Регламент антивирусной защиты
в МОУ СОШ №50города Комсомольска-на-Амуре
I. Общие положения
1. Целью создания системы антивирусной защиты является обеспечение защищенности информационно-коммуникационной системы (далее ИКС) от воздействия различного рода вредоносных программ и несанкционированных массовых почтовых рассылок, предотвращения их внедрения в информационные системы, выявления и безопасного удаления из систем в случае попадания, а также фильтрации доступа пользователей Муниципального общеобразовательного учреждения средней общеобразовательной школы №50 г.Комсомольска-на-Амуре (далее «Учреждение») к непродуктивным Интернет-ресурсам и контроля их электронной переписки.
2. Основополагающими требованиями к системе антивирусной защиты «Учреждения» являются:
- решение задачи антивирусной защиты должно осуществляться в общем виде. Средство защиты не должно оказывать противодействие только конкретному вирусу или группе вирусов, противодействие должно оказываться в предположениях, что вирус может быть занесен на компьютер и о вирусе (о его структуре (в частности, сигнатуре) и возможных действиях) ничего неизвестно;
- решение задачи антивирусной защиты должно осуществляться в реальном времени.
3. Мероприятия, направленные на решение задач по антивирусной защите:
- установка только лицензированного программного обеспечения либо бесплатного антивирусного программного обеспечения;
- регулярное обновление и еженедельные профилактические проверки;
- непрерывный контроль над всеми возможными путями проникновения вредоносных программ, мониторинг антивирусной безопасности и обнаружение деструктивной активности вредоносных программ на всех объектах ИКС;
- ежедневный анализ, ранжирование и предотвращение угроз распространения и воздействия вредоносных программ путем выявления уязвимостей используемого в ИКС операционного программного обеспечения и сетевых устройств и устранения обнаруженных дефектов в соответствии с данными поставщика программного обеспечения и других специализированных экспертных антивирусных служб;
- проведение профилактических мероприятий по предотвращению и ограничению вирусных эпидемий, включающих загрузку и развертывание специальных правил нейтрализации (отражению, изоляции и ликвидации) вредоносных программ на основе рекомендаций по контролю атак, подготавливаемых разработчиком средств защиты от вредоносных программ и другими специализированными экспертными антивирусными службами до того, как будут выпущены файлы исправлений, признаков и антивирусных сигнатур;
- проведение регулярных проверок целостности критически важных программ и данных.
- наличие лишних файлов и следов несанкционированного внесения изменений должно быть зарегистрировано в журнале и расследовано: внешние носители информации неизвестного происхождения следует проверять на наличие вирусов до их использования;
- необходимо строго придерживаться установленных процедур по уведомлению о случаях поражения автоматизированной информационной среды компьютерными вирусами и принятию мер по ликвидации последствий от их проникновения;
- следует иметь планы обеспечения бесперебойной работы «Учреждения» для случаев вирусного заражения, в том числе планы резервного копирования всех необходимых данных и программ и их восстановления. Эти меры особенно важны для сетевых файловых серверов, поддерживающих большое количество рабочих станций.
II. Технологические инструкции
1. Директором «Учреждения» назначается лицо, ответственное за антивирусную защиту.
2. В «Учреждении» может использоваться только лицензионное антивирусное программное обеспечение либо свободно-распространяемое программное обеспечение.
3. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы, почтовые сообщения), получаемая и передаваемая по телекоммуникационным каналам связи, а также информация, находящаяся на съемных носителях (CDROM, DVD, flash-накопителях и т.п.).
4. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
5. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.
III. Требования к проведению мероприятий по антивирусной защите
1. В начале работы при загрузке компьютера в автоматическом режиме должно выполняться обновление антивирусных баз и серверов.
2. Периодические проверки электронных архивов должны проводиться не реже одного раза в неделю, данные, расположенные на рабочих станциях пользователей - ежедневно, в ночное время по расписанию.
3. Внеочередной антивирусный контроль всех дисков и файлов персонального компьютера должен выполняться:
4. Непосредственно после установки (изменения) программного обеспечения компьютера должна быть выполнена антивирусная проверка на серверах и персональных компьютерах «Учреждения» .
5. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.).
6. При отправке и получении электронной почты оператор электронной почты обязан проверить электронные письма и их вложения на наличие вирусов.
7. В случае обнаружения зараженных вирусами файлов или электронных писем пользователи обязаны:
- Приостановить работу.
- Немедленно поставить в известность о факте обнаружения зараженных вирусом файлов ответственного за обеспечение антивирусной защиты (в случае его отсутствия - директора) «Учреждения» .
- Совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования.
- Провести лечение или уничтожение зараженных файлов.
IV. Ответственность
1. Ответственность за организацию антивирусной защиты возлагается на директора «Учреждения» или лицо, им назначенное.
2. Ответственность за проведение мероприятий антивирусного контроля в «Учреждении» возлагается на ответственного за обеспечение антивирусной защиты, соблюдение требований настоящей Инструкции при работе на персональных рабочих станциях возлагается на пользователей данных станций или педагога, отвечающего за работу компьютерного класса.
3. Периодический контроль состояния антивирусной защиты в «Учреждении» по вопросам регламентации доступа к информации в сети Интернет два раза в год (ноябрь, апрель) и фиксируется в Журнале проверок антивирусной защиты в «Учреждении».
Приложение № 6
к приказу МОУ СОШ № 50
г. Комсомольска-на-Амуре
от 27.08.2015 г. № 265
ИНСТРУКЦИЯ
ответственного за обеспечение безопасности
персональных данных информационных систем персональных данных
в МОУ СОШ №50 города Комсомольска-на-Амуре
I. Общие положения
1. Настоящая инструкция (далее – Инструкция) определяет общие функции, ответственность, права и обязанности ответственного за обеспечение безопасности персональных данных информационных систем персональных данных (далее – Ответственный) в Муниципальном общеобразовательном учреждении средняя общеобразовательная школа №50г.Комсомольска-на-Амуре (далее «Учреждение»).
2. Настоящая инструкция разработана в соответствии с руководящими и нормативными документами регуляторов Российской Федерации в области защиты персональных данных.
3. Ответственный назначается приказом по «Учреждению» на основании «Положения о разграничении прав доступа к обрабатываемым персональным данным» в «Учреждении» из числа штатных сотрудников.
4. Ответственный подчиняется непосредственно Директору «Учреждения».
5. На время отсутствия Ответственного (отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке, которое приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.
6. Ответственный в своей работе руководствуется настоящей Инструкцией, Политикой информационной безопасности «Учреждения», другими регламентирующими документами «Учреждения», руководящими и нормативными документами регуляторов Российской Федерации в области обеспечения безопасности персональных данных.
7. Методическое руководство работой Ответственного осуществляется ответственным за организацию обработки персональных данных в «Учреждении».
8. Ответственный является ответственным лицом, уполномоченным на проведение работ по технической защите информации и поддержанию необходимого уровня защищенности ИСПДн «Учреждения» и их ресурсов на этапах эксплуатации и модернизации.
II. Организация работы
1. Ответственный должен иметь специальное рабочее место, размещённое на территории контролируемой зоны, установленной приказом директора «Учреждения», чтобы исключить несанкционированный доступ к нему посторонних лиц и других сотрудников «Учреждения».
2. Рабочее место Ответственного должно быть оборудовано средствами физической защиты (личный сейф, железный шкаф или другое), подключением к ИСПДн, а так же средствами контроля технических средств защиты информации (далее – СЗИ).
III. Обязанности
Ответственный должен:
1. Соблюдать требования законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, «Правил обработки персональных данных» и других нормативных документов «Учреждения» в области обработки и защиты персональных данных.
2. Поддерживать необходимый уровень защищенности (режим безопасности) персональных данных при их обработке в ИСПДн согласно «Инструкции по обеспечению безопасности персональных данных».
3. Наделять и изменять права доступа всех групп пользователей ИСПДн к персональным данным и защищаемым программным ресурсам и портам ввода-вывода ИСПДн.
4. Осуществлять установку, настройку и сопровождение программных и технических СЗИ.
5. Осуществлять методическое руководство всех групп пользователей «Учреждения» в вопросах функционирования СЗИ и введенного режима защиты.
6. Участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн.
7. Участвовать в приемке новых программных и технических средств, в том числе СЗИ.
8. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений «Правил обработки персональных данных».
9. Обеспечить доступ к защищаемой информации всем группам пользователей ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения.
10. Уточнять в установленном порядке обязанности всех групп пользователей ИСПДн по обеспечению безопасности персональных данных.
11. Вести контроль над процессом осуществления резервного копирования баз данных и настроек комплекса средств автоматизации ИСПДн согласно «Инструкции по порядку резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и СЗИ».
12. Осуществлять контроль порядка учёта, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.
13. Осуществлять контроль выполнения Плана мероприятий по обеспечению защиты персональных данных в «Учреждении».
14. Анализировать состояние защиты ИСПДн и их отдельных подсистем.
15. Контролировать неизменность состояния СЗИ, их параметров и режимов защиты.
16. Контролировать физическую сохранность СЗИ и оборудования ИСПДн.
17. Контролировать исполнение всеми группами пользователей ИСПДн введённого режима защищенности, а так же правильность работы с элементами ИСПДн и СЗИ.
18. Контролировать исполнение всем группами пользователей ИСПДн парольной политики согласно «Инструкции по организации парольной защиты»
19. Организовывать антивирусную защиту всех элементов ИСПДн согласно «Инструкции по организации антивирусной защиты».
20. Своевременно анализировать журнал учёта событий, регистрируемых СЗИ, с целью выявления возможных нарушений.
21. Недопускать установку, использование, хранение и размножение в ИСПДн ПО, не связанных с выполнением функциональных задач.
22. Не допускать к работе на элементах ИСПДн посторонних лиц.
23. Регистрировать факты выдачи внешних носителей в «Журнале учета мобильных технических средств».
24. Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования СЗИ ИСПДн.
25. Периодически представлять руководству отчёт о состоянии и о нештатных ситуациях на объектах ИСПДн и допущенных всеми группами пользователей нарушениях и установленных требований по защите информации.
26. В случае отказа работоспособности СЗИ ИСПДн, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
27. Принимать меры по реагированию в случае возникновения нештатных или аварийных ситуаций с целью ликвидации их последствий.
28. Предлагать руководству мероприятия по совершенствованию работы по защите персональных данных.
IV. Права
Ответственный имеет право:
1. Требовать от всех групп пользователей ИСПДн соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, «Правил обработки персональных данных» и других нормативных документов «Учреждения» в области обработки и защиты персональных данных.
2. Запрещать всем группам пользователей ИСПДн доступ к персональным данным при нарушении «Правил обработки персональных данных», при неисправностях в работе СЗИ и с целью предотвращения несанкционированного доступа к охраняемой информации.
3. Участвовать в анализе ситуаций, касающихся функционирования СЗИ, и в расследованиях по случаям несанкционированного доступа к персональным данным и другим случаям нарушения режима обработки персональных данных.
4. Вносить предложения руководству по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями.
5. В пределах своей компетенции сообщать руководству о недостатках, выявленных в процессе исполнения должностных обязанностей, и вносить предложения по их устранению.
6. Требовать от руководства оказания содействия в исполнении своих должностных обязанностей и прав.
7. Привлекать с разрешения руководства сотрудников всех структурных подразделений к решению задач, возложенных на него.
8. Запрашивать лично или через директора «Учреждения» информацию и документы, необходимые для выполнения своих должностных обязанностей.
V. Ответственность
Ответственный несет ответственность:
1. За качество проводимых работ по контролю всех групп пользователей ИСПДн в вопросах обеспечения безопасности персональных данных.
2. За обеспечение устойчивой работоспособности СЗИ ИСПДн.
3. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных действующим трудовым законодательством Российской Федерации.
4. За правонарушения, совершенные в процессе осуществления своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
5. За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.
VI. Порядок пересмотра инструкции
1. Настоящая Инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в три года.
2. С приказом о внесении изменений (дополнений) в настоящую Инструкцию знакомятся под расписку все сотрудники «Учреждения», на которых распространяется действие этой инструкции.
Приложение № 7
к приказу МОУ СОШ № 50
г. Комсомольска-на-Амуре
от 27.08.2015 г. № 265
ИНСТРУКЦИЯ
пользователя ИСПДн по обеспечению безопасности обработки персональных данных при возникновении внештатных
ситуаций в МОУ СОШ №50 г. Комсомольска-на-Амуре
I. Назначение и область действия
1. Настоящая инструкция определяет возможные аварийные ситуации, связанные с функционированием ИСПДн Муниципального общеобразовательного учреждения средней общеобразовательной школы №50 г.Комсомольска-на-Амуре (далее «Учреждение»), меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн после аварийных ситуаций.
2. Целью настоящего документа является превентивная защита элементов ИСПДн от прерывания в случае реализации рассматриваемых угроз.
Задачей настоящей Инструкции является:
- определение мер защиты от прерывания;
- определение действий восстановления в случае прерывания.
3. Действие настоящей Инструкции распространяется на всех пользователей, имеющих доступ к ресурсам ИСПДн, а также на основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:
- системы жизнеобеспечения;
- системы обеспечения отказоустойчивости;
- системы резервного копирования и хранения данных;
- системы контроля физического доступа.
4. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в два года.
II. Порядок реагирования на аварийную ситуацию
1. Действия при возникновении аварийной ситуации:
- В настоящем документе под аварийной ситуацией понимается некоторое происшествие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн. Аварийная ситуации становится возможной в результате реализации одной из угроз, приведенных в таблице «Источники угроз».
Источники угроз
|
Технологические угрозы
|
1
|
Пожар в здании
|
2
|
Повреждение водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения)
|
3
|
Взрыв (бытовой газ, теракт, взрывчатые вещества или приборы, работающие под давлением)
|
4
|
Химический выброс в атмосферу
|
|
Внешние угрозы
|
5
|
Массовые беспорядки
|
6
|
Сбои общественного транспорта
|
7
|
Эпидемия
|
8
|
Массовое отравление персонала
|
|
Стихийные бедствия
|
9
|
Удар молнии
|
10
|
Сильный снегопад
|
11
|
Сильные морозы
|
12
|
Просадка грунта (подмыв грунтовых вод, подземные работы) с частичным обрушением здания
|
13
|
Затопление водой в период паводка
|
14
|
Наводнение, вызванное проливным дождем
|
15
|
Подтопление здания (воздействие подпочвенных вод, вызванное внезапным и непредвиденным повышением уровня грунтовых вод)
|
|
Телекоммуникационные и ИТ угрозы
|
16
|
Сбой системы кондиционирования
|
17
|
Сбой ИТ – систем
|
|
Угроза, связанная с человеческим фактором
|
18
|
Ошибка персонала, имеющего доступ к серверной
|
19
|
Нарушение конфиденциальности, целостности и доступности конфиденциальной информации
|
|
Угрозы, связанные с внешними поставщиками
|
20
|
Отключение электроэнергии
|
21
|
Сбой в работе Интернет-провайдера
|
22
|
Физический разрыв внешних каналов связи
|
- Все действия в процессе реагирования на аварийные ситуации должны документироваться ответственным за реагирование сотрудником в «Журнале по учету мероприятий по контролю».
- В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники «Учреждения» (Администратор безопасности, Администратор и Оператор ИСПДн) предпринимают меры по восстановлению работоспособности системы. Принимаемые меры по возможности согласуются с вышестоящим руководством. По мере необходимости, иерархия может быть нарушена, с целью получения высококвалифицированной консультации в кратчайшие сроки.
2. Уровни реагирования на инцидент:
При реагировании на инцидент, важно, чтобы пользователь правильно классифицировал критичность инцидента. Критичность оценивается на основе следующей классификации:
- Уровень 1 – Незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Эти инциденты решаются ответственными за реагирование сотрудниками.
- Уровень 2 – Авария. Любой инцидент, который приводит или может привести к прерыванию работоспособности отдельных элементов ИСПДн и средств защиты. Эти инциденты выходят за рамки управления ответственными за реагирование сотрудниками.
К авариям относятся следующие инциденты:
1. Отказ элементов ИСПДн и средств защиты из-за:
- повреждения водой (провыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей;
- сбоя системы кондиционирования.
2. Отсутствие Администратора ИСПДн и Администратора безопасности более чем на сутки из-за:
- химического выброса в атмосферу;
- сбоев общественного транспорта;
- эпидемии;
- массового отравления персонала;
- сильного снегопада;
- сильных морозов.
- Уровень 3 – Катастрофа. Любой инцидент, приводящий к полному прерыванию работоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни пользователей ИСПДн, классифицируется как катастрофа. Обычно к катастрофам относятся обстоятельства непреодолимой силы (пожар, взрыв), которые могут привести к неработоспособности ИСПДн и средств защиты на сутки и более.
К катастрофам относятся следующие инциденты:
- пожар в здании;
- взрыв;
- просадка грунта с частичным обрушением здания;
- массовые беспорядки в непосредственной близости от объекта.
III. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций
Технические меры:
- К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения и возникновения аварийных ситуаций, такие как:
системы жизнеобеспечения;
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
Системы жизнеобеспечения ИСПДн включают:
- пожарные сигнализации и системы пожаротушения;
- системы вентиляции и кондиционирования;
- системы резервного питания.
- Все критические помещения «Учреждения» (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
- Порядок предотвращения потерь информации и организации системы жизнеобеспечения ИСПДн описан в Порядке резервирования и восстановления работоспособности технических систем и программного обеспечения, баз данных и средств защиты информации.
2. Организационные меры:
- Ответственные за реагирование сотрудники ознакомляют всех сотрудников «Учреждения», находящихся в их зоне ответственности, с данной Инструкцией в срок, не превышающий трех рабочих дней с момента выхода нового сотрудника на работу. По окончании ознакомления сотрудник расписывается в листе ознакомления. Подпись сотрудника должна соответствовать его подписи в документе, удостоверяющем его личность.
- Должно быть проведено обучение должностных лиц «Учреждения», имеющих доступ к ресурсам ИСПДн, порядку действий при возникновении аварийных ситуаций. Должностные лица должны получить базовые знания в следующих областях:
- оказание первой медицинской помощи;
- пожаротушение;
- эвакуация людей;
- защита материальных и информационных ресурсов;
- методы оперативной связи со службами спасения и лицами, ответственными за реагирование на аварийную ситуацию;
- выключение оборудования, электричества, водоснабжения.
- Администраторы ИСПДн и Администраторы безопасности должны быть дополнительно обучены методам частичного и полного восстановления работоспособности элементов ИСПДн.
- Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации.
Приложение № 8
к приказу МОУ СОШ № 50
г. Комсомольска-на-Амуре
от 27.08.2015 г. № 265
ИНСТРУКЦИЯ
по обработке персональных данных без использования средств автоматизации в МОУ СОШ №50 г. Комсомольска-на-Амуре
I. Общие положения
1. Настоящая Инструкция разработана в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15.09.2008 № 687, является дополнением к «Положению об обработке персональных данных в МОУ СОШ №50 г. Комсомольска-на-Амуре» (далее «Учреждение») и определяет правила работы с персональными данными и их материальными носителями без использования средств автоматизации.
2. Обработка персональных данных, полученных от работника, содержащихся в информационной системе персональных данных либо извлеченных из такой системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
3. Документ, содержащий персональные данные - материальный носитель с зафиксированной на нем в любой форме информацией, содержащей персональные данные работников (или граждан в договорах с физическими лицами) в виде текста, фотографии и (или) их сочетания.
4. С учетом большого объема (массовости) документов, содержащих персональные данные, и строго регламентированного порядка их хранения пометка конфиденциальности на них не ставится.
5. С настоящей инструкцией должны быть ознакомлены под роспись работники, допускаемые к обработке персональных данных без использования средств автоматизации. Листы ознакомления хранятся у ответственного за систему защиты информации в информационной системе персональных данных.
II. Порядок обработки персональных данных
1. Персональные данные должны обособляться от иной информации путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
3. Работники, осуществляющие обработку персональных данных, информируются непосредственным руководителем о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
4. Типовые формы документов должны быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
5. Хранение документов, содержащих персональные данные, осуществляется в металлических шкафах или сейфах.
6. Уничтожение документов, содержащих персональные данные, осуществляется способом, не позволяющим в дальнейшем ознакомиться с персональными данными.
III. Обязанности сотрудника, допущенного к обработке персональных данных
1. При работе с документами, содержащими персональные данные, сотрудник обязан исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения).
2. При выносе документов, содержащих персональные данные, за пределы территории «Учреждения» по служебной необходимости сотрудник должен принять все возможные меры, исключающие утрату (утерю, хищение) таких документов.
3. При утрате (утере, хищении) документов, содержащих персональные данные, работник обязан немедленно доложить о таком факте своему непосредственному руководителю. Непосредственный руководитель должен сообщить заместителю директора, курирующему вопросы защиты информации о факте утраты (утере, хищении) документов, содержащих персональные данные. По каждому такому факту назначается служебное расследование.
4. Сотрудникам, допущенным к обработке персональных данных запрещается:
- Сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям.
- Делать неучтенные копии документов, содержащих персональные данные.
- Оставлять документы, содержащие персональные данные, на рабочих столах без присмотра.
- Покидать помещение, не поместив документы с персональными данными в закрываемые сейфы, шкафы.
- Выносить документы, содержащие персональные данные, из помещений «Учреждения» без служебной необходимости.
5. Ответственность сотрудников, допущенных к обработке персональных данных:
- Ответственность за неисполнение или ненадлежащее выполнение требований настоящей Инструкции возлагается на работников и администрацию «Учреждения».
- Контроль за выполнением положений настоящей Инструкции возлагается на ответственного за систему защиты информации в информационной системе персональных данных.
- За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
- В случае если в результате действий работника был причинен подлежащий возмещению работодателем ущерб третьим лицам, работник несет перед работодателем материальную ответственность в соответствии с главой 39 Трудового кодекса РФ.
- В случае разглашения персональных данных, ставших известными работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, трудовой договор с работником может быть расторгнут работодателем (подпункт «в» пункта 6 статьи 81 Трудового кодекса РФ).
Приложение № 9
к приказу МОУ СОШ № 50
г. Комсомольска-на-Амуре
от 27.08.2015 г. № 265
ИНСТРУКЦИЯ
по организации парольной защиты информационных систем персональных данных в МОУ СОШ №50 г. Комсомольска-на-Амуре
1. Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее - ИСПДн) Муниципального общеобразовательного учреждения средней общеобразовательной школы №50 города Комсомольска-на-Амуре (далее – «Учреждение»), а также контроль действий пользователей и обслуживающего персонала системы при работе с паролями.
2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн «Учреждения» и контроль действий исполнителей и обслуживающего персонала ИСПДн при работе с паролями возлагается на ответственного за обеспечение безопасности ПДн, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ИСПДн самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
- личный пароль пользователь не имеет права сообщать никому.
4. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
5. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников, а также ответственных за информационную безопасность в подразделениях с паролями других сотрудников «Учреждения».
6. При наличии в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте передавать на хранение ответственному за информационную безопасность подразделения. Опечатанные конверты с паролями исполнителей должны храниться в недоступном месте.
7. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 3 месяца.
8. Удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение), должна производиться ответственным за обеспечение безопасности ПДн немедленно после окончания последнего сеанса работы данного пользователя с системой.
9. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри «Учреждения» и другие обстоятельства ответственного за информационную безопасность и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем ИСПДн.
10. В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры в соответствии с п.6 или п.7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
11. Повседневный контроль действий исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственного за информационную безопасность.
Приложение № 10
к приказу МОУ СОШ № 50
г. Комсомольска-на-Амуре
от 27.08.2015 г. № 265
Модель угроз безопасности персональных данных
МОУ СОШ №50 г. Комсомольска-на-Амуре
|