|
УТВЕРЖДАЮ
Ректор
|
|
ФГБОУ ВПО ЮРГПУ (НПИ)
имени М.И. Платова
|
|
_______________________ В.Г. Передерий
|
|
"___"___________ 2014 г.
|
СБОРНИК ИНСТРУКЦИЙ
по обеспечению безопасности персональных данных
в ФГБОУ ВПО ЮРГПУ (НПИ) имени М.И. Платова
Новочеркасск,
2014
Перечень сокращений используемых в инструкциях
Администратор БИ
|
– Администратор безопасности информации
|
АвС
|
– Антивирусные средства
|
АРМ
|
– Автоматизированное рабочее место
|
АС
|
– Автоматизированная система
|
ЗИ
|
– Защита информации
|
ИСПДн
|
– Информационная система персональных данных
|
ЛВС
|
– Локальная вычислительная сеть
|
МНИ
|
– Машинный носитель информации
|
НСД
|
– Несанкционированный доступ
|
ОС
|
– Операционная система
|
Ответственный за ПДн
|
– Ответственный за организацию обработки персональных данных
|
ОТСС
|
– Основные технические средства и системы (тех. средства
и системы, предназначенные для обработки ПДн).
|
ПДн
ПО
|
– Персональные данные
– Программное обеспечение
|
СВТ
|
– Средства вычислительной техники
|
СЗИ
|
– Средство защиты информации
|
СКЗИ
|
– Средство криптографической защиты информации
|
СПО
|
– Специальное программное обеспечение
|
Университет
|
– ФГБОУ ВПО ЮРГПУ (НПИ) имени М.И. Платова
|
ФСБ России
|
– Федеральная служба безопасности Российской Федерации
|
ФСТЭК России
|
– Федеральная служба по техническому и экспортному контролю России
|
ЭП
|
– Электронная подпись
|
Перечень инструкций, включенных в настоящий сборник
Инструкция ответственному за ПДн в ИСПДн.
Инструкция Администратору БИ.
Инструкция пользователю по общему порядку работы.
Инструкция по организации парольной защиты.
Инструкция пользователю при действиях в нештатных ситуациях.
Инструкция Администратору БИ при возникновении неисправностей СВТ.
Инструкция по организации антивирусной защиты АС.
Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы.
Инструкция по уничтожению носителей персональных данных
Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств.
Приложение 1 – Форма журнала регистрации нештатных ситуаций.
Лист регистрации изменений и дополнений.
Лист ознакомления с инструкциями.
ИНСТРУКЦИЯ
ответственному за ПДн в ИСПДн
Настоящая инструкция определяет права и обязанности ответственного
за ПДн.
Ответственный за ПДн назначается приказом Ректора Университета, из числа сотрудников Университета, имеющих разрешение на доступ ко всем ПДн, обрабатываемым работниками Университета.
Настоящая инструкция корректируется и дополняется установленным порядком.
В своей деятельности ответственный за ПДн:
руководствуется:
Федеральным законом "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ;
Федеральным законом "О персональных данных" от 27.07.2006
№ 152-ФЗ;
Постановление Правительства Российской Федерации от 01.11.2012
№ 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
Приказ ФСТЭК от 18.02.2013 № 21 "Об утверждении Состава
и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
Приказ ФСТЭК России от 31.05.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
постановлениями Правительства РФ;
нормативными документами ФСБ России, ФСТЭК России по защите информации;
приказами (распоряжениями, и т.п.) Ректора Университета;
эксплуатационно-технической документацией на ИСПДн.
отвечает:
за организацию проведения аттестационных испытаний на ИСПДн;
за неизменность состава, структуры и конфигурации аттестованной
по требованиям безопасности ИСПДн;
за предотвращение утечки информации по техническим каналам
и НСД к ней;
за предупреждение преднамеренных воздействий с целью разрушения информации, нарушения режима конфиденциальности информации;
за обеспечение эффективного управления системой защиты информации ИСПДн;
за разработку предложений по организации защиты информации
и их реализацию;
за организацию и своевременность проведения контроля состояния
и эффективности средств и мер защиты.
организует:
работу пользователей ИСПДн с привлечением, при необходимости Администратора БИ;
работу сотрудников Университета в соответствии с требованиями законодательства РФ в области защиты ПДн;
эксплуатацию ИСПДн в соответствии с утвержденной Ректором Университета организационно-распорядительной, нормативной и эксплуатационно-технической документацией;
прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
при обнаружении нарушений системы защиты информации обязан:
принять меры по устранению нарушения;
принять меры с целью недопущения нарушений в дальнейшем;
контролировать ход устранения нарушения.
допускает установленным порядком к работе в ИСПДн Администратора БИ и пользователей.
разрабатывает, согласовывает и представляет Ректору Университета для утверждения организационно-распорядительную, нормативную документацию на объект, доводит ее до подчиненных, в части их касающейся.
планирует осуществление периодического контроля эффективности принятых в ИСПДн организационных и технических мер по защите информации, организует выполнение контрольных мероприятий.
осуществляет допуск установленным порядком для проведения работ
и (или) оказания услуг, связанных с защитой информации представителей организаций, имеющих соответствующие лицензии ФСТЭК, ФСБ России.
планирует, разрабатывает (при необходимости) предложения
по совершенствованию и (или) модернизации информационной системы, согласовывает с органом по аттестации возможность, порядок и сроки проведения работ.
ИНСТРУКЦИЯ
Администратору безопасности информации
Общие положения
Администратор БИ Университета организует выполнение мероприятий по защите информации в ИСПДн, обеспечивает контроль за соблюдением технологии обработки ПДн, выполняет и контролирует настройку полномочий доступа пользователей к сервисам ИСПДн. Администратор БИ ведет поэкземплярный учет СКЗИ (при использовании в ИСПДн таких средств).
Администратор БИ назначается приказом по Университету из числа сотрудников Университета, имеющих разрешение на доступ ко всей информации, обрабатываемой сотрудниками Университета в ИСПДн.
В практической деятельности Администратор БИ руководствуется:
Федеральным законом "Об информации, информационных технологиях
и о защите информации" от 27.07.2006 № 149-ФЗ;
Федеральным законом "О персональных данных" от 27.07.2006
№ 152-ФЗ;
Постановление Правительства Российской Федерации от 01.11.2012
№ 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
Приказ ФСТЭК от 18.02.2013 № 21 "Об утверждении Состава
и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
Приказ ФСТЭК от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных";
постановлениями Правительства РФ;
нормативными документами ФСБ России, ФСТЭК России по защите информации;
эксплуатационно-технической документацией на объекты информатизации Университета;
техническим паспортом ИСПДн;
-
приказами (распоряжениями, и т.п.) Ректора Университета;
"Руководством администратора" (при наличии) из комплекта документации на ИСПДн;
настоящей Инструкцией.
Настоящая инструкция корректируется и дополняется установленным порядком.
Функции администратора БИ
Основными функциями Администратора БИ являются:
Организация работ по предотвращению НСД лиц к защищаемой информации.
Выявление возможных каналов утечки защищаемой информации
в процессе деятельности организации и функционирования ИСПДн, внесение предложений по их закрытию.
Обеспечение режима конфиденциальности при автоматизированной обработке защищаемой информации в ИСПДн.
Установка, настройка и поддержание в исправном состоянии технических и программных средств ИСПДн.
Регистрация пользователей в системе с присвоением каждому из них полномочий по доступу к сервисам ИСПДн, изменение полномочий в случае необходимости для выполнения ими своих функциональных обязанностей.
Выполнение работ по расширению ИСПДн в Университете.
Ведение Журнала регистрации нештатных ситуаций, анализ его содержимого. Форма журнала приведена в Приложении 1 к сборнику инструкций.
Обязанности Администратора БИ
Администратор БИ обязан:
Выполнять требования действующих нормативных и руководящих документов ФСТЭК России, а также внутренних инструкций и распоряжений, регламентирующих порядок действий по ЗИ.
Совместно с ответственным за ПДн организовывать разработку
и обеспечивать проведение мероприятий по ЗИ при ее обработке в ИСПДн.
Обеспечивать сохранность эталонных вариантов общесистемного, прикладного и специального ПО ИСПДн.
В случаях неисправности СВТ, выявления попыток НСД к защищаемой информации, либо обнаружения следов вскрытия СВТ, входящих в ИСПДн - немедленно прекратить работу с использованием скомпрометированного СВТ, ограничить доступ в помещение и поставить в известность ответственного за ПДн
и действовать в соответствии с его распоряжениями.
В случае выявления каких-либо неквалифицированных действий пользователей, не несущих в себе угроз для безопасности информации, поставить
в известность ответственного за ПДн, временно заблокировать возможность работы этого пользователя и организовать с ними дополнительные занятия (инструктирование).
Производить настройку полномочий пользователей ИСПДн
в соответствии с заявками. Присваивать учетной записи пользователя персональный идентификатор (наименование учетной записи пользователя) и текущий пароль. Сообщать их пользователю;
Регулярно, не реже 1 раза в квартал, ознакомлять с результатами администрирования ответственного за ПДн.
Регулярно производить смену личного пароля доступа в соответствии
с "Инструкцией по парольной защите".
При увольнении или переводе пользователей в другие подразделения оперативно изменять учетные реквизиты защиты пользователей: пароли, идентификаторы (если это необходимо).
При необходимости оказывать консультации пользователям ИСПДн;
В случае возникновения каких-либо нештатных ситуаций действовать в соответствии с инструкцией по действиям в нештатных ситуациях.
При работе с криптосредствами (при использовании в ИСПДн таких средств) выполнять требования инструкции Администратору БИ при работе с криптосредствами.
В случае выхода из строя СВТ ИСПДн производить мероприятия
по восстановлению работоспособности СВТ. Восстановление работоспособности СВТ производится в соответствии с "Инструкцией Администратору БИ при возникновении неисправностей СВТ".
Внесение в ИСПДн новых СВТ производится в соответствии
с "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств".
-
Требования к действиям Администратора БИ при работе:
Обработка защищаемой информации Администратором БИ при выполнении им функций по администрированию ИСПДн строго запрещается.
Обработка защищаемой информации Администратором БИ должна осуществляться с использованием отдельных учетных реквизитов (персональной учетной записи и индивидуального пароля с пользовательскими привилегиями).
-
Общий порядок работы Администратора БИ должен включать в себя следующие действия:
Включить СВТ, убедиться в исправности и нормальном функционировании. Войти в систему с привилегиями администратора.
Выполнить работу по администрированию.
Выключить СВТ.
Запрещается:
передавать (сообщать каким-либо образом) кому-либо свой персональный идентификатор и пароль доступа, за исключением случая приема - передачи обязанностей Администратора БИ другому лицу, в соответствии с приказом
по Университету;
оставлять работающие печатающие устройства и рабочее место, без присмотра;
оставлять включенным СВТ, не заблокировав доступ к консоли.
-
При регистрации нового пользователя и настройки полномочий пользователей Администратор БИ обязан:
Осуществлять допуск (регистрацию) нового пользователя ИСПДн
в соответствии с "Инструкцией по внесению изменений в списки пользователей
и наделению их полномочиями доступа к ресурсам ИСПДн".
Создать нового пользователя и зарегистрировать его персональный идентификатор (при использовании идентификаторов).
Установить полномочия пользователя. Настроить доступ пользователя к службам ИСПДн, используя механизм назначения ролей.
Сообщить пользователю его личный идентификатор и пароль.
ИНСТРУКЦИЯ
пользователю по общему порядку работы
-
Общие положения
Пользователем ИСПДн является сотрудник, допущенный к обработке ПДн приказом Ректора Университета. В части эксплуатации ИСПДн он подчиняется Администратору БИ.
К самостоятельной работе в ИСПДн допускаются пользователи, ознакомившиеся с требованиями настоящего сборника инструкций
-
В практической деятельности пользователь ИСПДн руководствуется:
Федеральным законом "Об информации, информационных технологиях
и о защите информации" от 27.07.2006 № 149-ФЗ;
Федеральным законом "О персональных данных" от 27.07.2006
№ 152-ФЗ;
Постановление Правительства Российской Федерации от 01.11.2012
№ 1119 "Об утверждении требований к защите персональных данных при
их обработке в информационных системах персональных данных";
Приказ ФСТЭК от 18.02.2013 № 21 "Об утверждении Состава
и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
Приказ ФСТЭК от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных";
эксплуатационно-технической документацией на ИСПДн;
приказами (распоряжениями, и т.п.) Ректора Университета по вопросам защиты информации;
инструкцией пользователя средств защиты информации;
настоящей Инструкцией.
Инструкция корректируется и дополняется установленным порядком.
-
Функции пользователя
Выполнение действий, препятствующих НСД к защищаемой информации со стороны сотрудников Университета не допущенных к обработке ПДн и посторонних лиц.
Обеспечение режима конфиденциальности при автоматизированной обработке защищаемой информации в ИСПДн.
Автоматизированная обработка защищаемой информации
в соответствии с выполняемыми должностными обязанностями.
-
Обязанности пользователя ИСПДн
Знать и выполнять требования внутренних инструкций, распоряжений, регламентирующих порядок действий по защите ПДн.
-
В случае выявления попыток НСД к защищаемой информации, либо обнаружения следов вскрытия СВТ, немедленно прекратить работу в ИСПДн, ограничить доступ в помещение, поставить в известность Администратора БИ
и ответственного за ПДн и действовать в соответствии с их распоряжениями.
При выявлении отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ сообщить администратору БИ;
Осуществлять доступ к АС используя только свою учетную запись и пароль.
Во время работы следить за тем, чтобы посторонние лица не могли прочесть информацию, отображаемую на экране монитора и выводимую на принтер.
Производить смену пароля в соответствии с инструкцией по парольной защите АС.
Хранить носители ключевой информации в металлических сейфах (шкафах) или запираемых тумбах.
-
Порядок действий пользователя при работе
Работа с сервисами информационной системы осуществляется
в соответствии с "Руководством пользователя" (при наличии) на соответствующие сервисы.
Убедиться в целостности и сохранности используемых СВТ.
Включить СВТ, убедиться в исправности и нормальном функционировании.
Выполнить работу согласно должностных обязанностей.
Выключить СВТ.
Запрещается:
передавать (сообщать) кому-либо свой персональный идентификатор (имя пользователя) и пароль;
оставлять работающие печатающие устройства и рабочее место, без присмотра;
использовать компоненты программного и аппаратного обеспечения АС в неслужебных целях;
при отсутствии на рабочем месте оставлять включенным СВТ, не заблокировав доступ к консоли;
выполнять операции, не предусмотренные должностными инструкциями;
самостоятельно выполнять ремонтные работы составных частей АРМ и/или периферийного оборудования, либо привлекать для этого посторонних лиц.
-
Требования к работе с носителями ЭП:
В нерабочее время хранить носитель ЭП необходимо в надежно запираемом ящике (тумбе).
Запрещается передавать носители ЭП иным лицам без письменного распоряжения Ректора Университета.
ИНСТРУКЦИЯ
по организации парольной защиты
|