3.1 Технические меры
К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения Инцидентов, такие как:
системы жизнеобеспечения;
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
Системы жизнеобеспечения ИСПДн включают:
пожарные сигнализации и системы пожаротушения;
системы вентиляции и кондиционирования;
системы резервного питания.
Все критичные помещения МБОУ «Гимназия №24» (помещения, в которых размещаются элементы ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
Для выполнения требований по эксплуатации (температура, относительная влажность воздуха) программно-аппаратных средств ИСПДн в помещениях, где они установлены, должны применяться системы вентиляции и кондиционирования воздуха.
Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИСПДн, сетевое и коммуникационное оборудование, а также наиболее критичные рабочие станции должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:
локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров;
источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;
дублированные системы электропитания в устройствах (серверы, концентраторы, мосты и т. д.).
Системы обеспечения отказоустойчивости:
кластеризация;
технология RAID.
Для обеспечения отказоустойчивости критичных компонентов ИСПДн при сбое в работе оборудования и их автоматической замены без простоев должны использоваться методы кластеризации. Могут использоваться следующие методы кластеризации: для наиболее критичных компонентов ИСПДн должны использоваться территориально удаленные системы кластеров.
Для защиты от отказов отдельных дисков серверов, осуществляющих обработку и хранение защищаемой информации, должны использоваться технологии RAID, которые (кроме RAID-0) применяют дублирование данных, хранимых на дисках.
Система резервного копирования и хранения данных, должна обеспечивать хранение защищаемой информации на твердый носитель (ленту, жесткий диск и т.п.).
3.2 Организационные меры
Резервное копирование и хранение данных должно осуществлять на периодической основе:
для обрабатываемых персональных данных – не реже раза в неделю;
для технологической информации – не реже раза в месяц;
эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн – не реже раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий).
Данные о проведение процедуры резервного копирования, должны отражаться в специально созданном журнале учета в электронном виде.
Носитель, на который произведено резервное копирование, должен быть пронумерован. Файлы с сохраняемой информацией нумеруются датой проведения резервного копирования.
Носитель должен располагаться в системном блоке сервера «Электронная школа» в помещении, оборудованном системой пожаротушения.
В случае выхода из строя носителя, он должен быть утилизирован при обязательном оформлении акта уничтожения съемных носителей персональных данных.
Приложение 15 к приказу директора
гимназии от 12.08.2014 года №233п3
положение о рабочих группах
по организации обработки и
обеспечению защиты персональных данных
в МБОу «гимназия 324»
На 3 листах
Ижевск, 2014
Общие положения
1.1. Настоящее Положение определяет основные цели, функции, права, ответственность и основы деятельности рабочих групп по организации обработки и обеспечению защиты персональных данных в Муниципальном бюджетном общеобразовательном учреждении «Гимназия №24» (далее - Гимназия).
1.2. Рабочая группа по организации обработки и обеспечению защиты персональных данных осуществляет в Гимназии защиту информации, содержащую персональные данные и организует обработку персональных данных в пределах своей компетенции.
1.3. Рабочая группа по организации обработки и обеспечению защиты персональных данных (далее - Группа) является объединением лиц, организующих и ведущих обработку персональных данных в части их касающихся. Численность Группы по защите информации и его структура определяются директором Гимназии, исходя из конкретных условий и особенностей деятельности учреждения.
В Гимназии производится обработка персональных данных, как с использованием, так и без использования средств автоматизации. На основании внутренней проверки информационных систем персональных данных в Гимназии определены следующие информационные системы персональных данных: «Электронная школа», «Бухгалтерия». Поэтому рабочие группы по организации обработки и обеспечению защиты персональных данных в Гимназии формируются по следующим направлениям:
при работе в Автоматизированной информационной системе «Электронная школа»;
при работе в программном комплексе «СБиС+Электронная отчетность»;
без использования автоматизированных информационных систем.
1.4. В своей деятельности Группа руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", нормативно-правовыми актами Российской Федерации в области защиты информации, организационно-распорядительными документами учреждения и настоящим положением.
2. Основные структура и функции Группы
2.1. Руководитель и другие работники Группы назначаются на должности и освобождаются от занимаемых должностей приказом директора Гимназии в соответствии с действующим законодательством Российской Федерации.
2.2. Требования, функциональные обязанности, права, ответственность руководителя и других работников Группы регламентируются должностными инструкциями, утверждаемыми директором Гимназии.
2.3. Распределение обязанностей между работниками Группы осуществляется его руководителем.
2.4. Группа осуществляет свою деятельность во взаимодействии с другими службами и структурными подразделениями Гимназии, а также в пределах своей компетенции со сторонними организациями. Группа подчиняется Комиссии по защите персональных данных, директору Гимназии.
2.5. Группа осуществляет следующие функции в пределах своей компетенции:
2.5.1 Разработка и внедрение организационных и технических мероприятий по обработке и комплексной защите персональных данных в Гимназии.
2.5.2. Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности персональных данных.
2.5.3. Организация, координация и выполнение работ по защите персональных данных, разработка технических средств контроля.
2.5.4. Определение целей и постановка задач по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты персональных данных Гимназии.
2.5.5. Проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков, возможных каналов утечки персональных данных, в том числе по техническим каналам, разработка мер по их устранению и предотвращению.
2.5.6. Составление актов и другой технической документации о степени защищенности технических средств и помещений. Контроль за соблюдением нормативных требований по защите персональных данных. Обеспечение комплексного использования технических средств, методов и организационных мероприятий.
2.5.7. Рациональное использование и обеспечение сохранности компьютерного и иного оборудования.
2.5.8.Разработка и реализация мер по устранению выявленных недостатков по защите персональных данных.
2.5.9. Проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты персональных данных по соответствующим классам безопасности.
2.5.10. Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.
2.5.11.Поддержание в актуальном состоянии действующих журналов и форм учета по работе с персональными данными. Составление и предоставление в установленном порядке отчетности.
2.5.12. Обеспечение соответствия проводимых работ технике безопасности, правилам и нормам охраны труда.
2.5.13. Организация работы по заключению договоров на работы по защите персональных данных.
2.5.14. Осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами Гимназии.
3. Права и ответственность
3.1. Группа имеет право в пределах своей компетенции:
3.1.1. Получать поступающие в Гимназию документы и иные информационные материалы по своему профилю деятельности для ознакомления, систематизированного учета и использования в работе.
3.1.2. Запрашивать и получать от директора Гимназии и структурных подразделений информацию, необходимую для выполнения возложенных на Группу задач и функций.
3.1.3. Проверять соблюдение законодательства и нормативно-правовых актов по вопросам защиты персональных данных в деятельности Гимназии.
3.1.4. Вносить предложения директору Гимназии по совершенствованию форм и методов работы Группы.
3.1.5. Участвовать в подборе и расстановке кадров по своему профилю деятельности, а также вносить предложения по повышению квалификации, поощрению и наложению взысканий на работников Группы.
3.1.6. Участвовать в совещаниях при рассмотрении вопросов, связанных с безопасностью обрабатываемых персональных данных и иной информации Гимназии.
3.2. Ответственность Группы:
3.2.1. Надлежащее выполнение возложенных на Группу функций;
3.2.2. Своевременное и квалифицированное выполнение приказов, распоряжений, поручений директора Гимназии, действующих нормативно-правовых актов по своему профилю деятельности;
3.2.3. Рациональное и эффективное использование материальных, финансовых и кадровых ресурсов;
3.2.4. Состояние трудовой и исполнительской дисциплины Группы, выполнение его работниками своих функциональных обязанностей;
3.2.5. Соблюдение работниками Группы правил внутреннего распорядка, противопожарной безопасности и техники безопасности;
3.2.6. Ведение документации, предусмотренной действующими нормативно-правовыми документами;
3.2.7. Предоставление в установленном порядке достоверной статистической и иной информации о деятельности Группы;
3.2.8. Готовность Группы к работе в условиях чрезвычайных ситуаций.
3.3. Ответственность работников Группы устанавливается должностными инструкциями.
Приложение 16 к приказу директора
гимназии от 12.08.2014 года №233п3
Должностная инструкция руководителя рабочей группы по организации обработки и обеспечению защиты персональных данных в МБОУ «Гимназия №24»
Общие положения
1.1. Руководитель рабочей группы по организации обработки и обеспечению защиты персональных данных в МБОУ «Гимназия №24» (далее – руководитель группы) назначается на должность приказом директора МБОУ «Гимназия №24» (далее - Гимназия).
1.2. Руководитель группы подчиняется Комиссии по защите персональных данных, директору Гимназии.
1.3. Руководитель группы руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", нормативно-правовыми актами Российской Федерации в области защиты информации, организационно-распорядительными документами Гимназии и настоящей инструкцией.
2. Функциональные обязанности
Руководитель группы осуществляет следующие функции:
2.1. Распределение обязанностей между работниками Группы.
2.2. Организация взаимодействия с другими службами и структурными подразделениями Гимназии, а также в пределах своей компетенции со сторонними организациями.
2.3. Организация разработки и внедрения организационных и технических мероприятий по обработке и комплексной защите персональных данных в Гимназии в пределах компетенции группы.
2.4. Составление актов и другой технической документации о степени защищенности технических средств и помещений.
2.5. Составление и предоставление в установленном порядке отчетности.
2.6. Организация работы по заключению договоров на работы по защите персональных данных.
2.7. Осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами Гимназии.
3. Права и ответственность
3.1. Руководитель группы имеет право в пределах своей компетенции:
Получать поступающие в Гимназию документы и иные информационные материалы по своему профилю деятельности для ознакомления, систематизированного учета и использования в работе.
3.1.2. Запрашивать и получать от директора Гимназии и структурных подразделений информацию, необходимую для выполнения возложенных на Группу задач и функций.
3.1.3. Вносить предложения директору Гимназии по совершенствованию форм и методов работы Группы.
3.1.4. Участвовать в подборе и расстановке кадров по своему профилю деятельности, а также вносить предложения по повышению квалификации, поощрению и наложению взысканий на работников Группы.
3.1.5. Участвовать в совещаниях при рассмотрении вопросов, связанных с безопасностью обрабатываемых персональных данных и иной информации Гимназии.
3.2. Руководитель Группы несет персональную ответственность за:
- организацию работы Группы, своевременное и квалифицированное выполнение приказов, распоряжений, поручений директора Гимназии, действующих нормативно-правовых актов по своему профилю деятельности;
- обеспечение сохранности принятых на ответственное хранение программных и технических средств;
- обеспечение сохранности принимаемой и достоверность передаваемой информации;
- недопущение использования информации членами Группы в неслужебных целях.
Приложение 17 к приказу директора
гимназии от 12.08.2014 года №233п3
Должностная инструкция члена рабочей группы по организации обработки и обеспечению защиты персональных данных в МБОУ «Гимназия №24»
-
Общие положения
Член рабочей группы по организации обработки и обеспечению защиты персональных данных в МБОУ «Гимназия №24» (далее – член группы) назначается на должность приказом директора МБОУ «Гимназия №24» (далее - Гимназия).
Член группы подчиняется Руководителю рабочей группы по организации обработки и обеспечению защиты персональных данных в МБОУ «Гимназия №24», директору Гимназии.
Член группы руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", нормативно-правовыми актами Российской Федерации в области защиты информации, организационно-распорядительными документами Гимназии и настоящей инструкцией.
Функциональные обязанности
Член группы осуществляет следующие функции:
-
Разработка и внедрение организационных и технических мероприятий по обработке и комплексной защите персональных данных в Гимназии.
Соблюдения режима проводимых работ и сохранения конфиденциальности персональных данных.
Проведение проверки деятельности сотрудников гимназии, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты персональных данных
Разработка и реализация мер по устранению выявленных недостатков по защите персональных данных.
Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.
Обеспечение соответствия проводимых работ технике безопасности, правилам и нормам охраны труда.
Осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами Гимназии.
-
Права и ответственность
-
Член группы имеет право в пределах своей компетенции:
Запрашивать и получать от руководителя группы информацию, необходимую для выполнения возложенных на Группу задач и функций.
Проверять соблюдение законодательства и нормативно-правовых актов по вопросам защиты персональных данных в деятельности Гимназии.
Участвовать в совещаниях при рассмотрении вопросов, связанных с безопасностью обрабатываемых персональных данных и иной информации Гимназии.
-
Член группы несет персональную ответственность за:
Правильность и объективность принимаемых решений;
Качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;
Предоставление достоверной статистической и иной информации о своей деятельности руководителю группы;
За разглашение сведений ограниченного распространения, ставших известными членам комиссии по роду работы.
|