Утверждена приказом
Овюрского районного суда
Республики Тыва
№ 01-03-06 от 02.06.2016
ИНСТРУКЦИЯ
администратора информационной безопасности информационных систем персональных данных
Овюрского районного суда Республики Тыва
1. Общие положения
1.1. Администратор информационной безопасности информационных систем персональных данных (далее - АИБ, Администратор ИБ ИСПДн) назначается приказом председателя Овюрского районного суда Республики Тыва (далее – объект автоматизации) и функционально подчиняется ответственному за обеспечение безопасности и обработку персональных данных объекта автоматизации. Он руководствуется требованиями нормативных документов Российской Федерации, организационно-распорядительных документов, нормативных актов объекта автоматизации, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся.
1.2. Администратор информационной безопасности ИСПДн в пределах своих функциональных обязанностей обеспечивает работоспособность ИСПДн, безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники (СВТ) в ИСПДн.
1.3. Работники объекта автоматизации, задействованные в обеспечении функционирования ИСПДн, могут быть ознакомлены с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
2. Обязанности администратора ИБ ИСПДн
2.1. Администратор информационной безопасности ИСПДн обязан:
- знать перечень установленных в подразделении СВТ и перечень задач, решаемых с их использованием;
- осуществлять контроль изменений (в том числе и несанкционированных) аппаратного обеспечения АРМ и серверов;
- устанавливать и настраивать средства защиты информации, а также выполнять другие возложенные на него работы в соответствии с распорядительными, инструктивными и методическими материалами в части, его касающейся;
- рассматривать целесообразность применения новых технологий для повышения эффективности функционирования ИСПДн и представлять результаты анализа руководителю объекта автоматизации на утверждение;
- выполнять своевременное обновление средств защиты персональных данных (ПДн) по мере появления таких обновлений;
- обеспечивать контроль за выполнением пользователями требований «Инструкции пользователя ИСПДн»;
- осуществлять контроль работы пользователей ИСПДн, выявление попыток НСД к защищаемым информационным ресурсам и техническим средствам ИСПДн. При выявлении фактов несанкционированного доступа – фиксировать данные у «Журнале учета нештатных ситуаций»;
- осуществлять настройку средств защиты, выполнять другие действия по изменению элементов ИСПДн;
- осуществлять учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в «Журнале учета носителей персональных данных». Учтенные носители информации выдавать пользователям под подпись в «Журнале учета выдачи электронных носителей персональных данных». Использование неучтенных носителей ПДн, равно как их выдача/прием без записи в соответствующем журнале, категорически запрещается;
- осуществлять текущий и периодический контроль работы средств и систем защиты информации;
- осуществлять текущий контроль технологического процесса обработки защищаемой информации;
- периодически осуществлять тестирование всех функций системы защиты с помощью тестовых программ, имитирующих попытки НСД, а также при изменении программной среды и персонала ИСПДн;
- участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;
- участвовать в проведении работ по восстановлению работоспособности средств и систем защиты информации;
- вести «Журнал учета нештатных ситуаций», учитывать факты вскрытия и опечатывания персональных электронно-вычислительных машин (ПЭВМ), выполнения профилактических работ, установки и модификации аппаратных и программных средств ПЭВМ;
- проводить обучение персонала и пользователей вычислительной техники правилам работы с СВТ и средствами защиты информации с отметкой в «Журнале учета инструктажей по вопросам защиты» по следующим вопросам:
· антивирусная защита при работе в информационных системах персональных данных;
· порядок парольной защиты при работе в информационных системах персональных данных;
- участвовать в разработке нормативных и методических материалов, связанных с функционированием СВТ и применением средств защиты информации, выполнением мероприятий по обеспечению защиты информации;
- в случае возникновения нештатных ситуаций (сбоев в работе ПОБИ) немедленно докладывать ответственному за обеспечение безопасности и обработки ПДн;
- рассматривать заявки пользователей на доступ к информационным ресурсам ИСПДн пользователей;
- осуществлять контроль технологических процессов обработки защищаемой информации;
- разрабатывать предложения по изменению нормативных документов, регламентирующих процессы обработки и обеспечения безопасности персональных данных объекта автоматизации ГАС «Правосудие»;
- осуществлять совместно с Ответственным за обеспечение ИБ периодические проверки состояния защиты персональных данных (в соответствии с утвержденным «Планом внутренних проверок состояния защиты персональных данных» и «Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»);
- участвовать в качестве члена комиссиях по:
· проведению классификации информационных систем персональных данных объекта автоматизации ГАС «Правосудие»;
· установлению уровней защищенности информационных систем персональных данных объекта автоматизации ГАС «Правосудие»;
· уничтожению персональных данных;
· контролю защищенности персональных данных объекта автоматизации ГАС «Правосудие»;
- вести учет всех средств защиты информации и технической документации к ним, используемых на объекте автоматизации ГАС «Правосудие» в «Журнале поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»;
- вести учет всех средств криптографической защиты, установленные на АРМ пользователей, а также техническую и ключевую информацию к ним в «Журнале поэкземплярного учета средств криптографической защиты информации (для обладателя конфиденциальной информации)» при их наличии на объекте автоматизации;
- оказывать помощь в разработке Администратору ИСПДн и согласовывать перечень информационных ресурсов ИСПДн, подлежащих резервному копированию, а также осуществлять контроль выполнения резервного копирования информационных ресурсов Администратором ИСПДн;
- осуществлять надежное хранение резервных копий;
- осуществлять контроль действий пользователей ИСПДн объекта автоматизации по работе с паролями;
- осуществлять мониторинг журналов средств защиты информации в соответствии с «Порядком контроля журналов аудита ОС, СУБД и средств защиты информации»;
- оказывать помощь Ответственному за обеспечение безопасности и обработку персональных данных объекта автоматизации ГАС «Правосудие» в других вопросах, касающихся обеспечения безопасности и обработки персональных данных на объекте автоматизации ГАС «Правосудие»;
- при работе с ИСПДн руководствоваться эксплуатационной документацией на программные изделия (перечень эксплуатационной документации представлен в таблице ).
Таблица 1 – Перечень эксплуатационной документации на ИСПДн
№ № п/п
|
Наименование ИСПДн
|
Обозначение документа
|
Наименование документа
|
1
|
ПИ Кадры-П
|
ИРЦВ. 80378-04 31 01
|
Описание применения
|
ИРЦВ. 80378-04 91 01
|
Руководство системного технолога
|
ИРЦВ. 80378-04 92 01
|
Руководство администратора
|
2
|
ПИ БСР
|
ИРЦВ. 80382-05 31 01
|
Описание применения
|
3
|
ПИ ИП
|
ИРЦВ.80395-07 31 01-1
|
Описание применения
|
4
|
ПИ ОО
|
ИРЦВ. 80373-06 31 01
|
Описание применения
|
5
|
ПИ СО
|
ИРЦВ. 80398-03 31 01
|
Описание применения
|
6
|
ПИ Документооборот
|
ИРЦВ. 80384-01 31 01
|
Описание применения
|
ИРЦВ.80384-03 91 01-1
|
Руководство системного технолога. Часть 1
|
ИРЦВ.80384-03 91 01-2
|
Руководство системного технолога. Часть 2
|
ИРЦВ.80384-03 91 01-3
|
Руководство системного технолога. Часть 3
|
ИРЦВ.80384-03 92 01
|
Руководство администратора
|
7
|
ПИ Архивное дело1[1]
|
ИРЦВ. 80406-02 31 01
|
Описание применения
|
ИРЦВ.80406-02 91 01
|
Руководство системного технолога
|
ИРЦВ. 80406-02 92 01
|
Руководство администратора
|
8
|
ПИ ИСП
|
ИРЦВ.80394-03 31 01
|
Описание применения.
|
9
|
ПИ Право
|
ИРЦВ.80375-02 31 01
|
Описание применения
|
10
|
ПИ МС
|
ВАЕТ.00004-01 31 01
|
Описание применения
|
11
|
ПИ СДП
|
ИРЦВ. 80379-06 31 01
|
Описание применения
|
12
|
ПИ СК
|
ВАЕТ.00002-05 31 01
|
Описание применения
|
13
|
ПИ Судимость
|
ВАЕТ. 80381-05 31 01
|
Описание применения
|
14
|
ПИ ИК
|
ИРЦВ.80401-02 31 01
|
Описание применения
|
3. Права администратора ИБ ИСПДн
3.1. Администратор ИБ ИСПДн имеет право:
- отключать любые элементы ПОБИ при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей в установленном порядке;
- в установленном порядке изменять конфигурацию элементов ИСПДн и ПОБИ;
- требовать от работников объекта автоматизации соблюдения правил работы в ИСПДн, приведенных в «Инструкции пользователя ИСПДн»;
- требовать от пользователей безусловного соблюдения установленной технологии обработки защищаемой информации и выполнения требований внутренних документов объекта автоматизации, регламентирующих вопросы обеспечения безопасности и защиты информации;
- обращаться к ответственному за обеспечение безопасности и обработки ПДн с требованием о прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации;
- вносить свои предложения по совершенствованию функционирования ИСПДн;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения ИБ в ИСПДн.
4. Ответственность администратора ИБ ИСПДн
4.1. Администратор информационной безопасности ИСПДн несет ответственность:
- за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими инструктивными документами в соответствии с действующим законодательством Российской Федерации, трудовым законодательством Российской Федерации, за полноту и качество проводимых им работ по обеспечению защиты информации;
- за правонарушения, совершенные в процессе своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
- за разглашение сведений конфиденциального характера и другой защищаемой информации объекта автоматизации в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
5. Порядок пересмотра инструкции
5.1. Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн, приводящих к существенным изменениям технологии обработки информации.
5.2. Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности и обработки ПДн объекта автоматизации.
5.3. Полный пересмотр данного документа проводится ответственным за обеспечение безопасности и обработки ПДн объекта автоматизации с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн.
5.4. Все изменения вносятся в лист регистрации изменений в Инструкции, форма которого представлена в Приложении 1.
5.5. Вносимые изменения не должны противоречить другим положениям Инструкции.
6. Ответственные за контроль выполнения инструкции
6.1. Ответственным за контроль выполнения требований данной Инструкции является ответственный за обеспечение безопасности и обработки ПДн.
|