Для служебного пользования
Экз. ед.
УТВЕРЖДАЮ
Директор
ТОГБУ СОН
«Центр социальных услуг
для населения Пичаевского района»
________________ А.И. Киселев
«_30_» _декабря__ 2015 г.
|
Инструкция
администратора безопасности информационной системы персональных данных
2015 г.
Оглавление
Оглавление 2
Основные понятия
Применяемые в настоящей Инструкции термины и понятия означают:
Администратор безопасности - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.
Автоматизированная система (AC) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Автоматизированное рабочее место (АРМ) - программно-технический комплекс АС, предназначенный для автоматизации деятельности определенного вида.
Защита информации от разглашения - защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
Защита информации от несанкционированного доступа (ЗИ от НСД) - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.
Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Средство защиты информации (СрЗИ) - техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Общие положения
2.1. Настоящая инструкция разработана на основании следующих нормативных документов:
Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.06 г.;
Приказ ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Государственная техническая комиссия при президенте Российской Федерации, 2002 г.;
Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Постановление Правительства РФ № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Информационное сообщение об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных от 20 ноября 2012г. № 240/24/4669.
2.2. Инструкция определяет основные задачи, функции, обязанности, права и ответственность Администратора безопасности информационной системы персональных данных ТОГБУ СОН «Центр социальных услуг для населения Пичаевского района» (далее Организация).
2.3. Администратор безопасности выполняет функции по обеспечению бесперебойного функционирования системы защиты ИСПДн.
2.4. Закрепление функциональных обязанностей и разделение зон ответственности производится приказом руководителя Организации.
2.5. В своей деятельности Администратор безопасности руководствуется требованиями действующих федеральных законов, общегосударственных и ведомственных нормативных документов по вопросам защиты персональных данных (указанных в п. 2.1.) и обеспечивает их выполнение.
2.6. Настоящая Инструкция является дополнением к действующим регламентирующим документам по вопросам защиты информации в Организации и не исключает обязательного выполнения их требований.
Задачи и функции Администратора безопасности
3.1. Основными задачами Администратора безопасности являются:
сопровождение средств защиты информации и основных технических средств и систем (далее ОТСС) в соответствии с эксплуатационной документацией;
обеспечение работоспособности элементов ИСПДн и локальной вычислительной сети;
организация разграничения доступа пользователей к информационным ресурсам.
3.2. Для выполнения поставленных задач на Администратора безопасности возлагаются следующие функции:
3.2.1. Настройка и сопровождение средств защиты от несанкционированного доступа (далее НСД), в том числе средств криптографической защиты информации в ИСПДн.
3.2.2. Ведение списка пользователей ИСПДн в информационной базе системы защиты от НСД, их полномочий доступа (чтение, запись) к элементам защищаемых информационных ресурсов (том, каталог, файл, запись, поле записи) на основе утвержденного руководителем Организации списка сотрудников, допущенных к работе в ИСПДн.
3.2.3. Назначение и смена паролей к информационным ресурсам ИСПДн.
3.2.4. Настройка и сопровождение подсистемы регистрации и учета:
ввод в базу данных системы защиты от НСД описания событий, подлежащих регистрации в системном журнале;
проведение регулярного анализа системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам;
своевременное информирование руководства о несанкционированных действиях персонала и организация расследования попыток НСД.
3.2.5. Восстановление системы защиты при сбоях.
Поддержание установленного порядка и соблюдение требований антивирусной защиты.
Обязанности Администратора безопасности
4.1. Для реализации поставленных задач и возложенных функций Администратор безопасности обязан:
4.1.1. Обеспечивать бесперебойное функционирование системы защиты информации (далее СЗИ) и ОТСС.
4.1.2. Вести учет и знать перечень всех установленных СЗИ (СЗИ от НСД, межсетевые экраны, средства криптографической защиты) и перечень задач, решаемых с их использованием.
4.1.3. Осуществлять непосредственное управление режимами работы и поддержку функционирования (настройку и сопровождение) применяемых на рабочих станциях специальных программных и программно-аппаратных СЗИ.
4.1.4. Присутствовать при внесении изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов.
4.1.5. Периодически проверять состояние используемых СЗИ, осуществлять проверку правильности их настройки (выборочное тестирование).
4.1.6. Контролировать соответствие технического паспорта ИСПДн фактическому составу (комплектности) средств вычислительной техники и вести учет изменений аппаратно-программной конфигурации.
4.1.7. Периодически контролировать целостность печатей (пломб, наклеек) на устройствах защищенных рабочих станций.
4.1.8. Проводить периодический инструктаж пользователей по правилам работы с используемыми средствами и системами зашиты персональных данных.
4.1.9. Разрабатывать решения по:
осуществлению контроля за наличием активных компьютеров в локальной сети, состоянием активных пользователей, использованием разделяемых ресурсов, процессом печати на общих принтерах;
разработке порядка выхода пользователей в сети общего пользования и использованию встроенных СЗИ от НСД в сервисных программах.
4.1.10. Осуществлять оперативный контроль за работой пользователей, обрабатывающих персональные данные, анализировать содержимое журналов событий операционных систем, систем управления базами данных, пакетов прикладных программ, СЗИ от НСД всех ПЭВМ и адекватно реагировать на возникающие нештатные ситуации. Обеспечивать своевременное архивирование журналов событий и надлежащий режим хранения данных архивов.
4.1.11. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания рабочих станций и отправке их в ремонт (контролировать стирание информации на магнитных носителях).
4.1.12. Контролировать обеспечение защиты персональных данных при взаимодействии пользователей с информационными сетями общего пользования.
4.1.13. Контролировать эффективность защиты персональных данных:
проводить работу по выявлению возможности вмешательства в процесс функционирования ПЭВМ и осуществления НСД к информации и техническим средствам;
докладывать ответственному за организацию обработки персональных данных о выявленных угрозах безопасности информации, обрабатываемой в ИСПДн, об имевших место попытках НСД к информации и техническим средствам рабочих станций;
участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в ИСПДн.
4.2. Администратору безопасности запрещается:
4.2.1. Используя служебное положение, создавать ложные информационные сообщения и учетные записи пользователей, получать доступ к информации и предоставлять его другим с целью ее модификации, копирования, уничтожения.
4.2.2. Использовать ставшие доступные в ходе исполнения обязанностей идентификационные данные пользователей (имя, пароль, ключи и т.п.) для маскирования своих действий.
4.2.3. Самостоятельно (без согласования с ответственным за организацию обработки персональных данных) вносить изменения в настройки серверной части ИСПДн.
4.2.4. Использовать в своих и в чьих-либо личных интересах ресурсы ИСПДн, предоставлять такую возможность другим.
4.2.5. Выключать СЗИ без санкции руководства.
4.2.6. Передавать третьим лицам сетевые адреса, имена, пароли, информацию о привилегиях пользователей, конфигурационные настройки.
4.2.7. Производить в рабочее время действия, приводящие к сбою, остановке, замедлению работы ИСПДн, блокировке, потери информации и предупреждения пользователей.
4.2.8. Нарушать правила эксплуатации оборудования ИСПДн.
4.2.9. Корректировать, удалять, подменять журналы аудита.
Права и ответственность Администратора безопасности
5.1. Администратор безопасности имеет право:
5.1.1. Получать доступ к программным и аппаратным средствам ИСПДн, средствам их защиты, а также просмотру прав доступа к ресурсам на серверах ИСПДн и рабочих станций пользователей.
5.1.2. Требовать от пользователей ИСПДн выполнения инструкций по обеспечению безопасности персональных данных в ИСПДн.
5.1.3. Участвовать в служебных расследованиях по фактам нарушения установленных требований обеспечения информационной безопасности, НСД, утраты, порчи защищаемой информации и технических компонентов ИСПДн.
5.1.4. Осуществлять оперативное вмешательство в работу пользователя при явной угрозе безопасности информации в результате несоблюдения установленной технологии обработки информации и невыполнения требований по безопасности с последующим докладом ответственному за организацию обработки персональных данных.
5.1.5. Производить анализ защищенности ИСПДн и попыток взлома системы защиты ИСПДн путем применения специальных средств.
5.1.6. Вносить свои предложения по совершенствованию мер защиты в ИСПДн.
5.2. Администратор несет ответственность за:
5.2.1. Реализацию утвержденных в Организации документов, регламентирующих порядок обеспечения безопасности персональных данных.
5.2.2. Программно - технические и криптографические средства защиты информации, средства вычислительной техники, информационно - вычислительные комплексы, сети и автоматизированные системы обработки информации, закрепленные за ним приказом руководителя Организации и за качество проводимых им работ по обеспечению защиты персональных данных в соответствии с функциональными обязанностями.
5.2.3. Разглашение персональных данных и сведений ограниченного распространения, ставших известными ему при выполнении функциональных обязанностей.
5.2.4. Качество и последствия проводимых им работ по контролю действий пользователей при работе в ИСПДн.
6. Организация учета лиц, допущенных к работе с персональными данными
6.1. Администратор безопасности предоставляет пользователям доступ к персональным данным по списку пользователей, допущенных к работе с персональными данными в ИСПДн. Список пользователей ведется в специальном журнале учета (Приложение 1).
6.2. На основании списка Администратор безопасности разрабатывает таблицу разграничения доступа к персональным данным в ИСПДн (далее матрицу доступа).
6.3. Матрица доступа (Приложение 2) составляется как на электронном, так и на бумажном носителях. На бумажном носителе матрица доступа составляется в двух экземплярах: подлинник (контрольный экземпляр) и рабочий экземпляр.
6.4. Администратор безопасности на основании матрицы доступа предоставляет пользователям доступ к информационным ресурсам ИСПДн. Проверяет на ПЭВМ пользователя заданные возможности доступа и выдает пользователю под расписку в соответствующем журнале учета его персональный идентификатор.
6.5. Администратор безопасности, обеспечивающий эксплуатацию комплекса средств автоматизации, иные пользователи, допущенные к персональным данным, имеют право предоставлять такие сведения только руководителю Организации, а также лицам, имеющим право получать указанные сведения в соответствии с настоящей Инструкцией, соответствующими федеральными законами и другими нормативно-правовыми актами. Передавать проверяющим организациям сами персональные данные запрещается. Проверяться должны только документы, описывающие защиту.
|
