Приложение 2
к приказу № ____ от "___" __________ 20__ г.
ИНСТРУКЦИЯ
ЛИЦА, ОТВЕТСТВЕННОГО ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Инструкция определяет обязанности должностного лица, ответственным за обеспечение безопасности обработки персональных данных (ПДн) (далее – ответственный за ПДн), обрабатываемой в информационных системах ПДн (ИСПДн) и на материальных носителях в Университете.
1.2. Ответственный за ПДн назначается приказом ректора из числа подготовленных работников Университета.
1.3. Ответственный за ПДн подчиняется ректору.
1.4. Ответственный за ПДн отвечает за поддержание установленного уровня безопасности ПДн при их обработке и хранении в Университете.
1.5. Ответственный за ПДн осуществляет методическое руководство деятельностью работников Университета, имеющих доступ к ПДн в вопросах обеспечения безопасности информации.
1.6. Требования ответственного за ПДн, связанные с выполнением им своих обязанностей, обязательны для исполнения всеми работниками Университета, имеющими доступ к ПДн.
1.7. Ответственный за ПДн несет персональную ответственность за качество проводимых им работ по контролю действий работников Университета, имеющих доступ к ПДн.
2. ЗАДАЧИ ЛИЦА, ОТВЕТСТВЕННОГО ЗА ПДн.
2.1. Основными задачами ответственного за ПДн являются:
- поддержание необходимого уровня защиты ИСПДн Университета от несанкционированного доступа (НСД) к информации;
- обеспечение и поддержание необходимого уровня защиты ПДн на материальных носителях;
- обеспечение конфиденциальности обрабатываемой, хранимой и передаваемой информации;
- установка средств защиты информации и контроль выполнения правил их эксплуатации;
- сопровождение средств защиты информации (СЗИ) от НСД и основных технических средств и систем (ОТСС) ИСПДн Университета;
- периодическое обновление СЗИ и комплекса мероприятий по предотвращению инцидентов ИБ;
- оперативное реагирование на нарушения требований по ИБ в ИСПДн Университета и участие в их прекращении.
2.2. В рамках выполнения основных задач ответственный за ПДн осуществляет:
- текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических СЗИ;
- текущий контроль технологического процесса автоматизированной обработки ПДн;
- текущий контроль процесса обработки ПДн на материальных носителях;
- участие в проведении служебных расследований фактов нарушений или угрозы нарушений безопасности ПДн;
- контроль соблюдения нормативных требований по защите информации, обеспечения комплексного использования технических средств, методов и организационных мероприятий по безопасности информации в структурных подразделениях Университета;
- методическую помощь работникам Университета.
3. ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Ответственный за ПДн обязан:
3.1. Знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты информации, обрабатываемой в Университете.
3.2. Организовывать и принимать участие в мероприятиях по контролю обеспечения безопасности ПДн Университете.
3.3. Участвовать в приемке новых программных средств обработки информации.
3.4. Обеспечить доступ к защищаемой информации пользователям Университета согласно их правам доступа при получении оформленного соответствующим образом разрешения (заявки).
3.5. Уточнять в установленном порядке обязанности Университета при обработке ПДн.
3.6. Вести контроль осуществления резервного копирования информации.
3.7. Анализировать состояние защиты ПДн Университета.
3.8. Контролировать правильность функционирования средств защиты и хранения информации.
3.9. Контролировать физическую сохранность и безопасность технических средств и материальных носителей обработки информации.
3.10. Контролировать исполнение работниками Университета, имеющими доступ к ПДн введенного режима безопасности, а также правильность работы с элементами ИСПДн и средствами защиты информации.
3.11. Контролировать исполнение пользователями правил парольной политики.
3.12. Вести и периодически анализировать журнал учета событий, регистрируемых средствами защиты, с целью контроля действий пользователей и выявления возможных нарушений.
3.13. Осуществлять периодические контрольные проверки автоматизированных рабочих мест (АРМ) Университета.
3.14. Принимать участие в проведении работ по оценке соответствия законодательству порядок обработки и хранения ПДн в Университете.
3.15. Оказывать помощь работникам Университета в части применения средств защиты ПДн и консультировать по вопросам введенного режима защиты.
3.16. Периодически представлять руководству отчет о состоянии защиты ПДн в Университете и о нештатных ситуациях и допущенных пользователями нарушениях установленных требований по защите информации.
3.17. В случае отказа работоспособности технических средств, программного обеспечения, а также нарушению иных условий обеспечения безопасности ПДн, принимать меры по их своевременному восстановлению и выявлению причин, приведших к нарушениям.
3.18. В случае выявления нарушений режима безопасности ПДн, а также возникновения внештатных и аварийных ситуаций принимать необходимые меры с целью ликвидации их последствий.
4. ПРАВА ОТВЕТСТВЕННОГО ЗА ОБЕСПЕЧЕНИЕ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ответственный за ПДн имеет право:
4.1. Осуществлять контроль информационных потоков ПДн Университета при работе с ИСПДн, корпоративной электронной почтой, съемными носителями информации, материальными носителями.
4.2. Давать работникам обязательные для исполнения указания и рекомендации по вопросам ИБ.
4.3. Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ИСПДн Университета.
4.4. Организовывать и участвовать в любых проверках по использованию пользователями Университета ПДн.
4.5. Вносить на рассмотрение руководства предложения по улучшению состояния ИБ ПДн, обрабатываемых в Университете.
4.6. Осуществлять взаимодействие с руководством и работниками Университета по вопросам обеспечения безопасности ПДн.
4.7. Запрещать устанавливать на серверах и автоматизированных рабочих местах нештатное программное и аппаратное обеспечение, а также копирование материальных источников ПДн.
4.8. Запрашивать и получать работников и структурных подразделений Университета информацию и материалы, необходимые для организации своей работы.
5. ДЕЙСТВИЯ ОТВЕТСТВЕННОГО ЗА ОБЕСПЕЧЕНИЕ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОБНАРУЖЕНИИ
ПОПЫТОК НСД
5.1. К попыткам НСД относятся:
- сеансы работы с информационными ресурсами незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции доступа к определенным данным или манипулирования ими;
- действия третьего лица, пытающегося получить доступ (или получившего доступ) к информационным ресурсам Университета с использованием учетной записи администратора или другого пользователя в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи;
- доступ работников Университета или третьих лиц к материальным носителям, содержащие ПДн, а также копирование таких носителей полностью или частично.
5.2. При выявлении факта/попытки НСД ответственный за ПДн обязан:
- прекратить доступ к информационным ресурсам со стороны выявленного участка НСД:
- доложить ректору и руководству соответствующего структурного подразделения о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;
- проанализировать характер НСД;
- по решению ректора осуществить действия по выяснению причин, приведших к НСД;
- предпринять меры по предотвращению подобных инцидентов в дальнейшем.
6. ОТВЕТСТВЕННОСТЬ ОТВЕТСТВЕННОГО ЗА ОБЕСПЕЧЕНИЕ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ответственный за ПДн несет ответственность, предусмотренную законодательством:
6.1. За организацию защиты информационных ресурсов, технических средств и материальных носителей, содержащих ПДн в Университете.
6.2. За качество проводимых работ по контролю действий работников, имеющих доступ к ПДн, состояние и поддержание необходимого уровня защиты информационных и технических ресурсов ПДн Университета.
6.3. За разглашение сведений ограниченного доступа (коммерческая тайна, персональные данные и иная защищаемая информация), ставших известными ему в связи с осуществлением обязанностей ответственного за ПДн.
Начальник юридического управления Е.И. Маценко
|