемой информации не допускается. Неисправные носители с защищаемой информацией подлежат уничтожению в соответствии с порядком уничтожения носителей защищаемой информации. Работа с использованием неисправных технических средств запрещается. 3.14. При работе на компьютерах ИСПДн рекомендуется использовать источники бесперебойного питания, с целью предотвращения повреждения технических средств и (или) защищаемой информации в результате сбоев в сети электропитания. 3.15. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в техническом задании на создание системы защиты персональных данных. Оценку эффективности данных средств защиты должен выполнять сотрудник организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. 3.16. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов, которые хранятся в хранилище. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств с помощью встроенных в них функций на зарегистрированный носитель. 3.17. Ответственность за проведение резервного копирования в ИСПДн в соответствии с требованиями настоящего Положения возлагается на администратора безопасности. 3.18. Ответственность за проведение мероприятий по восстановлению работоспособности технических средств и программного обеспечения баз данных возлагается на администратора безопасности. 3.19. Ответственность за проведение мероприятий по восстановлению средств защиты информации (далее – СЗИ) возлагается администратора безопасности. |
Похожие:
 |
Правила землепользования и застройки Инжавинского поссовета Инжавинского... Администрация Муниципального образования "Инжавинский поссовет" Инжавинского района Тамбовской области |
|
Администрация калугинского сельсовета инжавинского района тамбовской области постановление Об организации подготовки населения способам защиты и действиям в чрезвычайных ситуациях |
 |
Жердевского района тамбовской области постановление РФ, утвержденной приказом Министерства финансов РФ от 28. 12. 2010 №191н, части 3 статьи 11 Федерального закона от 06. 12. 2011 №402-фз... |
|
Мичуринского района тамбовской области постановление Об утверждении Положения о порядке перевода на индивидуальное газовое отопление жилых и нежилых помещений многоквартирных домов на... |
|
Приглашение делать оферты тамбовское областное государственное унитарное... Претендент, Участник, Подрядчик) предоставить Заказчику оферты на выполнение подрядных работ по объекту: «Строительство инженерной... |
|
Мичуринского района тамбовской области постановлени е О порядке организации сбора отработанных ртутьсодержащих ламп на территории Жидиловского сельсовета Мичуринского района Тамбовской... |
|
Отчет по результатам контрольного мероприятия «Проверка исполнения... «Проверка исполнения бюджетов муниципальных образований Староюрьевского района Тамбовской области – получателей межбюджетных трансфертов... |
|
Руководство деятельностью Администрации Староюрьевского района Тамбовской... Староюрьевского районного Совета народных депутатов от 12 февраля 2010 года №6-р, председателем Контрольно-счётной комиссии Завражновой... |
|
Положение об отделе записи актов гражданского состояния администрации Знаменского района Российской Федерации и Законом Тамбовской области от 22. 02. 2005 №293-з «О наделении администраций городских округов, муниципальных... |
|
Федеральная служба по труду и занятости государственная инспекция труда в тамбовской области Основания осуществления Государственной инспекцией труда в Тамбовской области деятельности в области труда |
|
Руководителю Управления Росздравнадзора по Тамбовской области Комиссия Управления Федеральной антимонопольной службы по Тамбовской области по рассмотрению дела по признакам нарушения законодательства... |
|
Отчет о деятельности государственной инспекции труда в Тамбовской области за 2 квартал 2010 года Общий анализ состояния соблюдения законодательства о труде и охране труда в Тамбовской области |
|
Правила землепользования и застройки даниловского сельсовета токарёвского района «Администрация Муниципального образования Даниловский сельсовет Токарёвского района Тамбовской области» |
|
Тамбовской области Проект генерального плана муниципального образования «булгаковский сельсовет» гавриловского района |
|
Тамбовской области Внесение изменений в генеральный план муниципального образования «булгаковский сельсовет» гавриловского района |
|
Отчет о деятельности государственной инспекции труда в Тамбовской... Результаты надзорно-контрольной деятельности за отчетный период показывают, что роста числа нарушений законодательства о труде и... |