|
Администрация Большемурашкинского муниципального района (Приемная):
8 (83167)5-15-37
Единая дежурно-диспетчерская служба Большемурашкинского муниципального района:
8 (83167) 5-01-00
Пункт полиции (дислокация р.п.Большое Мурашкино) МО МВД России "Княгининский":
8 (83167) 5-12-41, 02
МФЦ:
8 (83167)5-11-06
«Телефон доверия» ГУМВД России по Нижегородской области :
(831)268-23-32
Единый сигнал гражданской обороны «Внимание всем!»
ОЦЕНКА РЕГУЛИРУЮЩЕГО ВОЗДЕЙСТВИЯ (ОРВ)
В чем разница между газификацией и догазификацией?
Телефон горячей линии центра "Мой бизнес" Нижегородской области 8-800-301-29-94
Страховые представители (видеоролик ФФОМС)
Администрация
Большемурашкинского муниципального района
Нижегородской области
РАСПОРЯЖЕНИЕ
29.04.2020г. № 64-р
О принятии мер по обеспечению безопасности информации
ограниченного доступа, не отнесенной к государственной тайне
В целях обеспечения безопасности процессов обработки информации ограниченного доступа, не отнесенной к государственной тайне, в Системе-112 администрации Большемурашкинского муниципального района, руководствуясь требованиями действующего законодательства об особенностях обработки и защиты указанной информации:
Глава местного самоуправления
Большемурашкинского муниципального района Н.А.Беляков
Заместитель главы администрации Д.А.Макаров
И. о. управляющего делами, начальник сектора правовой,
организационной, кадровой работы и информационного обеспечения Г.М.Лазарева
Начальник отдела по вопросам ГО, предупреждения ЧС, мобилизационной
подготовки и Единой дежурной диспетчерской службы А.В.Шохов
|
|
УТВЕРЖДЕНО Распоряжением администрации Большемурашкинского муниципального района _________ №______ |
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА
(далее – Положение)
1.1. Настоящее Положение определяет (уточняет) основные правила обработки и обеспечения безопасности информации ограниченного доступа (распространения), не отнесенной к государственной тайне (далее – информация ограниченного доступа), в администрации Большемурашкинского муниципального района (далее – администрация), а также раскрывает Политику в отношении обработки и защиты персональных данных, утвержденную администрацией.
1.2. Действие настоящего Положения распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с информацией ограниченного доступа с использованием средств вычислительной техники (автоматизации) или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.3. Настоящее Положение является обязательным для исполнения всеми сотрудниками администрации, в т.ч. сотрудниками, имеющими доступ к информации ограниченного доступа.
К информации ограниченного доступа относятся:
1) персональные данные сотрудников администрации, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, а также персональные данные иных субъектов, чьи данные обрабатываются в администрации;
2) служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна): сведения, содержащиеся в обрабатываемых документах с пометкой «Для служебного пользования», в части не содержащей сведения, составляющие государственную тайну;
3) сведения ограниченного доступа, образующиеся в деятельности администрации и ограничение на распространение которых определяется служебной необходимостью и (или) требованиями действующего законодательства (за исключением сведений, которые не могут быть отнесены к информации ограниченного распространения):
4) сведения ограниченного доступа, обрабатываемые в ИС и ограничение на распространение которых определяется служебной необходимостью и (или) требованиями действующего законодательства;
5) сведения ограниченного доступа, ограничение на распространение которых наложено другими лицами (организациями) и обрабатываемые в администрации.
III. Конфиденциальность
3.1. К информации ограниченного доступа применяется режим соблюдения ее конфиденциальности.
3.2. Все документы и сведения, содержащие информацию ограниченного доступа, являются конфиденциальными. Меры конфиденциальности распространяются на материальные носители, содержащие информацию ограниченного доступа.
3.3. Режим конфиденциальности персональных данных снимается в случае их обезличивания и по истечении срока их хранения, и не действует в отношении общедоступных персональных данных.
4.1. Обработка и защита информации ограниченного доступа в администрации осуществляется в соответствии с требованиями действующего законодательства.
4.2. Администрация при обработке информации ограниченного доступа принимает необходимые правовые, организационные и технические меры ее защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении нее, что в совокупности представляет собой систему защиты, направленную на обеспечение и поддержание требуемого уровня безопасности информации.
4.3. В целях обеспечения безопасности информации ограниченного доступа защите подлежат информационные (автоматизированные) системы, содержащие защищаемую информацию, информационно-телекоммуникационные сети, используемые для передачи защищаемой информации, инженерная и информационно-телекоммуникационная инфраструктура (ИТ-инфраструктура) и помещения, задействованные в процессах обработки и хранения защищаемой информации, носители защищаемой информации и объекты хранения таких носителей, а также средства изготовления и размножения защищаемых документов.
4.4. В администрации для всех лиц, участвующих в обработке или обеспечении безопасности информации ограниченного доступа, обеспечен доступ к актуальным версиям организационно-распорядительных документов администрации, регулирующих вопрос обработки или защиты указанной информации.
4.5. Администрацией проводится внутренний контроль (аудит) выполнения в администрации требований надлежащей обработки и зашиты информации ограниченного доступа с целью определения соответствия обработки такой информации требованиям установленных норм и правил, и оценки эффективности применяемых мер. Внутренний контроль (аудит) осуществляется на плановой и (или) внеплановой основах. В части контроля обработки и зашиты персональных данных применяются Правила проведения мероприятий по внутреннему контролю обработки и защиты персональных данных, утвержденные администрацией.
4.6. Создание, модернизация и ликвидация ИС проводятся в соответствии с требованиями действующего законодательства подразделением администрации, занимающимся ее созданием (модернизацией, внедрением). В случае ликвидации проводятся мероприятия по уничтожению или передаче (если необходимо) информации в другие системы, на другие носители информации.
4.7. В ИС используются СрЗИ, прошедшие процедуру оценки соответствия (сертификацию) требованиям действующего законодательства в области защиты информации.
4.8. Базы данных информации ограниченного доступа размещаются администрацией на технических (вычислительных) площадках, находящихся на территории Российской Федерации.
4.9. Перед началом обработки информации ограниченного доступа сотрудники администрации, работающие с такой информацией (имеющие доступ):
1) проходят инструктаж (обучение) правилам обработки и защиты информации ограниченного доступа в администрации, знакомятся с действующим законодательством и организационно-распорядительными документами администрации, регламентирующими данный вопрос. Инструктаж проводится уполномоченными сотрудниками администрации в рамках компетенции (полномочий) при: приеме на работу, переводе на другую должность, изменении функционала; изменении законодательства и правовых актов администрации в области обработки и защиты информации ограниченного доступа; выявлении серьезных нарушений в ходе контрольных проверок; вводе в эксплуатацию новых или модернизации существующих защищаемых ИС / СрЗИ. Обучение в виде повышения квалификации (переподготовки) проводится в случае необходимости глубокого изучения требований действующего законодательства в области обработки и защиты информации ограниченного доступа. Сведения о проведенном инструктаже (обучении) фиксируются в Журнале учета инструктажа и обучения по вопросам обеспечения информационной безопасности, который ведется администрацией;
2) подписывают Соглашение о неразглашении защищаемой информации (Соглашение о неразглашении персональных данных);
3) подписывают Типовое обязательство о прекращении обработки защищаемой информации (Типовое обязательство о прекращении обработки персональных данных), по которому они обязуются прекратить обработку информации ограниченного доступа в случае расторжения с ними служебного контракта (трудового договора).
4.10. Сотрудники администрации, имеющие доступ к информации ограниченного доступа, обязуются:
4.11. При работе с бумажными носителями информации ограниченного доступа сотрудники администрации соблюдают Правила работы с бумажными носителями защищаемой информации, утвержденные администрацией, при работе с машинными носителями информации ограниченного доступа – Правила работы с машинными носителями, Правила работы с техническими средствами и Правила работы со средствами защиты информации, утвержденные администрацией.
4.12. Все сотрудники администрации соблюдают Порядок доступа в помещения и Правила реагирования на инциденты информационной безопасности, утвержденные администрацией.
5.1. Общее руководство, координацию и контроль за выполнением требований надлежащей обработки и защиты информации ограниченного доступа в администрации осуществляет ответственный за организацию защиты информации, не отнесенной к государственной тайне (далее – ответственный за организацию ЗИ), в части персональных данных – ответственный за организацию обработки персональных данных. Ответственный за организацию ЗИ назначается из числа сотрудников администрации, занимающих должность не ниже заместителя руководителя администрации. Ответственный за организацию обработки персональных данных назначается из числа служащих администрации.
5.2. За поддержание безопасного функционирования (защиту) ИС, защиту содержащейся в ней информации, а также за обеспечение безопасности персональных данных (при их обработке в ИС) отвечает администратор безопасности ИС. Администратор назначается из числа сотрудников администрации, которые обладают навыками и знаниями по управлению СрЗИ, предпочтительно – администраторов безопасности ИТ-инфраструктуры администрации. Администратор осуществляет свои функции в соответствии с Инструкцией администратора безопасности информационной системы, утвержденной администрацией.
5.3. За создание / ввод в эксплуатацию / эксплуатацию / модернизацию / вывод из эксплуатации ИС, а также за организацию работы пользователей со специальным программным обеспечением (СПО) ИС, контроль правильной эксплуатации СПО ИС и функционирование ИТ-инфраструктуры (локальной вычислительной сети) администрации, используемой ИС, а также за организацию работы с машинными носителями и техническими средствами администрации, используемыми ИС, и их функционирование отвечает администратор ИС:
1) Администратор ИС, ответственный за функционирование ИТ-инфраструктуры (локальной вычислительной сети) администрации, используемой ИС, а также за организацию работы с машинными носителями и техническими средствами администрации, используемыми ИС, и их функционирование именуется администратором ИС с функциями локального администратора и осуществляет свои функции в соответствии с Инструкцией локального администратора, утвержденной администрацией, в части касающейся. Администратор назначается из числа локальных администраторов администрации;
2) Администратор ИС, ответственный за организацию жизненного цикла ИС, за организацию работы пользователей с СПО ИС и контроль правильной эксплуатации СПО ИС, осуществляет свои функции в соответствии с Инструкцией администратора информационной системы, утвержденной администрацией. Администратор назначается из числа сотрудников администрации, которые непосредственно работают в ИС или в чьем ведении находятся вопросы ее жизненного цикла (использования).
Администратором ИС может быть назначено одно или несколько лиц.
5.4. За функционирование ИТ-инфраструктуры (локальной вычислительной сети) администрации, участвующей в обработке и (или) хранении информации ограниченного доступа (не в рамках ИС), организацию работы с машинными носителями и техническими средствами администрации, применяемыми для работы с защищаемой информацией (не в рамках ИС), и их функционирование отвечает локальный администратор. Администратор назначается из числа сотрудников администрации, которые обладают навыками и знаниями по управлению компьютерным оборудованием. Администратор осуществляет свои функции в соответствии с Инструкцией локального администратора, утвержденной администрацией.
5.5. За поддержание безопасного функционирования (защиту) ИТ-инфраструктуры (локальной вычислительной сети) администрации, участвующей в обработке и (или) хранении информации ограниченного доступа (не в рамках ИС), организацию безопасной работы (защиты) с машинными носителями и техническими средствами администрации, применяемыми для работы с защищаемой информацией (не в рамках ИС), отвечает администратор безопасности ИТ-инфраструктуры администрации. Администратор назначается из числа сотрудников администрации, которые обладают навыками и знаниями по управлению СрЗИ. Администратор осуществляет свои функции в соответствии с Инструкцией администратора безопасности ИТ-инфраструктуры, утвержденной администрацией.
6.1. Доступ к информации ограниченного доступа и ИС предоставляется сотрудникам администрации и третьим лицам, не входящим в штатную структуру администрации, в связи со служебной (производственной) необходимостью, в объеме, необходимом для выполнения ими должностных обязанностей (функций), с соблюдением принципа предоставления минимально необходимых привилегий и при подписании Соглашения о неразглашении защищаемой информации (Соглашения о неразглашении персональных данных), типовая форма которого утверждена администрацией.
6.2. Третьим лицам доступ к информации ограниченного доступа предоставляется при наличии договорных отношений (соглашений) с администрацией, разрешающих (подразумевающих) доступ к информации ограниченного доступа, или в случаях, предусмотренных действующим законодательством, и на ограниченный период времени, который может определяться сроком действия договорных обязательств, если действующим законодательством не установлено иное.
6.3. Факт доступа третьих лиц к персональным данным фиксируется в Журнале учета доступа к персональным данным, который ведется администрацией.
6.4. Факт доступа третьих лиц к ИС фиксируется в Журнале учета доступа к информационным системам, который ведется администрацией.
6.5. Необходимость предоставления, изменения и (или) ликвидации прав доступа (далее – пересмотр прав доступа) сотрудника администрации к информации ограниченного доступа и ИС определяется при его приеме на работу, при изменении его должностных обязанностей (функций) и при его увольнении; необходимость пересмотра прав доступа для третьего лица определяется характером договорных отношений (соглашений) и сроком их действия, а также действующим законодательством.
6.6. Необходимость пересмотра прав доступа к информации ограниченного доступа и ИС определяется и своевременно доводится до уполномоченного сотрудника администрации руководителем структурного подразделения администрации, в чьем подчинении (под чьим контролем) находится сотрудник (третье лицо), которому необходимо пересмотреть права доступа. В части доступа к персональным данным и информационным системам персональных данных – до ответственного за организацию обработки персональных данных, в части доступа к ИС и содержащейся в ней информации – до администратора ИС и администратора безопасности ИС в соответствии с компетенцией. Уполномоченными сотрудниками администрации организуется необходимая работа по пересмотру прав доступа.
6.7. Доступ сотрудника администрации (третьего лица) к информации ограниченного доступа и ИС может быть временно заблокирован на период проведения разбирательства в случае подозрения на злоупотребление сотрудником администрации (третьим лицом) полномочиями, несанкционированную (неправомерную) обработку им информации ограниченного доступа или несанкционированное использование им ИС.
VII. Условия и порядок сбора (получения) персональных данных
7.1. Все персональные данные субъекта сотрудники администрации получают у него самого. Если персональные данные субъекта могут быть получены только у третьей стороны, то субъект уведомляется об этом заранее, и от него получается письменное согласие. Администрация получает подтверждение от третьего лица, передающего персональные данные о том, что они передаются с согласия субъекта.
7.2. В установленных действующим законодательством случаях администрация сообщает субъекту о целях, предполагаемых источниках и способах получения его персональных данных, а также о характере подлежащих получению данных и последствиях его отказа дать письменное согласие на получение и (или) предоставление данных (последствиях отказа предоставить свои персональные данные).
7.3. Сотрудники администрации предоставляют сотрудникам отдела по вопросам ГО,ЧС,МП и ЕДДС администрации, имеющим доступ к их персональным данным, достоверные сведения о себе и в срок, не превышающий 5 (пяти) рабочих дней, сообщают об изменении своих данных с приложением при необходимости подтверждающих документов. Сотрудники отдела по вопросам ГО,ЧС,МП и ЕДДС администрации проверяют при необходимости и наличии законных оснований достоверность сведений, сверяя предоставленные данные с имеющимися у них документами (сведениями) или направляя запросы.
7.4. При поступлении на работу (службу) в администрацию субъект заполняет анкету по утвержденной форме (при ее заполнении в строгом соответствии с записями, которые содержатся в его личных документах, заполняются все графы анкеты, на все вопросы даются полные ответы, не допускается исправлений или зачеркиваний, прочерков, помарок) и дает согласие на обработку своих персональных данных на период принятия решения о приеме либо отказе в приеме на работу (службу). Получение согласия является обязательным условием при направлении администрацией запросов в иные организации, в том числе, по прежним местам работы (службы) субъекта, для уточнения или получения о нем информации.
VIII. Обработка персональных данных
8.1. Обработка персональных данных осуществляется в случаях и в сроки, определенные действующим законодательством, Политикой в отношении обработки и защиты персональных данных, утвержденной администрацией, и настоящим Положением.
8.2. В предусмотренных действующим законодательством случаях администрация уведомляет субъекта о совершенных операциях над его персональными данными по типовой форме, утвержденной администрацией.
8.3. При поручении обработки персональных данных третьим лицам такие данные не сообщаются третьей стороне без письменного согласия самого субъекта, за исключением случаев, предусмотренных действующим законодательством.
8.4. Обработка персональных данных субъектов может осуществляться без их согласия в случаях, установленных Федеральным законом № 152-ФЗ, в т.ч., если:
8.5. В случае получения резюме субъекта по каналам электронной почты или факсимильной связи администрация дополнительно проводит мероприятия, направленные на подтверждение факта направления резюме самим субъектом (осуществляет обратную связь посредством электронной почты) и получение согласия на обработку его персональных данных (приглашает субъекта на личную встречу). В случае невозможности получения согласия (отказа субъекта приехать на личную встречу или подписать необходимый документ) администрация прекращает обработку персональных данных и уничтожает полученное резюме. В случае, если резюме не заинтересовало администрацию или по резюме, составленному в произвольной форме, невозможно однозначно определить физическое лицо, которое его направило, указанное резюме подлежит уничтожению в день поступления. В случае отказа субъекту в приеме на работу (службу) сведения, им предоставленные, уничтожаются в течение 30 (тридцати) дней.
8.6. Если персональные данные получены не от субъекта, администрация, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ, до начала их обработки предоставляет субъекту сведения, предусмотренные Федеральным законом № 152-ФЗ.
8.7. При осуществлении автоматизированной обработки персональных данных:
1) на основании полученных данных проверяется наличие информации о субъекте в электронных учетных (учетно-отчетных) формах или ИС. Если субъект отсутствует в таких формах / ИС, то полная информация о нем заносится после получения его согласия, а в случае наличия информации о субъекте – сверяются данные с ранее предоставленными и при необходимости вносятся соответствующие изменения;
2) не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в электронных учетных (учетно-отчетных) формах или ИС, конкретному субъекту.
8.8. При осуществлении неавтоматизированной обработки персональных данных соблюдается порядок, аналогичный указанному в пункте 6.7 настоящего Положения, и уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными данными.
9.1. Хранение персональных данных в администрации осуществляется в случаях и в сроки, установленные действующим законодательством, но не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен действующим законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект.
9.2. Сроки хранения документов, содержащих персональные данные сотрудников администрации, установлены в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утв. Приказом Минкультуры России от 25.08.2010 №558.
9.3. Личные дела сотрудников администрации хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела гражданских служащих администрации, уволенных со службы (за исключением перевода), хранятся в течение 10 (десяти) лет со дня увольнения со службы, после чего передаются в архив. Сохранность личных дел сотрудников администрации обеспечивает управление далами администрации. При переводе гражданского служащего администрации на должность муниципальной (государственной) гражданской службы в другой орган его личное дело передается по новому месту работы (службы). Если субъект, личное дело которого хранится в архиве, поступит на службу вновь, его личное дело также передается по месту работы.
9.4. Персональные данные субъектов:
9.5. В соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утв. Приказом Минкультуры России от 25.08.2010 №558, в администрации в рамках сроков, установленных данным документом, также хранятся:
9.6. Действия с ключами (электронными картами) от хранилищ (сейфы, шкафы и т.п.) фиксируются в соответствующем журнале учета. Ключи (электронные карты) не подлежат несанкционированному копированию (изготовлению дубликатов), не подлежат бесконтрольному нахождению в замках хранилищ и в иных местах, не исключающих несанкционированный доступ к ним. Ключи (электронные карты) подлежат возврату лицом, которому они были выданы, при его увольнении или утрате им прав доступа к хранилищу. За сохранность выданных ключей (электронных карт) ответственность несет их пользователь. Выдачу ключей (электронных карт) от хранилищ персональных данных осуществляет ответственный за организацию обработки персональных данных, от хранилищ, содержимое которых имеет отношение к ИТ-инфраструктуре администрации, – локальный администратор, от хранилищ, содержимое которых имеет отношение к безопасности ИТ-инфраструктуры администрации, – администратор безопасности ИТ-инфраструктуры администрации, от хранилищ, содержимое которых имеет отношение к безопасности ИС, – администратор безопасности ИС. Неиспользуемый дубликат (оригинал) ключа (электронной карты) хранится в шкафу (ящике, хранилище (сейфе)), подконтрольном вышеуказанному уполномоченному лицу, в непросматриваемой упаковке, опечатанной прочной наклейкой по всей длине кромки вскрытия упаковки и удостоверенной подписью (печатью) лица, изготовившего дубликат (получившего оригинал), на месте вскрытия упаковки. Об утери или недостаче ключей (электронных карт) от хранилищ сотрудники администрации немедленно сообщают вышеуказанному уполномоченному лицу и руководителю администрации (ответственному за организацию защиты информации, не отнесенной к государственной тайне). При утрате ключа от хранилища замок меняется или переделывается его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то хранилище заменяется. Порядок хранения ключевых и других документов СКЗИ в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает орган криптографической защиты.
9.7. Правила обращения с ключами (электронными картами) от защищаемых помещений определены Порядком доступа в помещения, утвержденным администрацией.
10.1. Передача информации ограниченного доступа осуществляется посредством нарочного, почтовой связи, по каналам электрической связи.
10.2. При передаче информации ограниченного доступа обеспечивается ее конфиденциальность. Передача персональных данных, не носящих характер общедоступных, по телефону, факсимильной связи, электронной почте запрещена. Передача информации ограниченного доступа без использования специальных средств защиты по общедоступным сетям связи запрещена. Защита информации ограниченного доступа от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии в соответствии с законодательством Российской Федерации средств криптографической защиты информации.
10.3. При передаче информации ограниченного доступа через организацию федеральной почтовой связи соблюдаются следующие требования: документы, содержащие информацию ограниченного доступа, вкладываются в конверт, к нему прилагается сопроводительное письмо; на конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией и за незаконное ее разглашение законодательством предусмотрена ответственность; данный конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами.
10.4. Передача (распространение, разглашение) информации ограниченного доступа лицам, не имеющим к ней прав доступа (неопределенному кругу лиц), запрещена.
10.5. Передача информации ограниченного доступа осуществляется на основании договора со стороной, которой осуществляется передача, или письменного запроса, полученного от стороны, которой осуществляется передача (на официальном бланке с указанием на основание получения доступа к информации ограниченного доступа, ее перечень, цель использования, Ф.И.О. и должность лица, которому поручается ее получить), или исполнения функций, возложенных на администрацию (требований действующего законодательства), или в рамках реализации служебных (трудовых) отношений. Передача информации ограниченного доступа третьим лицам сопровождается подписанием принимающей стороной Соглашения о неразглашении защищаемой информации (Соглашения о неразглашении персональных данных) и Обязательства о прекращении обработки защищаемой информации (Обязательства о прекращении обработки персональных данных), за исключением законных случаев, когда передача допускается без подписания данных документов.
10.6. При передаче персональных данных сотрудники администрации:
10.7. Согласие сотрудника администрации на передачу его персональных данных не требуется:
10.8. Администрация обеспечивает ведение Журнала учета выданных персональных данных.
11.1. Администрация блокирует персональные данные или обеспечивает их блокирование в сроки, установленные Федеральным законом № 152-ФЗ, в случае:
11.2. Разблокирование персональных данных осуществляется в случаях, предусмотренных Федеральным законом № 152-ФЗ и настоящим Положением. Повторное согласие субъекта на обработку его персональных данных влечет их разблокирование.
11.3. Блокирование (разблокирование) персональных данных проводит сотрудник администрации, который осуществляет обработку персональных данных субъекта. Если осуществляется блокирование (разблокирование) персональных данных, обрабатываемых в ИС, к проведению работ по блокированию привлекается администратор ИС.
11.4. Разрешение или отказ на блокирование (разблокирование) персональных данных дает ответственный за организацию обработки персональных данных.
11.5. Если обработка персональных данных осуществляется лицом, действующим по поручению администрации, ответственным за организацию обработки персональных данных организуется необходимая работа по обеспечению их блокирования.
11.6. В случае выявления неправомерной обработки персональных данных субъекта одновременно с принятием решения о блокировании его персональных данных ответственным за организацию обработки персональных данных инициируется проведение проверки персональных данных, заблокированных по причине их неправомерной обработки.
11.7. В случае выявления неточных персональных данных конкретного субъекта сотрудник администрации, который осуществляет обработку его персональных данных, проводит блокирование данных, относящихся к этому субъекту, или во взаимодействии с ответственным за организацию обработки персональных данных обеспечивает их блокирование, если такое блокирование не нарушает права и законные интересы субъекта или третьих лиц.
11.8. В случае подтверждения факта неточности персональных данных сотрудник администрации, осуществляющий обработку персональных данных данного субъекта, на основании сведений, представленных субъектом (его законным представителем) либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение и снимает блокирование.
11.9. Блокирование данных конкретного субъекта (если такая необходимость установлена) осуществляется во всех ИС, включая архивы баз данных, содержащих такие персональные данные, во всех материальных носителях, содержащих такие персональные данные (за исключением случаев, когда обработка необходима для уточнения данных).
XII. Уничтожение защищаемой информации и ее носителей
12.1. Уничтожение информации ограниченного доступа проводится в соответствии с Порядком уничтожения защищаемой информации, утвержденным администрацией.
12.2. Уничтожение носителей, содержащих информацию ограниченного доступа, проводится в соответствии с Порядком уничтожения носителей защищаемой информации, утвержденным администрацией.
XIII. Обращения субъектов и запросы контрольно-надзорных органов
13.1. Субъекты, персональные данные которых обрабатываются в администрации, обращаются в администрацию в целях и при соблюдении правил обращения, определенных Федеральным законом № 152-ФЗ.
13.2. Администрацией утверждены типовые формы обращений субъектов персональных данных.
13.3. Администрация соблюдает Правила рассмотрения обращений субъектов персональных данных и запросов контрольно-надзорных органов, утвержденные администрацией.
XIV. Заключительные положения
14.1. Каждый сотрудник администрации, допущенный к обработке информации ограниченного доступа и получающий для работы носитель, содержащий такую информацию, несет персональную ответственность за его сохранность и соблюдение безопасности указанной информации при ее обработке.
14.2. В вопросах обработки и защиты информации ограниченного доступа, не урегулированных настоящим Положением, администрация руководствуется нормами действующего законодательства.
14.3. Если какое-либо из требований Положения в связи с изменением законодательства становится недействительным, это не затрагивает действительности остальных его положений.
|
|
УТВЕРЖДЕНЫ Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПРАВИЛА
РЕЗЕРВНОГО КОПИРОВАНИЯ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ
(далее – Правила)
1.1. Настоящие Правила определяют принципы и порядок проведения резервного копирования и восстановления защищаемой информации в Большемурашкинском муниципальном районе администрации (далее – администрация), в т.ч. информации, обрабатываемой в защищаемых информационных системах администрации.
1.2. Процедура резервного копирования и восстановления информации предназначена для обеспечения безопасности защищаемой информации, обрабатываемой в администрации, от утраты и искажения.
1.3. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.4. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.5. Настоящие Правила являются обязательными для исполнения администратором ИС, ответственным за организацию и контроль правильной эксплуатации специального программного обеспечения (СПО) ИС (далее – администратор ИС), администратором ИС с функциями локального администратора (далее – локальный администратор) и администратором безопасности ИС (далее при совместном упоминании – администраторы).
2.1. Резервному копированию подлежат:
2.2. Резервное копирование проводится с учетом следующих принципов:
2.3. Применяются методы полного и инкрементного резервного копирования. При выполнении операции «Incremental Backup» осуществляется резервное копирование файлов, изменившихся со времени последнего выполнения операции «Incremental Backup» или «Full Backup». При выполнении операции «Full Backup» осуществляется полное резервное копирование информационного ресурса.
2.4. Резервное копирование информации осуществляется на периодической основе, если не установлено иное: для информации ограниченного доступа, не отнесенной к государственной тайне – не реже 1 (одного) раза в неделю; для технологической информации – не реже 1 (одного) раза в месяц; эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется его установка на элементы ИС – не реже 1 (одного) раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий); для записей регистрации (аудита) – не реже 1 (одного) раза в неделю.
2.5. Конкретная периодичность выполнения в отношении ИС резервного копирования информации и сроки хранения резервных копий, а также перечень информации (типов информации), инфраструктурных компонентов, подлежащих периодическому резервному копированию, определяются администраторами в соответствии с матрицей доступа к ИС и документацией на систему защиты ИС.
2.6. Процедура резервного копирования состоит из трех этапов:
2.7. Подготовительный этап.
Задачей данного этапа является подготовка к проведению процедуры резервного копирования информации и снижение вероятности возникновения ошибок в ходе его выполнения.
Подготовка осуществляется в соответствии с документами на ИС (ее компоненты) и ее систему защиты.
Перед проведением процедуры резервного копирования локальный администратор (администратор безопасности ИС) разово осуществляет конфигурирование средств резервного копирования и настройку правил, а также проверяет носители, предназначенные для хранения резервных копий, на исправность, доступность для записи и на наличие достаточного объема памяти для хранения резервных копий.
Резервные копии хранятся на резервных машинных носителях администрации, размещенных вне ИС, в течение полугода, если не установлено иное. Дата и время проведения резервного копирования указываются на носителе (если отчуждаемый носитель). Носитель с резервной копией хранится в несгораемом шкафу или помещении, оборудованном системой пожаротушения.
2.8. Выполнение работ по резервному копированию.
Резервное копирование выполняется в автоматическом режиме (при необходимости в ручном режиме) с помощью специальных либо встроенных средств резервного копирования.
На данном этапе локальный администратор (администратор безопасности ИС) в соответствии с рекомендациями (инструкциями, руководствами) производителей средств резервного копирования информации (эксплуатируемых средств вычислительной техники и программных средств, средств защиты информации) осуществляет конфигурирование средств резервного копирования (необходимые манипуляции с эксплуатируемыми средствами вычислительной техники и программными средствами, средствами защиты информации) и в соответствии с установленной периодичностью выполняет процедуры резервного копирования.
Процедуру резервного копирования осуществляет локальный администратор (администратор безопасности ИС – в отношении средств защиты информации).
2.9. Учет и контроль результатов выполнения резервного копирования.
Контроль результатов резервного копирования (проверка полученных резервных копий на отсутствие ошибок) локальный администратор (администратор безопасности ИС) проводит не реже 1 (одного) раза в месяц выборочно. При этом критерием отсутствия ошибок является возможность восстановления информации из полученных резервных копий.
Учет выполненных процедур резервного копирования отражается в Журнале учета резервного копирования и восстановления информации, который ведется администрацией.
2.10. Локальный администратор (администратор безопасности ИС) проверяет ежеквартально работоспособность средств резервного копирования.
III. Процедура восстановления информации
3.1. Процедура восстановления информации состоит из трех этапов:
3.2. Организация восстановления информации.
Процедура восстановления информации осуществляется для восстановления уничтоженной или искаженной информации, в т.ч. для восстановления работоспособности программных средств ИС, в случае утраты, искажения данных или нарушения доступа к ним вследствие воздействия вредоносного программного обеспечения, программных ошибок, ошибок персонала и аппаратных сбоев.
Процедуру восстановления информации и работоспособности программных средств ИС из резервных копий осуществляет локальный администратор (администратор безопасности ИС – в отношении средств защиты информации).
3.3. Выполнение процедуры восстановления информации.
Восстановление информации ИС выполняется с помощью специальных либо встроенных средств восстановления информации.
Восстановление информации, как правило, проводится с определенной копии на конкретную дату или с последней резервной копии соответствующих данных.
При отсутствии целостной резервной копии или невозможности восстановления с нее информации восстановление системного программного обеспечения, программного обеспечения общего назначения, программного обеспечения средств защиты информации и СПО ИС осуществляется с дистрибутивов в соответствии с инструкциями по установке или восстановлению такого программного обеспечения (эксплуатационной документацией).
Восстановление информации из резервных копий предусматривает определение времени, в течение которого должно быть обеспечено восстановление информации и обеспечивающего требуемые условия непрерывности функционирования ИС и доступности информации: для персональных данных – не более 6 часов; для технологической информации – не более 24 часов; эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется его установка на элементы ИС – не более 24 часов; для записей регистрации (аудита) – не более 48 часов.
3.4. Учет и контроль процедуры восстановления информации.
После проведения процедуры восстановления локальный администратор (администратор безопасности ИС – в отношении средств защиты информации) осуществляет оценку корректности ее выполнения. Критерием корректности выполнения процесса является отсутствие ошибок, а также полное восстановление утраченных или поврежденных данных.
Учет выполненных процедур восстановления информации отражается в Журнале учета резервного копирования и восстановления информации, который ведется администрацией.
3.5. Локальный администратор (администратор безопасности ИС) проверяет ежеквартально работоспособность средств восстановления информации из резервных копий.
4.1. Администратор ИС определяет необходимость резервного копирования СПО ИС, график резервного копирования и период ротации резервных копий (удаление старых копий). Данные сведения оцениваются локальным администратором на актуальность и возможность выполнения.
4.2. Решение о необходимости восстановления СПО ИС (информации ИС) с резервной копии принимает администратор ИС. Для этого определяются и доводятся до сведения локального администратора: наименование ИС, перечень данных, которые требуется восстановить; местоположение восстанавливаемого ресурса; дата, на которую необходимо произвести восстановление.
4.3. Локальный администратор при получении от администратора ИС запроса на восстановление информации в ИС организует восстановление с резервных копий.
4.4. Администратор безопасности ИС самостоятельно определяет необходимость резервного копирования информации, относящейся к средствам защиты информации ИС, график резервного копирования и период ротации резервных копий, а также самостоятельно принимает решение о необходимости восстановления информации и организует восстановление с резервных копий.
5.1. Ответственность за своевременность и корректность выполнения процедуры резервного копирования и восстановления информации возложена на локального администратора (администратора безопасности ИС).
5.2. Ответственность за организацию резервного копирования и восстановления информации в отношении ИС возложена на администратора ИС, в отношении средств защиты ИС – на администратора безопасности ИС.
5.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНЫ Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПРАВИЛА РАБОТЫ С ТЕХНИЧЕСКИМИ СРЕДСТВАМИ
(далее – Правила)
1.1. Настоящие Правила устанавливают основные требования по управлению доступом / использованию технических средств и средств обеспечения функционирования, применяемых в защищаемых информационных системах администрации Большемурашкинского муниципального района (далее – администрация), и технических средств, применяемых для работы с защищаемой информацией (далее – СВТ), в целях обеспечения их защиты.
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящие Правила являются обязательными для исполнения сотрудниками администрации, имеющими доступ к СВТ.
2.1. Работа с СВТ осуществляется только сотрудниками администрации (третьими лицами), имеющими к ним санкционированный доступ.
2.2. Физический доступ к СВТ предоставляется только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций), с соблюдением принципа предоставления минимально необходимых привилегий.
2.3. Лица, имеющие физический доступ к СВТ определяются в Журнале учета технических средств / Журнале учета машинных носителей, который ведется администрацией.
2.4. Сотрудник администрации, работающий с СВТ:
2.5. Сотруднику администрации, работающему с СВТ, запрещается:
2.6. Вынос СВТ из помещений администрации (за пределы контролируемой зоны) допускается только по согласованию с локальным администратором / администратором ИС с функциями локального администратора (если СВТ входит в состав ИС) и в связи с исполнением служебных (должностных) обязанностей в рамках полномочий. При принятии решения о выносе СВТ с целью их ремонта, замены компонентов и т.п., машинные носители защищаемой информации, демонтируются. В случае действия гарантийных обязательств организации-поставщика (организации-производителя) вскрытие корпуса и демонтаж носителей предварительно согласовываются с ней.
2.7. С целью доведения до сотрудников администрации и третьих лиц фактов работы с СВТ, в Журнале учета технических средств / Журнале учета машинных носителей, который ведется администрацией, проставляется пометка об использовании СВТ в составе ИС (с указание наименования такой системы) и (или) для работы с защищаемой информацией, а на корпусе СВТ с лицевой стороны проставляется его учетный номер (например, с использованием наклейки). Рядом с учетным номером указывается наименование владельца СВТ. Проставление учетного номера и владельца осуществляет локальный администратор / администратор ИС с функциями локального администратора (если СВТ входит в состав ИС).
2.8. В целях исключения возможности использования пользователями без прав «администратора» запрещенных интерфейсов ввода (вывода) информации СВТ ИС применяются средства защиты информации, обеспечивающие контроль использования (разрешение или запрет) интерфейсов ввода (вывода), средства операционных систем СВТ, а также может проводиться опечатывание запрещенных интерфейсов ввода (вывода) администратором безопасности ИС / администратором ИС с функциями локального администратора.
2.9. В целях информационной безопасности сеанс работы с СВТ, с которого осуществляется доступ в ИС и (или) к защищаемой информации, автоматически блокируется после бездействия (неактивности) пользователя СВТ более 5 минут.
2.10. Ревизия СВТ проводится не реже 1 (одного) раза в год локальным администратором, в отношении СВТ ИС – администратором ИС с функциями локального администратора.
III. Ответственность
3.1. Ответственность за организацию процедуры работы с СВТ в соответствии с требованиями настоящих Правил возложена на локального администратора и администратора ИС с функциями локального администратора в соответствии с их компетенциями.
3.2. Ответственность за соблюдение требований настоящих Правил возложена на каждого сотрудника администрации, имеющего доступ к СВТ.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНЫ Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПРАВИЛА РАБОТЫ СО СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ
(далее – Правила)
1.1. Настоящие Правила устанавливают основные требования по управлению доступом / использованию средств защиты информации, применяемых в защищаемых информационных системах администрации Большемурашкинского муниципального района (далее – администрация) (далее – СрЗИ), а также в ИТ-инфраструктуре администрации в целях обеспечения их защиты.
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Настоящие Правила являются обязательными для исполнения сотрудниками администрации, имеющими доступ к СрЗИ.
2.1. Работа с СрЗИ осуществляется только сотрудниками администрации (третьими лицами), имеющими к ним санкционированный доступ.
2.2. Физический доступ к СрЗИ предоставляется только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций), с соблюдением принципа предоставления минимально необходимых привилегий.
2.3. Лица, имеющие физический доступ к СрЗИ определяются в Журнале учета средств защиты информации, который ведется администрацией.
2.4. Администратор безопасности ИС работает с СрЗИ в соответствии с Инструкцией администратора безопасности информационной системы, утвержденной администрацией. Администратор безопасности ИТ-инфраструктуры администрации работает с СрЗИ в соответствии с Инструкцией администратора безопасности ИТ-инфраструктуры администрации, утвержденной администрацией.
2.5. Сотрудник администрации, работающий с СрЗИ на правах «пользователя» без права администрирования:
2.6. Сотрудник администрации, допущенный к работе с СКЗИ, соблюдает Инструкцию пользователя средств криптографической защиты информации, утвержденную администрацией.
III. Ответственность
3.1. Ответственность за организацию процедуры работы с СрЗИ в соответствии с требованиями настоящих Правил возложена на администратора безопасности ИС / администратора безопасности ИТ-инфраструктуры администрации в соответствии с их компетенциями.
3.2. Ответственность за соблюдение требований настоящих Правил возложена на каждого сотрудника администрации, имеющего доступ к СрЗИ.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНЫ Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПРАВИЛА РАБОТЫ С МАШИННЫМИ НОСИТЕЛЯМИ
(далее – Правила)
1.1. Настоящие Правила устанавливают основные требования по управлению доступом / использованию машинных носителей информации, применяемых в защищаемых информационных системах администрации Большемурашкинского муниципального района (далее – администрация), машинных носителей, содержащих защищаемую информацию (далее – машинный носитель), в целях обеспечения их защиты.
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства (в т.ч. персональные данные), а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящие Правила являются обязательными для соблюдения сотрудниками администрации, имеющими доступ к машинным носителям.
2.1. Работа с машинными носителями осуществляется только сотрудниками администрации (третьими лицами), имеющими к ним санкционированный доступ.
2.2. Физический доступ к машинным носителям предоставляется только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций), с соблюдением принципа предоставления минимально необходимых привилегий.
2.3. Лица, имеющие физический доступ к машинным носителям, а именно к следующим:
определяются в Журнале учета машинных носителей, который ведется администрацией.
2.4. Сотрудник администрации, работающий с машинным носителем:
2.5. Сотруднику администрации, работающему с машинным носителем, запрещается:
2.6. С целью доведения до сотрудников администрации и третьих лиц фактов работы с машинными носителями, содержащими защищаемую информацию, носители подлежат специальному обозначению (маркированию или визуальному выделению) пометкой «Конфиденциально». Пометка проставляется на корпусе носителя с лицевой стороны (например, с использованием наклейки). В случае, если машинный носитель используется в составе ИС, то в Журнале учета машинных носителей, который ведется администрацией, проставляется соответствующая пометка с указание наименования такой ИС, а на корпусе носителя с лицевой стороны проставляется его учетный номер. Рядом с учетным номером указывается наименование владельца машинного носителя. Специальное обозначение носителя осуществляет локальный администратор / администратор ИС с функциями локального администратора (если носитель имеет отношение к ИС) и (или) сотрудник администрации, который работает с таким носителем, при участии локального администратора. В зависимости от того, учтен носитель отдельно или в составе средства вычислительной техники / портативного вычислительного устройства (далее – СВТ), маркироваться может носитель или средство вычислительной техники.
2.7. Ревизия машинных носителей проводится не реже 1 (одного) раза в год локальным администратором.
2.8. В целях передачи машинного носителя между пользователями или в сторонние организации для ремонта или утилизации обеспечивается уничтожение (стирание) информации на таких носителях, а также контроль уничтожения (стирания) информации в соответствии с Порядком уничтожения защищаемой информации, утвержденным администрацией. Уничтожение (стирание) информации на неисправном носителе в целях его дальнейшей передачи в стороннюю организацию для ремонта не допускается. Такой носитель уничтожается в соответствии с Порядком уничтожения носителей защищаемой информации, утвержденным администрацией.
2.9. Перед подключением к ИС администратор ИС с функциями локального администратора обеспечивает по аналогии с Порядком уничтожения защищаемой информации, утвержденным администрацией, уничтожение (стирание) информации с машинных носителей с оформлением соответствующего акта: после приобретения машинных носителей и при первичном подключении к ИС; при передаче машинных носителей для постоянного использования от одного пользователя другому пользователю; после возвращения машинных носителей из ремонта.
2.10. СВТ ИС, в состав которого входит машинный носитель, вскрывается администратором ИС с функциями локального администратора в присутствии сотрудника администрации, эксплуатирующего данное СВТ, и администратора безопасности ИС.
2.11. Право на перемещение машинных носителей за пределы контролируемой зоны администрации предоставлено только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функций), например: только локальный администратор имеет право на перемещение машинных носителей, относящихся к серверному оборудованию, оборудованию для консолидированного хранения данных, автоматизированным рабочим станциям, портативным вычислительным устройствам, периферийной технике администрации; только администратор ИС с функциями локального администратора имеет право на перемещение машинных носителей, относящихся к техническим средствам ИС и функционированию ИС; только администратор безопасности ИС имеет право на перемещение машинных носителей, относящихся к средствам защиты информации (СрЗИ) ИС и ее системе защиты; только администратор безопасности ИТ-инфраструктуры администрации имеет право на перемещение машинных носителей, относящихся к СрЗИ ИТ-инфраструктуры администрации и ее системе защиты.
2.12. Следующие типы машинных носителей подлежат хранению в помещениях, специально предназначенных для хранения машинных носителей (хранилище машинных носителей информации): 1) съемные носители, которые устанавливаются и (или) подключаются к СВТ на время сеанса работы пользователя, а по окончанию его отключаются и хранятся в определенном хранилище; 2) несъемные носители, которые в процессе работы пользователя не снимаются и не изымаются из состава СВТ и находятся там постоянно. Первый тип носителя может храниться, в частности, в следующих помещениях, исходя из функциональной принадлежности к пользователю: помещения сотрудников администрации, в которых осуществляется работа с носителем; помещения локальных администраторов / администратора ИС с функциями локального администратора; помещение администратора безопасности ИС; помещение администратора безопасности ИТ-инфраструктуры администрации. Второй тип носителя хранится в помещении, где располагаются СВТ, в состав которых входит конкретный носитель данного типа, это, в частности: серверное помещение администрации, помещения сотрудников администрации, в которых установлены автоматизированные рабочие места (АРМ).
2.13. Хранение и использование машинных носителей осуществляется в условиях, соответствующих техническим условиям изготовителя. Для хранения носителей используются хранилища (сейфы, шкафы и т.п.), оборудованные замками и приспособлениями для опечатывания замочных скважин (мест открывания) или кодовыми замками. В случае если на съемном носителе хранятся только данные в зашифрованном с использованием средств криптографической защиты информации (СКЗИ) виде, допускается хранение таких носителей в помещениях администрации вне сейфов (металлических шкафов), но в закрывающихся ящиках, шкафах с опечатыванием. При хранении носителя соблюдаются условия, обеспечивающие исключение несанкционированного ознакомления с информацией, хранящейся на носителе, и ее содержанием, и исключающие несанкционированный доступ к носителю, его хищение, подмену и уничтожение, а также исключающие негативное воздействие внешних факторов на хранимую информацию. Сотрудник администрации, имеющий доступ к машинному носителю и вскрывший его хранилище в связи со служебной необходимостью, обеспечивает его возврат в хранилище с соблюдением требований к хранению.
2.14. Для хранения машинных носителей используются учтенные администрацией хранилища с присвоенными инвентарными номерами. Перечень хранилищ машинных носителей указывается в Журнале учета машинных носителей, который ведется администрацией.
2.15. Сохранность машинного носителя, который входит в состав серверного оборудования и оборудования для консолидированного хранения данных администрации, обеспечивает локальный администратор. Сохранность машинного носителя, который входит в состав АРМ, обеспечивает локальный администратор и сотрудник администрации, работающий с АРМ, в его отсутствие – сотрудник, находящийся в помещении с данным АРМ. Сохранность отчуждаемого машинного носителя с защищаемой информацией обеспечивает сотрудник администрации, который получил данный носитель в пользование.
2.16. Подлежит контролю ввод (вывод) информации на съемные машинные носители, которые устанавливаются и (или) подключаются к СВТ ИС на время сеанса работы пользователя, а по окончанию его отключаются и хранятся в определенном хранилище.
III. Ответственность
3.1. Ответственность за организацию процедуры работы с машинными носителями (за исключением носителей персональных данных) в соответствии с требованиями настоящих Правил возложена на ответственного за организацию защиты информации, не отнесенной к государственной тайне, в администрации, за организацию процедуры работы с машинными носителями персональных данных – на ответственного за организацию обработки персональных данных.
3.2. Ответственность за соблюдение требований настоящих Правил возложена на каждого сотрудника администрации, имеющего доступ к машинному носителю.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНЫ Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПРАВИЛА УПРАВЛЕНИЯ СОБЫТИЯМИ БЕЗОПАСНОСТИ
(далее – Правила)
1.1. Настоящие Правила устанавливают основные требования к управлению событиями безопасности, которые возникают (могут возникнуть) в процессе функционирования защищаемых информационных систем администрации Большемурашкинского муниципального района (далее – администрация).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Настоящие Правила являются обязательными для исполнения администратором ИС с функциями локального администратора (далее – локальный администратор) и администратором безопасности ИС (далее при совместном упоминании – администраторы).
2.1. Подлежат регистрации любые проявления состояния ИС и ее системы защиты информации, указывающие на возможность нарушения конфиденциальности, целостности или доступности информации, доступности компонентов ИС, нарушения процедур, установленных организационно-распорядительными документами по защите информации администрации, а также на нарушение штатного функционирования средств защиты информации (СрЗИ).
2.2. Подлежат регистрации события безопасности в части: операционных систем; систем управления базами данных; сетевого (телекоммуникационного) оборудования и иных технических средств ИС; прикладного программного обеспечения; СрЗИ; приложений.
2.3. Автоматически определяемые события безопасности регистрируются автоматически в электронных журналах сообщений (журналах регистрации событий), генерируемых программными средствами ИС и СрЗИ. Приложения могут создавать собственные файлы журналов или могут использовать возможности журналирования операционной системы, на которой они установлены. Сведения о событиях безопасности, не подлежащие автоматической регистрации, фиксируются при их обнаружении в Журнале учета событий безопасности, который ведется администрацией.
2.4. Подлежат автоматической регистрации в реальном времени события безопасности, имеющие отношение к возможности реализации угроз безопасности информации, обрабатываемой в ИС, описанных в модели угроз безопасности информации для ИС, и связанные с применением выбранных мер по защите информации, в частности, следующие:
1) вход (выход), а также попытки входа субъектов доступа в ИС и загрузки (остановки) операционной системы;
2) подключение машинных носителей информации и вывод информации на носители информации;
3) запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации;
4) попытки доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей) и иным объектам доступа;
5) попытки удаленного доступа.
В составе указанных событий безопасности подлежат регистрации события, связанные с резервным копированием информации на резервные машинные носители информации, восстановлением информации с резервных машинных носителей информации, управлением учетными записями пользователей, паролями и привилегиями, а также их использованием, управлением трафиком (разрешенный, заблокированный, объемы переданных данных, использование полосы пропускания и ресурсов, запись логов), выявлением атак и вредоносной активности, работой с объектами операционной системы, установкой и удалением программного обеспечения, изменением системной конфигурации и управлением конфигурационными файлами, подключением (отключением) устройств ввода (вывода) / машинных носителей, вводом (выводом) информации на машинные носители информации, доступом пользователей к разрешенным и запрещенным к использованию интерфейсам ввода (вывода), действиями пользователей, в т.ч. неудавшимися или отвергнутыми действиями, фиксацией подключений идентичной учетной записи с разных IP-адресов на один и тот же сервер и запуска новых портов, запуском потенциально опасных процессов (например, файловое расширение *.exe), созданием или изменением параметров заданий в планировщике задач, запуском (падением, остановкой) сетевых линков (коннектов), запуском и остановкой служб, активацией (дезактивацией) систем защиты (изменением или попытками изменения настроек и средств управления защитой) и средств ведения журнала регистрации событий.
2.5. Конкретный перечень подлежащих регистрации типов событий безопасности, а также состав и содержание информации о событиях безопасности определяются документацией на систему защиты ИС. Для пользователя ИС (технического средства ИС) может быть установлен персональный перечень типов событий, которые будут автоматически регистрироваться в журнале событий безопасности после идентификации пользователя. Настройку журналов регистрации событий безопасности в соответствии с эксплуатационной документацией и документацией на систему защиты ИС осуществляют в части своей компетенции: администратор безопасности ИС (в отношении СрЗИ и специального программного обеспечения ИС) и локальный администратор (в отношении операционных систем; систем управления базами данных; сетевого (телекоммуникационного) оборудования и иных технических средств ИС; прикладного программного обеспечения; приложений).
2.6. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, обеспечивают возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности.
2.7. При регистрации входа (выхода) субъектов доступа в ИС и загрузки (остановки) операционной системы состав и содержание информации включают: дату и время входа (выхода) в систему (из системы) или загрузки (остановки) операционной системы; результат попытки входа (успешная или неуспешная); результат попытки загрузки (остановки) операционной системы (успешная или неуспешная); идентификатор, предъявленный при попытке доступа.
2.8. При регистрации подключения машинных носителей информации и вывода информации на носители информации состав и содержание регистрационных записей включают: дату и время подключения машинных носителей информации и вывода информации на носители информации; логическое имя (номер) подключаемого машинного носителя информации; идентификатор субъекта доступа, осуществляющего вывод информации на носитель информации.
2.9. При регистрации запуска (завершения) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации, состав и содержание регистрационных записей включают: дату и время запуска; имя (идентификатор) программы (процесса, задания); идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание); результат запуска (успешный, неуспешный).
2.10. При регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам состав и содержание регистрационных записей включают: дату и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная); идентификатор субъекта доступа (устройства); спецификацию защищаемого файла (логическое имя, тип).
2.11. При регистрации попыток доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, записям, полям записей) состав и содержание информации включают: дату и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная); идентификатор субъекта доступа (устройства); спецификацию защищаемого объекта доступа (логическое имя (номер)).
2.12. При регистрации попыток удаленного доступа к ИС состав и содержание информации включают: дату и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная); идентификатор субъекта доступа (устройства); используемый протокол доступа; используемый интерфейс доступа и (или) иную информацию о попытках удаленного доступа к ИС.
2.13. Получение меток времени, включающих дату и время, используемых при генерации записей регистрации (аудита) событий безопасности в ИС достигается посредством применения внутренних системных часов ИС. В ИС осуществляется генерирование надежных меток времени и (или) синхронизация системного времени в соответствии с документацией на систему защиты ИС. В случае инцидента информационной безопасности, приведшего к невозможности сетевого взаимодействия для синхронизации системного времени и установке недостоверного времени, проводится установка меток времени вручную в соответствии с мск с погрешностью не более одной минуты.
2.14. Сбор, запись и хранение информации о событиях безопасности предусматривают:
1) возможность выбора событий безопасности, подлежащих автоматической регистрации в реальном времени из перечня событий безопасности;
2) генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту), с составом и содержанием информации, включаемой в записи регистрации;
3) хранение информации о событиях безопасности в течение установленного времени.
2.15. Объем памяти для хранения информации о событиях безопасности рассчитывается и выделяется с учетом типов событий безопасности, подлежащих регистрации, состава и содержания информации о событиях безопасности, подлежащих регистрации, прогнозируемой частоты возникновения подлежащих регистрации событий безопасности, срока хранения информации о зарегистрированных событиях безопасности, определенных документацией на систему защиты ИС. Настройки журналов регистрации событий безопасности обеспечивают запись информации о поступающих событиях безопасности без переполнения памяти с момента регистрации события в течение периода, установленного в документации на систему защиты ИС. При достижении предельного размера (хранение определенного количества последних событий или хранение определенного объема данных журнала), журнал может переписывать старые данные – новыми. При необходимости хранения копий файлов журналов в течение более длительного периода времени, чем поддерживают источники журналов, применяется процесс архивирования журналов.
2.16. События безопасности, подлежащие регистрации в ИС, и сроки хранения соответствующих записей регистрационных журналов обеспечивают возможность обнаружения, идентификации и анализа инцидентов, возникших в ИС.
2.17. В ИС осуществляется реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти. Реагирование на сбои при регистрации событий безопасности предусматривает:
1) предупреждение (сигнализация, индикация) администраторов о сбоях (аппаратных и программных ошибках, сбоях в механизмах сбора информации или переполнения объема (емкости) памяти) при регистрации событий безопасности;
2) реагирование на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключение записи информации о событиях безопасности от части компонентов ИС, запись поверх устаревших хранимых записей событий безопасности.
2.18. Администраторы осуществляют восстановление после сбоев функционала регистрации событий безопасности в соответствии с эксплуатационной документацией на программные (технические) средства ИС (СрЗИ), документацией на систему защиты ИС и Правилами резервного копирования и восстановления информации, утвержденными администрацией.
2.19. Мониторинг (просмотр и анализ) записей регистрации (аудита) событий безопасности проводится для всех событий, подлежащих регистрации, с периодичностью, обеспечивающей своевременное выявление признаков инцидентов безопасности в ИС – не реже 1 (одного) раза в неделю. В случае выявления признаков инцидентов безопасности в ИС осуществляется планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности в соответствии с Правилами реагирования на инциденты информационной безопасности, утвержденными администрацией.
2.20. Защита информации о событиях безопасности (записях регистрации (аудита)) в ИС обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования и в т.ч. включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий. Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставлен в рамках компетенции только администратору безопасности ИС, локальному администратору, администратору ИС (в части специального программного обеспечения ИС).
2.21. В целях регистрации событий безопасности применяются полностью или частности следующие типы систем защиты информации:
1) система обнаружения вторжений (СОВ);
2) средство антивирусной защиты (АВЗ);
3) системы виртуальных частных сетей, задействованные в предоставлении и защите удаленного доступа (VPN);
4) серверы аутентификации;
5) маршрутизаторы;
6) межсетевые экраны (МЭ);
7) системы управления уязвимостями.
2.22. СОВ включает компоненты регистрации событий безопасности (датчики), компоненты анализа событий безопасности и распознавания компьютерных атак (анализаторы) и базу решающих правил, содержащую информацию о характерных признаках компьютерных атак. СОВ обеспечивает обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней, а также реагирование на обнаруженные и распознанные компьютерные атаки с учетом особенностей функционирования ИС. Обнаружение (предотвращение) вторжений осуществляется на внешней границе ИС (СОВ уровня сети) и (или) на внутренних узлах (СОВ уровня узла) сегментов ИС (АРМ, серверах и иных узлах), определяемых в соответствии с документацией на систему защиты ИС. Права по управлению (администрированию) СОВ предоставлены только уполномоченным должностным лицам. Администратор безопасности ИС в рамках компетенции настраивает СОВ таким образом, чтобы обеспечивалось обновление базы решающих правил СОВ, приходили уведомления о необходимости обновлений и непосредственном обновлении базы решающих правил, обеспечивались получение из доверенных источников и установка обновлений базы решающих правил, осуществлялся контроль целостности обновлений базы решающих правил.
2.23. АВЗ записывает события, связанные с обнаружением вредоносных программ, попыток «дезинфекции» файлов и систем, передачи файлов на карантин, сканированием на наличие вредоносных программ, обновлением сигнатур.
2.24. VPN предоставляет возможность регистрировать успешные и неудачные попытки входа, а также дату и время подключения и отключения пользователей, объем данных, переданных и принятых в каждой сессии пользователя.
2.25. Серверы аутентификации регистрируют каждую попытку аутентификации, в том числе ее происхождение, имя пользователя, успех или неудача, а также дату и время.
2.26. Маршрутизаторы конфигурируются таким образом, чтобы разрешить или блокировать определенные типы сетевого трафика на основе созданных политик. Маршрутизаторы, которые блокируют трафик, настроены на регистрацию только самых базовых характеристик заблокированной деятельности.
2.27. МЭ, как и маршрутизаторы, разрешают или блокируют трафик, на основании сконфигурированных политик. Однако, МЭ используют более сложные методы исследования трафика, отслеживают состояние соединений и выполняют контентный анализ. МЭ имеют более сложные политики и генерируют более подробные журналы.
2.28. Системы управления уязвимостями регистрируют историю обнаружения и устранения уязвимостей (установки патчей) каждого хоста, а также дополнительную информацию о конфигурации хостов. Сканирование с применением данных систем запускается на периодической основе.
III. Ответственность
3.1. Ответственность за организацию процедуры управления событиями безопасности в соответствии с требованиями настоящих Правил возложена на администратора безопасности ИС.
3.2. Ответственность за соблюдение требований настоящих Правил возложена на локального администратора и администратора безопасности ИС.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНЫ Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПРАВИЛА РЕАГИРОВАНИЯ
НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
(далее – Правила)
1.1. Настоящие Правила разработаны в целях обеспечения необходимого уровня информационной безопасности в администрации Большемурашкинского муниципального района (далее – администрация) при работе с защищаемой информацией и защищаемыми информационными системами администрации, и устанавливают порядок реагирования на инциденты информационной безопасности, происходящие в администрации.
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящие Правила являются обязательными для исполнения всеми сотрудниками администрации.
2.1. Инцидент информационной безопасности (далее – инцидент безопасности) – появление одного или нескольких нежелательных событий безопасности, с которыми связана значительная вероятность создания угрозы информационной безопасности или факт ее реализации.
2.2. Событие безопасности – идентифицированное появление определенного состояния, указывающего на нарушение (возможное нарушение) установленных политик информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее или подозрительной ситуации, которая может иметь отношение к безопасности.
2.3. Основными типами инцидентов безопасности являются:
1) Отказ в обслуживании.
Подобные инциденты безопасности, создаваемые техническими (программными) и (или) нетехническими (непрограммными) средствами, приводят к неспособности оборудования, систем, сервисов или сетей продолжать функционирование с прежней производительностью (режиме), чаще всего при полном отказе в доступе авторизованным пользователям, приводят к утрате информации, сервиса и (или) устройств обработки информации.
2) Сбор информации.
Подобные инциденты безопасности, создаваемые техническими (программными) и (или) нетехническими (непрограммными) средствами, подразумевают действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, работающих на идентифицированных целях атаки. Подобные инциденты безопасности предполагают проведение разведки с целью определения: наличия цели, получения представления об окружающей ее сетевой топологии и о том, с кем обычно эта цель связана обменом информации; потенциальных уязвимостей цели или непосредственно окружающей ее сетевой среды, которые можно использовать для атаки. В некоторых случаях подобные инциденты безопасности переходят в несанкционированный доступ, если, например, злоумышленник при поиске уязвимости пытается получить несанкционированный доступ.
3) Несанкционированный доступ.
Подобные инциденты безопасности, создаваемые техническими (программными) и (или) нетехническими (непрограммными) средствами, включают в себя инциденты, не вошедшие в первые два типа, несанкционированные попытки доступа к защищаемым объектам администрации (ИС и информационным ресурсам, защищаемой информации и ее носителям, ИТ-инфраструктуре, локальной вычислительной сети, помещениям, в которых располагается ИТ-инфраструктура, располагаются автоматизированные рабочие места, с использованием которых осуществляется обработка защищаемой информации, располагаются устройства ввода (вывода) и хранилища носителей защищаемой информации, и т.п.) или их неправильное использование приводят к прямому или косвенному раскрытию, или модификации информации, нарушениям учетности или неправильному использованию защищаемых объектов.
III. Источники информации об инцидентах
Основными источниками информации об инцидентах безопасности являются:
1) Сведения, полученные от сотрудников администрации, и иных лиц;
2) Результаты работы (журналы и оповещения) средств защиты информации, средств обнаружения атак (вторжений), средств мониторинга и т.п.;
3) Сведения и предписания, полученные от контрольных ведомств;
4) Сведения, полученные в ходе анализа защищенности ИС и обрабатываемой в ней информации, контроля эффективности системы защиты информации.
4.1. Сотрудники администрации реагируют на все события безопасности.
4.2. Соблюдается следующий алгоритм реагирования на событие безопасности, непосредственно связанное с ИС:
1) При появлении события безопасности, непосредственно связанного на программном, аппаратно-программном или техническом уровне с ИС, эксплуатируемой администрацией, сотрудник администрации, выявивший событие, немедленно сообщает об этом администратору безопасности ИС, с которой связано событие безопасности;
2) При выявлении или получении информации о возникновении события безопасности администратор безопасности ИС во взаимодействии с администратором безопасности ИТ-инфраструктуры администрации (далее – администратор безопасности ИТ-инфраструктуры) и администратором ИС проводит немедленно первичную оценку события на предмет его отнесения к инциденту безопасности, и при отнесении его к инциденту безопасности оперативно инициирует проведение разбирательства (с заведением карточки на инцидент безопасности (далее – Карточка)) и внеплановых мероприятий, направленных на локализацию инцидента безопасности и минимизацию негативных последствий, на восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа (если имело место), с привлечением ответственного за организацию обработки персональных данных.
4.3. Соблюдается следующий алгоритм реагирования на событие безопасности, непосредственно связанное с ИТ-инфраструктурой администрации:
1) При появлении события безопасности, непосредственно связанного на программном, аппаратно-программном или техническом уровне с ИТ-инфраструктурой администрации, сотрудник администрации, выявивший событие, немедленно сообщает об этом администратору безопасности ИТ-инфраструктуры;
2) При выявлении или получении информации о возникновении события безопасности администратор безопасности ИТ-инфраструктуры во взаимодействии с локальным администратором, администратором безопасности ИС (если событием безопасности затронута ИС) и ответственным за организацию обработки персональных данных (если событием безопасности затронут процесс обработки и защиты персональных данных в администрации) осуществляет немедленно первичную оценку отнесения события безопасности к инциденту безопасности, и при отнесении его к инциденту безопасности оперативно инициирует проведение разбирательства (с заведением Карточки) и внеплановых мероприятий, направленных на локализацию инцидента безопасности и минимизацию негативных последствий.
4.4. При появлении события безопасности, в котором задействованы нетехнические и непрограммные средства, сотрудник администрации, выявивший событие, немедленно сообщает об этом сотруднику администрации, уполномоченному отрабатывать данное событие безопасности: администратору безопасности ИС (если событие имеет прямое отношение к системе защиты ИС); администратору безопасности ИТ-инфраструктуры (если событие имеет прямое отношение к системе защиты ИТ-инфраструктуры администрации / системе защиты защищаемой информации, обрабатываемой с использованием ресурсов ИТ-инфраструктуры администрации); локальному администратору (если событие имеет прямое отношение к ИТ-инфраструктуре администрации); администратору ИС (если событие имеет прямое отношение к техническим средствам ИС или специальному программному обеспечению ИС); ответственному за организацию обработки персональных данных (если событие имеет прямое отношение к обрабатываемых в администрации персональным данным и регламентации вопросов их безопасности); ответственному за организацию защиты информации, не отнесенной к государственной тайне, в администрации (если событие имеет прямое отношение к обрабатываемой в администрации информации ограниченного доступа, не отнесенной к государственной тайне, и регламентации вопросов ее безопасности). Указанные уполномоченные лица отрабатывают событие безопасности по алгоритму, аналогичному алгоритмам, указанным в пунктах 4.2 и 4.3 настоящих Правил, во взаимодействии друг с другом и другими сотрудниками администрации.
4.5. Сведения о событиях безопасности, не отнесенных к инцидентам, а также сведения об инцидентах заносятся в Журнал учета событий безопасности, который ведется администрацией.
4.5. При появлении события безопасности в период отсутствия лица, уполномоченного отрабатывать данное событие безопасности, сотрудником администрации, выявившем событие, оперативно принимаются меры по уведомлению доступным способом уполномоченного лица о событии безопасности либо лица, его заменяющего.
4.6. В ходе реагирования на событие безопасности при необходимости привлекаются уполномоченные сотрудники сторонних органов и организаций, предоставляющие услуги аренды ИТ-инфраструктуры (если применимо) или осуществляющие поставку, модернизацию, техническое обслуживание и ремонт ИТ-инфраструктуры администрации, локальной вычислительной сети и ИС, а также внедряющие системы безопасности ИС.
4.7. Администратор безопасности ИС, являющейся сегментом государственной информационной системы, и администратор безопасности ИТ-инфраструктуры в рамках своей компетенции оперативно информируют Управление ФСБ России по Нижегородской области (далее – УФСБ России) об инцидентах безопасности, связанных с совершением компьютерных атак и внедрением вредоносного программного обеспечения в отношении ИС, являющейся сегментом государственной информационной системы, и локальной вычислительной сети администрации, а также сообщают об инциденте в Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации путем заполнения формы по адресу: http://gov-cert.ru/abuse/index.html. УФСБ России реагирует на полученную информацию об инцидентах безопасности в рамках своей компетенции, специальными силами и средствами осуществляет расследование инцидента безопасности путем поиска злоумышленника (нарушителя) и установления способов совершения компьютерных атак (внедрения вредоносного программного обеспечения). В необходимых случаях участвует в обнаружении, предупреждении и ликвидации последствий компьютерных атак.
5.1. В зависимости от типа и характера инцидента безопасности к разбирательству по нему могут привлекаться: администратор безопасности ИС; администратор ИС; локальный администратор; администратор безопасности ИТ-инфраструктуры; ответственный за организацию обработки персональных данных; сотрудники администрации; иные лица. Ход разбирательства и его результаты доводятся до сведения ответственного за организацию защиты информации, не отнесенной к государственной тайне, в администрации.
5.2. Разбирательство по инцидентам безопасности представляет собой проведение комплекса мероприятий, направленных на установление причин появления событий безопасности и их виновников.
5.3. В ходе разбирательства осуществляется:
1) подтверждение или опровержение факта инцидента безопасности;
2) типизация инцидента безопасности и определение его уровня критичности;
3) изучение и анализ фактических обстоятельств инцидента безопасности, сбор доказательств и материалов произошедшего инцидента, обеспечение их целостности и сохранности, установление юридических фактов;
4) определение перечня защищаемых объектов, затронутых инцидентом безопасности;
5) анализ ущерба от инцидента безопасности;
6) при необходимости пересмотр прав доступа к защищаемым объектам.
5.4. В ходе разбирательства соблюдаются принципы законности, объективности, конфиденциальности и достаточности.
5.5. Сотрудники администрации, задействованные в инциденте безопасности и (или) имеющие информацию по существу разбирательства, оказывают необходимое содействие в разбирательстве по инцидентам.
5.6. Карточка ведется на каждый инцидент безопасности по форме, приведенной в Приложении к настоящим Правилам. Карточка хранится у уполномоченного лица, отработавшего событие (инцидент) безопасности, не менее трех лет и не менее срока эксплуатации объекта, в отношении которого зафиксирован инцидент безопасности.
5.7. В случае выявления в инциденте безопасности признаков административного правонарушения или уголовного преступления, материалы по разбирательству передаются в специальные комиссии и (или) компетентные органы для дальнейшего расследования.
6.1. Во избежание возникновения или повторения инцидента безопасности:
1) Сотрудники администрации:
а) соблюдают режим информационной безопасности, установленный в администрации, правила безопасной работы с ИС и средствами вычислительной техники, участвующими в обработке защищаемой информации, правила разграничения доступа к защищаемым объектам администрации, правила безопасной работы с электронной почтой и носителями информации, а также установленный режим конфиденциальности и положения организационно-распорядительных документов, регламентирующих вопросы безопасности защищаемой информации и ИС;
б) следуют указаниям и рекомендациям администратора ИС, администратора безопасности ИС, администратора безопасности ИТ-инфраструктуры, локального администратора, ответственного за организацию обработки персональных данных, ответственного за организацию защиты информации, не отнесенной к государственной тайне, в администрации, по вопросам, входящим в их компетенцию;
2) Администратор безопасности ИС и администратор безопасности ИТ-инфраструктуры:
а) применяют актуальные средства защиты информации и мониторинга в соответствии с требованиями действующего законодательства и требованиями, определенными администрацией;
б) соблюдают правила управления событиями безопасности, утвержденные администрацией;
в) проверяют и при необходимости пересматривают структуру и настройки системы защиты защищаемых объектов в администрации, разграничение прав доступа к ним;
г) поддерживают системы защиты ИС и ИТ-инфраструктуры администрации в актуальном состоянии, пересматривают угрозы и уязвимости с учетом Банка данных угроз безопасности информации ФСТЭК России;
3) Проводится инструктаж / обучение сотрудников администрации по вопросам обеспечения информационной безопасности в администрации, в т.ч. безопасности ИС.
VII. Ответственность
7.1. Ответственность за организацию процедуры реагирования на инциденты безопасности в соответствии с требованиями настоящих Правил возложена на ответственного за организацию защиты информации, не отнесенной к государственной тайне, в администрации.
7.2. Ответственность за соблюдение требований настоящих Правил возложена на каждого сотрудника администрации.
7.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
ПРИЛОЖЕНИЕ
к Правилам реагирования на инциденты информационной безопасности
ФОРМА КАРТОЧКИ ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
от _________________ № _______
________________________________________________________________________
[указывается: что произошло; когда: дата и время (возникновение, обнаружение и сообщение), продолжительность; как и где произошло; почему произошло; источник информации об инциденте; источник события безопасности (внутренний или внешний контур); объекты (субъекты) поражения; повторно или вновь; и т.п.]
[осуществляется выбор: единичный; массовый (внутренний контур); массовый (внутренний и внешний контур)]
[осуществляется выбор уровня значимости (критичности); приводится обоснование]
[уровни критичности:
- критичный: инцидент, который приведет к невозможности выполнения возложенных функций (предоставления услуг), значительным негативным последствиям для электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации;
- высокий: инцидент, который приведет к существенному ограничению выполнения возложенных функций (предоставления услуг), существенному ухудшению ситуации или существенным негативным последствиям для электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации;
- средний: инцидент, который приведет к ограничению выполнения возложенных функций (предоставления услуг), ухудшению ситуации или негативным последствиям для электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации;
- низкий: инцидент, который приведет к ограничению выполнения возложенных функций (предоставления услуг), ухудшению ситуации или незначительным негативным последствиям для электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации.]
[указываются последствия и объект, которому нанесен ущерб; обоснование]
________________________________________________________________________
[указывается: ход разбирательства (расследования); участники; предпринятые и запланированные действия; отчет; выявленные виновные лица; превентивные меры и т.п.]
________________________________________________________________________
[указывается стоимость с обоснованием]
[осуществляется выбор вероятности: низкая, средняя или высокая; обоснование]
Подписи:
________________________________________________________________________
[указывается в отношении каждого участника: Ф.И.О.; должность; функциональная роль; ставится подпись]
|
|
УТВЕРЖДЕНЫ Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПРАВИЛА РАБОТЫ
С БУМАЖНЫМИ НОСИТЕЛЯМИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
(далее – Правила)
1.1. Настоящие Правила устанавливают основные требования по управлению доступом / использованию администрации Большемурашкинского муниципального района ( (далее – администрация) бумажных носителей, содержащих защищаемую информацию (далее – бумажный носитель), в целях обеспечения их защиты.
1.2. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства (в т.ч. персональные данные), а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.3. Настоящие Правила являются обязательными для соблюдения сотрудниками администрации, имеющими доступ к бумажным носителям.
2.1. Работа с бумажными носителями осуществляется только сотрудниками администрации (третьими лицами), имеющими к ним санкционированный доступ.
2.2. Физический доступ к бумажным носителям предоставляется только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций), с соблюдением принципа предоставления минимально необходимых привилегий.
2.3. Сотрудник администрации, работающий с бумажным носителем:
2.4. Сотруднику администрации, работающему с бумажным носителем, запрещено:
2.5. При работе с бумажными носителями персональных данных сотрудники администрации дополнительно соблюдают следующие правила:
2.6. При несовместимости целей обработки персональных данных, зафиксированных на одном бумажном носителе, если носитель не позволяет осуществлять обработку персональных данных отдельно от других персональных данных, зафиксированных на том же носителе, сотрудники администрации принимают меры по обеспечению их раздельной обработки, в частности:
Требование применяется также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном носителе персональных данных и информации, не являющейся персональными данными.
2.7. С целью доведения до сотрудников администрации и третьих лиц фактов работы с бумажными носителями, содержащими защищаемую информацию, носители подлежат специальному обозначению (маркированию или визуальному выделению) пометкой «Конфиденциально» или «Документ ограниченного доступа», за исключением документов, содержащих служебные сведения, доступ к которым ограничен органами государственной власти, которые обозначаются пометкой «Для служебного пользования» (ДСП). Пометка проставляется в правом верхнем углу титульной стороны листа. Специальное обозначение документов (бумажных носителей) осуществляет сотрудник администрации, который создал документ. Специальное обозначение проставляется при печати документов машинным способом или путем применения штампа (клише), или ручной надписью на созданных документах. Специальное обозначение ранее созданных бумажных носителей осуществляется при обращении к ним.
2.8. Каждый сотрудник администрации, осуществляющий обработку защищаемой информации, самостоятельно, не реже 1 (одного) раза в год осуществляет ревизию бумажных носителей, с которыми он работал. В ходе ревизии сотрудником выявляются носители, которые более не требуются, и уничтожаются в установленном порядке.
2.9. При хранении бумажного носителя соблюдаются условия, обеспечивающие исключение несанкционированного ознакомления с информацией, хранящейся на носителе, и ее содержанием, и исключающие несанкционированный доступ к носителю, его хищение, подмену и уничтожение, а также исключающие негативное воздействие внешних факторов на хранимую информацию. Сотрудник администрации, имеющий доступ к бумажному носителю и вскрывший его хранилище в связи со служебной необходимостью, обеспечивает его возврат в хранилище с соблюдением требований к хранению. Для хранения бумажных носителей используются учтенные администрацией хранилища с присвоенными инвентарными номерами.
III. Ответственность
3.1. Ответственность за организацию процедуры работы с бумажными носителями (за исключением носителей персональных данных) в соответствии с требованиями настоящих Правил возложена на ответственного за организацию защиты информации, не отнесенной к государственной тайне, в администрации, за организацию процедуры работы с бумажными носителями персональных данных – на ответственного за организацию обработки персональных данных.
3.2. Ответственность за соблюдение требований настоящих Правил возложена на каждого сотрудника администрации, имеющего доступ к бумажному носителю.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК УНИЧТОЖЕНИЯ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
(далее – Порядок)
1.1. Настоящий Порядок определяет правила уничтожения защищаемой информации, в т.ч. персональных данных, содержащейся на машинных носителях информации, применяемых в защищаемых информационных системах администрации Большемурашкинского муниципального района (далее – администрация), а также на иных машинных носителях (далее – машинный носитель) и бумажных носителях, в целях обеспечения конфиденциальности защищаемой информации.
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящий Порядок является обязательным для соблюдения сотрудниками администрации, обрабатывающими защищаемую информацию, а также сотрудниками администрации, участвующими в процессах уничтожения защищаемой информации.
2.1. Уничтожению (стиранию) подлежит защищаемая информация, хранящаяся на цифровых и нецифровых, съемных и несъемных машинных носителях, на бумажных носителях. Стиранию подлежит защищаемая информация на машинном носителе, который передается на уничтожение.
2.2. Уничтожение персональных данных осуществляется при достижении целей обработки персональных данных, в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, в случае получения соответствующего обращения от субъекта, в случае выявления неправомерных действий с персональными данными (подтверждение, что данные незаконно получены или не являются необходимыми для заявленной цели обработки) и если обеспечить правомерность обработки персональных данных невозможно (например, невозможно получить согласие субъекта) в рамках сроков, установленных Федеральным законом №152-ФЗ, а также в случае передачи машинных носителей персональных данных между пользователями или в сторонние организации для ремонта или утилизации (до фактической передачи) и в случае вывода машинного носителя персональных данных из эксплуатации в составе ИС (в день вывода из эксплуатации). Уничтожение иной защищаемой информации осуществляется при достижении целей ее обработки, в случае передачи машинных носителей защищаемой информации между пользователями или в сторонние организации для ремонта или утилизации (до фактической передачи) и в случае вывода машинного носителя защищаемой информации из эксплуатации в составе ИС (в день вывода из эксплуатации).
2.3. Уничтожение персональных данных осуществляется комиссией, состоящей из: сотрудника администрации, который осуществляет обработку подлежащих уничтожению персональных данных; ответственного за организацию обработки персональных данных; локального администратора (если применяется машинный носитель); администратора безопасности ИС (если носитель задействован в ИС, требуется применение специальных средств уничтожения); администратора безопасности ИТ-инфраструктуры администрации (если носитель задействован в составе ИТ-инфраструктуры администрации, требуется применение специальных средств уничтожения). Уничтожение иной защищаемой информации осуществляется комиссией, состоящей из: сотрудника администрации, который осуществляет обработку подлежащей уничтожению информации; локального администратора (если применяется машинный носитель); администратора безопасности ИС (если носитель задействован в ИС, требуется применение специальных средств уничтожения); администратора безопасности ИТ-инфраструктуры администрации (если носитель задействован в составе ИТ-инфраструктуры администрации, требуется применение специальных средств уничтожения). Состав комиссии утверждается приказом. Комиссия отвечает за проведение процедуры уничтожения защищаемой информации.
2.4. Если обработка защищаемой информации (персональных данных) осуществляется другим лицом, действующим по поручению администрации, организуется необходимая работа по обеспечению ее уничтожения. В случаях с персональными данными работа по обеспечению их уничтожения организуется ответственным за организацию обработки персональных данных. В случаях с иной защищаемой информацией работа по обеспечению ее уничтожения организуется сотрудником администрации, ответственным за безопасность обработки такой информации.
2.5. В случае отсутствия возможности уничтожить персональные данные в рамках законодательно установленных сроков сотрудник администрации, осуществляющий обработку подлежащих уничтожению персональных данных, осуществляет блокирование таких данных или во взаимодействии с ответственным за организацию обработки персональных данных организует необходимую работу по обеспечению их блокирования, и обеспечивает уничтожение персональных данных в законодательно установленные сроки. Персональные данные сотрудников администрации, содержащиеся на машинных носителях, уничтожаются в течение 30 (тридцати) дней со дня окончания претензионного срока по индивидуальным трудовым спорам, установленного статьей 392 ТК РФ, по причине достижения администрацией цели обработки персональных данных этого субъекта и на основании Федерального закона №152-ФЗ.
2.6. При уничтожении защищаемой информации (персональных данных) комиссия:
2.7. Уничтожение защищаемой информации (персональных данных), если это допускается машинным носителем, может осуществляться следующими способами:
1) способ, исключающий дальнейшую обработку этой информации с сохранением возможности обработки иной информации, зафиксированной на данном машинном носителе (удаление, вымарывание) (при перемещении данных в корзину их немедленно необходимо удалить из корзины);
2) стирание этой информации по технологии, предусмотренной для данного типа носителя, с применением сертифицированных средств гарантированного уничтожения информации (допускается задействовать механизмы затирания, встроенные в сертифицированные средства защиты информации) или иных программных средств, направленных на уничтожение информации;
3) уничтожение машинных носителей защищаемой информации в соответствии с Порядком уничтожения носителей защищаемой информации, утвержденным администрацией, например, в случае, когда машинный носитель не подлежит очистке.
2.8. Могут применяться следующие меры по уничтожению (стиранию) защищаемой информации (персональных данных) на машинных носителях, исключающие возможность ее восстановления:
1) удаление файлов и (или) форматирование машинного носителя штатными средствами операционной системы;
2) перезапись уничтожаемых (стираемых) файлов случайной битовой последовательностью, удаление записи о файлах, обнуление журнала файловой системы или полная перезапись всего адресного пространства машинного носителя случайной битовой последовательностью с последующим форматированием;
3) очистка всего физического пространства машинного носителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя;
4) полная многократная перезапись машинного носителя специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации, затем очистка всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя;
5) размагничивание машинного носителя.
2.9. После уничтожения защищаемой информации их носители передаются для дальнейшего использования или гарантированного уничтожения, а персональные данные, содержащиеся в ИС, обезличиваются (при уничтожении персональных данных).
2.10. По факту уничтожения защищаемой информации составляется Акт по форме, приведенной в Приложении к настоящему Порядку. Акт уничтожения персональных данных хранится у ответственного за организацию обработки персональных данных, акт уничтожения иной защищаемой информации хранится у ответственного за безопасность обработки такой информации. Акт хранится в бумажном виде в течение 1 (одного) года в запираемом ящике (шкафу, сейфе – не намокаемом, несгораемом), несанкционированный доступ к которому ограничен, после чего передается на архивное хранение в соответствии с принятой в администрации процедурой.
2.11. Контроль уничтожения (стирания) персональных данных обеспечивается ответственным за организацию обработки персональных данных. Контроль уничтожения (стирания) иной защищаемой информации обеспечивается ответственным за безопасность обработки такой информации.
III. Ответственность
3.1. Ответственность за организацию процедуры уничтожения защищаемой информации (за исключением персональных данных) в соответствии с требованиями настоящего Порядка возложена на ответственного за организацию защиты информации, не отнесенной к государственной тайне, в администрации, за организацию процедуры уничтожения персональных данных – на ответственного за организацию обработки персональных данных.
3.2. Ответственность за соблюдение требований настоящего Порядка возложена на каждого сотрудника администрации, обрабатывающего защищаемую информацию, а также на каждого сотрудника администрации, участвующего в процессах уничтожения защищаемой информации.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
ПРИЛОЖЕНИЕ
к Порядку уничтожения защищаемой информации
ФОРМА АКТА УНИЧТОЖЕНИЯ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
АКТ
уничтожения ________________________________
(указать, например, персональных данных)
от «____» ______________20___г. № ______
|
Ф.И.О. |
─ |
должность |
сформированная в соответствии с __________________________________________,
(указывается основание)
установила:
1) гарантированному уничтожению подлежит следующая информация с носителей:
|
№ п/п |
Тип носителя |
Регистрационный (учетный, инвентарный) номер |
Описание информации (наименование файлов, их характеристика) |
Примечание |
|
|
|
|
|
|
2) информация, перечисленная в подпункте 1 пункта 1 настоящего акта, ________________________________________________________________________
(указать причину уничтожения, например, не представляет ценности
и утратила практическое значение, сроки хранения ее истекли)
1) уничтожена информация с носителей в соответствии с подпунктом 1 пункта 1 настоящего акта;
2) информация уничтожена способом: _______________________________________;
(указывается способ уничтожения)
3) носитель информации передан для (выбрать):
а) дальнейшего использования:
|
№ п/п |
Тип носителя |
Регистрационный (учетный, инвентарный) номер |
Лицо / структурное подразделение, которому передается носитель |
Примечание |
|
|
|
|
|
|
б) гарантированного уничтожения:
|
№ п/п |
Тип носителя |
Регистрационный (учетный, инвентарный) номер |
Лицо / структурное подразделение, которому передается носитель |
Примечание |
|
|
|
|
|
|
________________________ (Ф.И.О. сотрудника), осуществляющему обработку уничтоженных персональных данных, уведомить субъекта ______________________________ (Ф.И.О.) об уничтожении его персональных данных, а также уведомить __________________ (наименование третьих лиц), которым персональные данные данного субъекта были переданы.
|
Ф.И.О. |
─ |
подпись |
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК УНИЧТОЖЕНИЯ
НОСИТЕЛЕЙ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
(далее – Порядок)
1.1. Настоящий Порядок определяет правила уничтожения носителей защищаемой информации, в т.ч. носителей персональных данных, применяемых в защищаемых информационных системах администрации Большемурашкинского муниципального района (далее – администрация), а также иных носителей, на которых содержится защищаемая информация, в целях обеспечения ее конфиденциальности.
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящий Порядок является обязательным для соблюдения сотрудниками администрации, работающими с носителями защищаемой информации, а также сотрудниками администрации, участвующими в процессах уничтожения носителей защищаемой информации.
2.1. В обязательном порядке уничтожению подлежат поврежденные, выводимые из эксплуатации носители, содержащие защищаемую информацию, и использование которых не предполагается в дальнейшем.
2.2. Уничтожение носителей персональных данных осуществляется комиссией, состоящей из: сотрудника администрации, в пользовании которого находится носитель; ответственного за организацию обработки персональных данных; локального администратора (если уничтожается машинный носитель, не входящий в состав ИС) / администратора ИС с функциями локального администратора (если уничтожается машинный носитель ИС). Уничтожение носителей иной защищаемой информации осуществляется комиссией, состоящей из: сотрудника администрации, в пользовании которого находится носитель; локального администратора (если уничтожается машинный носитель, не входящий в состав ИС) / администратора ИС с функциями локального администратора (если уничтожается машинный носитель ИС). Состав комиссии утверждается приказом. Комиссия отвечает за проведение процедуры уничтожения защищаемой информации.
2.3. Для утилизации машинного носителя сотрудник администрации, в пользовании которого находится носитель, возвращает его локальному администратору (если уничтожается машинный носитель, не входящий в состав ИС) / администратору ИС с функциями локального администратора (если уничтожается машинный носитель ИС). Администратор идентифицирует носитель по Журналу учета машинных носителей и диагностирует его на работоспособность. В случае признания носителя пришедшим в негодность, проводится процедура уничтожения машинного носителя.
2.4. Уничтожение машинного носителя предполагает нанесение ему неустранимого физического повреждения, исключающего возможность его использования, а также восстановления информации (сжигание, измельчение, плавление и т.п.). В случае с носителями на жестком магнитном диске уничтожению подлежат внутренние диски и микросхемы; в случае с SSD-дисками, USB- и Flash-носителями уничтожению подлежат модули и микросхемы долговременной памяти. Для уничтожения накопителей на основе флеш-памяти и твердотельных накопителей с энергозависимой памятью портится микросхема накопителя путем физического воздействия (удар молотком и пр.); для уничтожения CD/DVD–ROM портится рабочая сторона диска путем трения наждачной бумагой или ломкой / резкой диска на мелкие части; для уничтожения гибких магнитных дисков разбирается дискета и портится рабочий диск путем поломки / нарезки диска на мелкие части; для уничтожения жестких дисков и внешних жестких дисков разбирается носитель и портятся рабочие магнитные диски путем физического воздействия (трение наждачной бумагой, удары молотка и пр.). Для уничтожения могут применяться специализированные технические средства.
2.5. Уничтожение бумажных носителей осуществляется только после проверки и подтверждения того, что цели обработки защищаемой информации (персональных данных) выполнены и сроки их хранения истекли, и (или) бумажные носители пришли в негодность (цели обработки не выполнены, сроки хранения не истекли), а данные с них корректно перенесены на носители, позволяющие осуществлять дальнейшую обработку защищаемой информации. Проверку и, в случае необходимости, перенос данных на новый носитель осуществляет сотрудник администрации, который работал с соответствующим носителем, во взаимодействии с ответственным за организацию обработки персональных данных (если проверяются и переносятся персональные данные). Бумажные носители, содержащие черновые варианты вновь создаваемых документов, содержащих защищаемую информацию, уничтожаются немедленно после подписания (утверждения) окончательного варианта документа сотрудником администрации, который распечатал черновой вариант документа на бумажный носитель, без оформления акта уничтожения.
2.6. Уничтожение бумажных носителей и прочих сгораемых носителей осуществляется физическим воздействием на носитель (измельчение, сжигание), в том числе с применением специализированных технических средств.
2.7. По факту уничтожения носителя составляется Акт по форме, приведенной в Приложении к настоящему Порядку. Акт уничтожения бумажного носителя персональных данных хранится у ответственного за организацию обработки персональных данных, акт уничтожения бумажного носителя иной защищаемой информации хранится у ответственного за безопасность обработки такой информации, акт уничтожения машинного носителя – у локального администратора (если носитель, не входил в состав ИС), акт уничтожения машинного носителя ИС – у администратора ИС с функциями локального администратора (если носитель, входил в состав ИС). Акт хранится в бумажном виде в течение 1 (одного) года в запираемом ящике (шкафу, сейфе – не намокаемом, несгораемом), несанкционированный доступ к которому ограничен, после чего передается на архивное хранение в соответствии с принятой в администрации процедурой.
III. Ответственность
3.1. Ответственность за организацию процедуры уничтожения носителей защищаемой информации (за исключением персональных данных) в соответствии с требованиями настоящего Порядка возложена на ответственного за организацию защиты информации, не отнесенной к государственной тайне, в администрации, за организацию процедуры уничтожения носителей персональных данных – на ответственного за организацию обработки персональных данных.
3.2. Ответственность за соблюдение требований настоящего Порядка возложена на каждого сотрудника администрации, работающего с носителем защищаемой информации, а также на каждого сотрудника администрации, участвующего в процессах уничтожения носителей защищаемой информации.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
ПРИЛОЖЕНИЕ
к Порядку уничтожения носителей защищаемой информации
ФОРМА АКТА УНИЧТОЖЕНИЯ
НОСИТЕЛЕЙ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
АКТ
уничтожения носителя _____________________________
(указать, например, персональных данных)
от «____» ______________20___г. № ______
|
Ф.И.О. |
─ |
должность |
сформированная в соответствии с___________________________________________,
(указывается основание)
установила:
носитель, подлежащий уничтожению в соответствии с _____________________________________________ (указываются сведения об акте уничтожения защищаемой информации) (далее – носитель):
|
№ п/п |
Тип носителя |
Регистрационный (учетный, инвентарный) номер |
Характеристика носителя |
Примечание |
|
|
|
|
|
|
_________________________________________ (указать достаточное для уничтожения описание, например, не содержит информации, представляющей ценность и практическое значение), в связи с чем подлежит гарантированному уничтожению.
носитель уничтожен способом: _______________________________ (указывается способ).
|
Ф.И.О. |
─ |
подпись |
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ДОСТУПА В ПОМЕЩЕНИЯ
(далее – Порядок)
1.1. Настоящий Порядок направлен на установление режима безопасности помещений администрации Большемурашкинского муниципального района (далее – администрация), в которых: 1) обрабатывается информация ограниченного доступа, не отнесенная к государственной тайне, в т.ч. персональные данные, 2) хранятся носители информации ограниченного доступа, не отнесенной к государственной тайне, в т.ч. персональных данных, 3) размещаются технические средства (средства вычислительной техники) защищаемых информационных систем администрации (далее – ИС), обрабатывающие информацию, пользовательские, сетевые и серверные компоненты ИС, средства обеспечения функционирования ИС, 4) размещаются автоматизированные рабочие места (АРМ) администраторов ИС и администраторов безопасности ИС, 5) установлены (размещаются), хранятся средства криптографической защиты информации (СКЗИ) и (или) ключевые документы к ним (носители ключевой, аутентифицирующей и парольной информации) (далее – помещения с СКЗИ), 6) установлены (размещаются) средства защиты информации, 7) хранятся учетные журналы, имеющие отношение к информационной безопасности и функционированию ИС (далее – Помещения), и определяет условия, препятствующие несанкционированному доступу в Помещения.
1.2. Под защищаемой информационной системой (ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящий Порядок является обязательным для соблюдения всеми сотрудниками администрации.
2.1. Перечень Помещений администрации, в которых исключено несанкционированное пребывание посторонних лиц, утверждается администрацией.
2.2.. Для Помещений организован режим, препятствующий возможности неконтролируемого проникновения или пребывания в них лиц, не имеющих в них прав доступа.
2.3. Ограничение и контроль физического доступа в Помещения обеспечиваются путем применения технических (физических) и организационных мер.
2.4. Доступ к помещениям административного здания, в котором располагается администрация, ограничивается средствами охраны периметра административного здания (пост охраны). Контроль функционирования постов охраны административного здания осуществляет частное охранное предприятие. Его работники осуществляют визуальное наблюдение за физическими лицами, проходящими через вход административного здания. При возникновении подозрений работники могут остановить лицо для установления его личности и цели нахождения на территории административного здания. На территорию административного здания специализированный персонал (правоохранительные органы, пожарные, скорая медицинская помощь, аварийные бригады и пр.) допускается с уведомлением частного охранного предприятия или без ограничений в случаях, предусмотренных действующим законодательством.
[указать реальную картину, если не соответствует указанной выше в части охраны]
2.5. Нахождение посторонних лиц и сотрудников администрации в Помещениях допускается только в присутствии сотрудников администрации, имеющих в них доступ. Перечень сотрудников администрации, имеющих доступ в Помещения, утверждается администрацией. В нерабочее время пребывание вышеуказанных сотрудников допускается на основании служебных записок (или иных видов разрешающих документов), подписанных руководителем администрации. Фактический период пребывания (дата и время) вышеуказанного сотрудника в Помещении фиксируется им под роспись в соответствующем журнале учета работы, если администрацией принято решение о ведении такого журнала. При штатной работе период пребывания вышеуказанного сотрудника в Помещении приравнивается к графику его работы, за вычетом регламентированного времени на обеденный перерыв. Сотрудники органов МЧС России, аварийных служб и скорой помощи допускаются в Помещения в сопровождении руководителя структурного подразделения администрации / сотрудника администрации, имеющего доступ в Помещение, в целях ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи, в экстренных случаях – без ограничений в соответствии с действующим законодательством. Обслуживающий персонал, осуществляющий уборку и техническое обслуживание Помещений, допускается в Помещения только в присутствии сотрудников администрации, имеющих в них доступ. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в помещения с СКЗИ посторонних лиц, о случившемся немедленно сообщается администратору безопасности ИС, в которой используется СКЗИ, и администратору безопасности ИТ-инфраструктуры администрации (если СКЗИ входит в состав ИТ-инфраструктуры (локальной вычислительной сети) администрации), руководителю администрации и руководителю соответствующего органа криптографической защиты.
2.6. Доступ в Помещения в рабочее время ограничивается дверями с кодовым (электронным) и (или) механическим замком, в нерабочее время – обязательно механическими замками, гарантирующими надежное закрытие. Открытое Помещение ни при каких штатных обстоятельствах не остается без присмотра сотрудников администрации. Сотрудник администрации, последним уходящий из Помещения и имеющий доступ к ключам (кодовым (электронным) замкам), запирает его. Открытие Помещений осуществляется только для санкционированного прохода. Помещения с СКЗИ опечатываются по окончании рабочего дня / оборудуются соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии [целесообразно указать реальную картину, выбрав из списка]. Окна помещений с СКЗИ, расположенных на первых или последних этажах здания администрации, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения с СКЗИ посторонних лиц, оборудованы металлическими решетками / ставнями / охранной сигнализацией / другими средствами [целесообразно указать реальную картину, выбрав из списка], препятствующими неконтролируемому проникновению в помещения с СКЗИ.
[указать реальную картину, если не соответствует указанной выше в части электронных ключей (СКУД)]
2.7. Непосредственный контроль доступа лиц в Помещения, за исключением серверного помещения администрации, в котором размещаются сетевые и (или) серверные компоненты ИС, средства обеспечения функционирования ИС (далее – серверное помещение), осуществляется сотрудниками администрации методом визуального наблюдения. При входе в Помещение после отсутствия на рабочем месте сотрудник администрации проводит его визуальный осмотр на предмет несанкционированного доступа, а при его обнаружении уведомляет об этом администратора безопасности ИС / администратора безопасности ИТ-инфраструктуры администрации. О попытках неконтролируемого проникновения посторонних лиц в Помещения немедленно сообщается руководителю администрации.
2.8. Мероприятия по организации разграничения физического доступа лиц в серверное помещение и контроль доступа осуществляет локальный администратор. Доступ в серверное помещение ограничен круглосуточно дверью с механическим замком, системой контроля управления доступом (СКУД), системой видеонаблюдения, администрируемой локальным администратором, и разрешен только в присутствии лиц, имеющих в него право доступа. Средство регистрации (видеокамера) располагается таким образом, чтобы однозначно осуществлять видеофиксацию лиц, заходящих в серверное помещение. Просмотр записей системы видеонаблюдения осуществляет локальный администратор и при необходимости администратор безопасности ИС / администратор безопасности ИТ-инфраструктуры администрации. Записи системы видеонаблюдения при необходимости могут предоставляться контрольно-надзорным органам. Санкционированные факты доступа в серверное помещение фиксируются в соответствующем журнале учета.
[указать реальную картину, если не соответствует указанной выше в части электронных ключей (СКУД), видеонаблюдения]
2.9. Действия с ключами (электронными картами) от Помещений фиксируются в соответствующем журнале учета. Ключи (электронные карты) от Помещений не подлежат несанкционированному копированию (изготовлению дубликатов), не подлежат бесконтрольному нахождению в дверных замках и в иных местах, не исключающих несанкционированный доступ к ним. Ключи (электронные карты) подлежат возврату лицом, которому они были выданы, при его увольнении или утрате им прав доступа в Помещение. За сохранность выданных ключей (электронных карт) ответственность несет их пользователь. Выдачу ключей (электронных карт) от серверного помещения осуществляет локальный администратор, выдачу ключей (электронных карт) от других Помещений – администратор безопасности ИТ-инфраструктуры администрации. Неиспользуемый дубликат (оригинал) ключа (электронной карты) от Помещения, за исключением серверного помещения, хранится в шкафу (ящике, хранилище (сейфе)), подконтрольном администратору безопасности ИТ-инфраструктуры администрации, в непросматриваемой упаковке, опечатанной прочной наклейкой по всей длине кромки вскрытия упаковки и удостоверенной подписью (печатью) лица, изготовившего дубликат (получившего оригинал), на месте вскрытия упаковки. Аналогично хранится неиспользуемый дубликат (оригинал) ключа (электронной карты) от серверного помещения в шкафу (ящике, хранилище (сейфе)), подконтрольном локальному администратору. Об утери или недостаче ключей (электронных карт) от Помещений сотрудники администрации немедленно сообщают руководителю администрации (ответственному за организацию защиты информации, не отнесенной к государственной тайне), ответственному за организацию обработки персональных данных (в отношении помещения с персональными данными), локальному администратору (в отношении серверного помещения), администратору безопасности ИТ-инфраструктуры администрации и администратору безопасности ИС (в отношении Помещения ИС). В случае утери ключей от Помещений заменяется дверной замок или переделывается его секрет с изготовлением к нему новых ключей с документальным оформлением. Если дверной замок переделать невозможно, то заменяется дверь. Порядок хранения ключевых и других документов СКЗИ в помещении с СКЗИ, от которого утрачен ключ, до изменения секрета замка устанавливает соответствующий орган криптографической защиты.
[указать реальную картину, если не соответствует указанной выше в части указания на электронные ключи]
III. Ответственность
3.1. Ответственность за организацию процедуры доступа в Помещения (установления режима безопасности) в соответствии с требованиями настоящего Порядка возложена на ответственного за организацию защиты информации, не отнесенной к государственной тайне, в администрации.
3.2. Ответственность за соблюдение требований настоящего Порядка возложена на каждого сотрудника администрации.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА
СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ЭКСПЛУАТАЦИОННОЙ И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ И ТЕХНИЧЕСКОГО (АППАРАТНОГО) ЖУРНАЛА (далее – Порядок)
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА УЧЕТА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
(далее – Порядок)
1) НСД – средство от несанкционированного доступа;
2) МЭ – средство межсетевого экранирования;
3) АВЗ – средство антивирусной защиты;
4) СПВ – средство предотвращения вторжений;
5) АНЗ – средство контроля (анализа) защищенности информации;
6) ОЦЛ – средство целостности информационной системы и информации;
7) РСБ – средство регистрации событий безопасности;
8) ОПС – средство ограничения программной среды;
9) УПД – средство управления доступом субъектов доступа к объектам доступа;
10) ИАФ – средство идентификации и аутентификации субъектов доступа и объектов доступа.
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА УЧЕТА МАШИННЫХ НОСИТЕЛЕЙ
(далее – Порядок)
1) съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);
2) портативные вычислительные устройства, имеющие встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства);
3) машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках).
1) ПВУ – носитель портативного вычислительного устройства;
2) АРМ – носитель персонального компьютера;
3) СРВ – носитель серверного оборудования;
4) СХД – носитель оборудования для консолидированного хранения данных;
5) ОН – отчуждаемый машинный носитель информации.
1) FD – накопитель на основе флеш-памяти (USB-флеш накопитель, твердотельный накопитель и карта памяти);
2) RSSD – твердотельный накопитель с энергозависимой памятью;
3) CD – CD-ROM;
4) DVD – DVD-ROM;
5) FDD – гибкий магнитный диск;
6) UHDD – внешний жесткий диск;
7) HDD – жесткий диск.
Таким образом, краткий идентификатор типа машинного носителя (XX) может быть представлен, например, как: АРМ.HDD; СРВ.HDD и т.п.
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА УЧЕТА ТЕХНИЧЕСКИХ СРЕДСТВ
(далее – Порядок)
1) СРВ – серверное оборудование;
2) АРМ – устройства персонального компьютера;
3) АСО – активное сетевое оборудование;
4) СХД – оборудование для консолидированного хранения данных;
5) СОФ – средства обеспечения функционирования (например, ИБП).
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА УЧЕТА ИНСТРУКТАЖА И ОБУЧЕНИЯ
ПО ВОПРОСАМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
(далее – Порядок)
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА
УЧЕТА КЛЮЧЕЙ И ЭЛЕКТРОННЫХ КАРТ
(далее – Порядок)
1) ДЭК – дубликат электронной карты;
2) ДДК – дубликат дверного ключа;
3) ОДК – оригинальный дверной ключ;
4) ОЭК – оригинальная электронная карта;
5) ДКХ – дубликат ключа хранилища;
6) ОКХ – оригинальный ключ хранилища.
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА
УЧЕТА ДОСТУПА В СЕРВЕРНОЕ ПОМЕЩЕНИЕ
(далее – Порядок)
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА УЧЕТА ДОСТУПА
К ИНФОРМАЦИОННЫМ СИСТЕМАМ
(далее – Порядок)
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА УЧЕТА
РЕЗЕРВНОГО КОПИРОВАНИЯ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ
(далее – Порядок)
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПОРЯДОК ВЕДЕНИЯ ЖУРНАЛА УЧЕТА СОБЫТИЙ БЕЗОПАСНОСТИ
(далее – Порядок)
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ,
ЭКСПЛУАТАЦИОННОЙ И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ
|
№ п/п |
Наименование СКЗИ, эксплуатационной и |
Серийные номера СКЗИ, эксплуатационной и к ним, номера серий ключевых документов |
Номера |
Отметка о получении |
Отметка о выдаче |
||
|
От кого |
Дата и номер |
Ф.И.О. |
Дата и |
||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
|
|
|
|
|
|
|
|
|
Отметка о подключении (установке) СКЗИ |
Отметка об изъятии СКЗИ из аппаратных |
Примечание |
||||
|
Ф.И.О. сотрудников |
Дата |
Номера аппаратных |
Дата |
Ф.И.О. сотрудников |
Номер акта |
|
|
9 |
10 |
11 |
12 |
13 |
14 |
15 |
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ТЕХНИЧЕСКОГО (АППАРАТНОГО) ЖУРНАЛА
|
№ п/п |
Дата |
Тип и серийные |
Записи по |
Используемые криптоключи |
Отметка об уничтожении (стирании) |
Примечание |
|||
|
Тип |
Серийный, криптографический |
Номер разового |
Дата |
Подпись пользователя СКЗИ |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
|
№ п/п |
Порядковый номер средства защиты (СрЗИ) (YYYY) |
Краткий идентификатор типа СрЗИ (ХХ) |
Учетный номер (XX.YYYY) |
Получение доступа к СрЗИ |
||||
|
Подпись лица, получившего доступ, расшифровка подписи, должность |
Цель / основание доступа |
Место установки |
Дата получения доступа |
Подпись сотрудника, предоставившего доступ, расшифровка подписи |
||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
|
|
|
|
|
|
|
|
|
|
Обновление СрЗИ |
Снятие с учета СрЗИ |
Примечание |
||||
|
Основание обновления |
Подтверждение обновления (дата, номер документа) |
Подпись сотрудника, ответственного за внесение данной информации, расшифровка подписи |
Основание снятия с учета |
Подтверждение факта снятия с учета (дата, номер документа) |
Подпись сотрудника, ответственного за внесение данной информации, расшифровка подписи |
|
|
10 |
11 |
12 |
13 |
14 |
15 |
16 |
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА МАШИННЫХ НОСИТЕЛЕЙ
|
Изъятие машинного носителя |
Уничтожение машинного носителя |
Примечание |
||||
|
Основание изъятия |
Подтверждение факта изъятия (дата, номер документа) |
Подпись сотрудника, ответственного за внесение данной информации, расшифровка подписи |
Основание уничтожения |
Подтверждение факта уничтожения (дата и номер акта об уничтожении) |
Подпись сотрудника, ответственного за внесение данной информации, расшифровка подписи |
|
|
11 |
12 |
13 |
14 |
15 |
16 |
17 |
|
|
|
|
|
|
|
|
|
№ п/п |
Порядковый номер носителя (YYYY) |
Краткий идентификатор типа носителя (ХХ) |
Учетный номер (XX.YYYY) |
Пользователь или группа пользователей / лица, которым разрешен доступ к носителю |
Получение, передача и хранение машинного носителя |
||||
|
Цель и основание передачи (получения) |
Дата |
Место установки / хранения |
Подпись лица, получившего носитель, расшифровка подписи |
Подпись лица, передавшего носитель, расшифровка подписи |
|||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА ТЕХНИЧЕСКИХ СРЕДСТВ
|
Изъятие СВТ |
Уничтожение СВТ |
Примечание |
||||
|
Основание изъятия |
Подтверждение факта изъятия (дата, номер документа) |
Подпись сотрудника, ответственного за внесение данной информации, расшифровка подписи |
Основание уничтожения |
Подтверждение факта уничтожения (дата и номер акта об уничтожении) |
Подпись сотрудника, ответственного за внесение данной информации, расшифровка подписи |
|
|
11 |
12 |
13 |
14 |
15 |
16 |
17 |
|
|
|
|
|
|
|
|
|
№ п/п |
Порядковый номер технического средства (СВТ) (YYYY) |
Краткий идентификатор типа СВТ (ХХ) |
Учетный номер (XX.YYYY) |
Пользователь или группа пользователей / лица, которым разрешен доступ к СВТ |
Получение, передача и хранение СВТ |
||||
|
Цель и основание передачи (получения) |
Дата |
Место установки / хранения |
Подпись лица, получившего СВТ, расшифровка подписи |
Подпись лица, передавшего СВТ, расшифровка подписи |
|||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА КЛЮЧЕЙ И ЭЛЕКТРОННЫХ КАРТ
|
№ п/п |
Порядковый номер (YYYY) |
Краткий идентификатор типа ключа / электронной карты (ХХ) |
Учетный номер (XX.YYYY), идентификационные данные |
Выдача ключа / электронной карты |
|||
|
Дата (период) выдачи |
Цель |
Ф.И.О., должность и подпись лица, который выдал |
Ф.И.О. и подпись лица, который получил |
||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
|
|
|
|
|
|
|
|
|
Передача ключа / электронной карты |
Возврат ключа / электронной карты |
Примечание |
||||||
|
Дата (период) передачи |
Цель |
Ф.И.О. и подпись лица, который передал |
Ф.И.О. и подпись лица, который получил |
Дата (период) возврата |
Цель |
Ф.И.О. и подпись лица, который вернул |
Ф.И.О., должность и подпись лица, который получил |
|
|
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА ДОСТУПА В СЕРВЕРНОЕ ПОМЕЩЕНИЕ
|
№ п/п |
Наименование (номер) помещения |
Дата (период) доступа |
Цель / основание доступа |
Ф.И.О. и подпись лица, организовавшего доступ |
Ф.И.О. и подпись лица, получившего доступ |
Примечание |
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА ИНСТРУКТАЖА И ОБУЧЕНИЯ
ПО ВОПРОСАМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
|
№ п/п |
Тип инструктажа / обучения |
Цель, основание и (или) тема инструктажа / обучения |
Инструктируемое / обучаемое лицо (Ф.И.О., должность) |
Лицо или организация, проводившая инструктаж / обучение |
Период проведения инструктажа / обучения |
Результат инструктажа / обучения |
Отметка о проведенном инструктаже / обучении |
Примечание |
|
|
Подпись, расшифровка подписи |
Подпись, расшифровка подписи |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ
|
№ п/п |
Организация / Ф.И.О., должность лица, получающего доступ к информационной системе (ИС) |
Наименование ИС (ее компонентов), к которой(-ым) предоставлен доступ |
Основание и цель доступа |
Механизм доступа и информация о разграничении прав доступа к ИС (ее компонентам) |
Период доступа |
Подпись лица, проводившего работу по предоставлению доступа, расшифровка подписи |
Подпись лица, которому предоставлен доступ, расшифровка подписи |
Примечание |
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА СОБЫТИЙ БЕЗОПАСНОСТИ
|
№ п/п |
Наименование (суть) и (или) код события |
Место события |
Участники события |
Дата события |
Сведения о регистрации события в качестве инцидента безопасности (реквизиты карточки на инцидент) |
Подпись сотрудника, ответственного за внесение данной информации, расшифровка подписи |
Примечание |
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ЖУРНАЛА УЧЕТА РЕЗЕРВНОГО КОПИРОВАНИЯ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ
|
№ п/п |
Резервируемый / восстанавливаемый объект |
Процедура (резервирование / восстановление) |
Основание для проведения работ |
Дата и время начала работ |
Дата и время завершения работ |
Тип копии |
Место хранения копии |
Подпись лица, ответственного за внесение информации, расшифровка подписи |
Примечание |
|
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ФОРМА ТИПОВОГО ОБЯЗАТЕЛЬСТВА СОТРУДНИКА ___________ АДМИНИСТРАЦИИ БОЛЬШЕМУРАШКИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА О ПРЕКРАЩЕНИИ ОБРАБОТКИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ В СЛУЧАЕ РАСТОРЖЕНИЯ
СЛУЖЕБНОГО КОНТРАКТА (ТРУДОВОГО ДОГОВОРА)
Я, _________________________________________________________________________________ (Ф.И.О. полностью),
занимающий (-ая) должность ___________________________________________________________
____________________________________________________________________________________,
(должность полностью)
обязуюсь прекратить обработку защищаемой информации, ставшей мне известной в связи с исполнением должностных обязанностей (функций), в случае расторжения со мной служебного контракта (трудового договора).
Я уведомлен(а) о том, что не имею права разглашать (распространять, передавать, предоставлять доступ) сведения, ставшие мне известными при работе с защищаемой информацией.
Ответственность, предусмотренная действующим законодательством, мне разъяснена.
«___» __________ 20__ г. _____________ / _________________
(дата) (подпись) (Ф.И.О.)
|
|
УТВЕРЖДЕНЫ Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ТИПОВЫЕ ФОРМЫ СОГЛАШЕНИЙ
О НЕРАЗГЛАШЕНИИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
с сотрудником _____________:
________________ [должность руководителя]
________________
(Ф.И.О.)
Соглашение о неразглашении защищаемой информации
Я, _________________________________________________________________________________ (Ф.И.О. полностью),
занимающий (-ая) должность ___________________________________________________________
____________________________________________________________________________________,
(должность полностью)
понимаю, что получаю доступ к следующей защищаемой информации:
____________________________________________________________________________________.
(перечислить и (или) указать категорию (тип) информации, ссылочные сведения)
Я также понимаю, что во время исполнения своих должностных обязанностей, мне приходится заниматься следующими действиями в отношении защищаемой информации (выбрать из списка):
Я понимаю, что разглашение такого рода конфиденциальной информации может нанести ущерб владельцу (собственнику) данной информации и иным лицам (организациям), как прямой, так и косвенный.
В связи с этим, даю обязательство при работе с защищаемой информацией соблюдать требования, установленные действующим законодательством в сфере защиты информации, требования относящихся ко мне организационно-распорядительных документов _____________ [наименование организации], с которыми я ознакомлен(а), а также требования, определенные моей должностной инструкцией (регламентом).
Я подтверждаю, что не имею права разглашать (распространять, передавать, предоставлять доступ) сведения, ставшие мне известными при работе с защищаемой информацией, лицам, неуполномоченным на доступ к защищаемой информации (неопределенному кругу лиц).
Я подтверждаю, что не имею права разглашать (распространять, передавать, предоставлять доступ) содержание документов, ставших мне известными при работе с защищаемой информацией, лицам, неуполномоченным на доступ к защищаемой информации (неопределенному кругу лиц).
Я предупрежден(а) о том, что в случае несанкционированного разглашения (распространения, передачи, предоставления доступа) мной сведений, касающихся защищаемой информации или их утраты, я несу ответственность в соответствии с действующим законодательством.
«___» __________ 20__ г. _____________ / ______________
(дата) (подпись) (Ф.И.О.)
с лицом, не входящим в штатную структуру
_____________:
_____________ [должность руководителя]
________________
(Ф.И.О.)
Соглашение о неразглашении защищаемой информации
Я, _________________________________________________________________________________ (Ф.И.О. полностью),
Вид основного документа, удостоверяющего личность: ___________________________________,
серия, номер: ________________, выданный _____________________________________________
____________________________________________________________________________________ (место выдачи и кем выдан)
«___» _____________ ______ года (дата выдачи),
зарегистрированный по адресу: ____________________________________________________________________________________,
фактически проживающий по адресу: ____________________________________________________________________________________,
понимаю, что получаю доступ к следующей защищаемой информации, обрабатываемой в _____________ [наименование организации]:
____________________________________________________________________________________.
(перечислить и (или) указать категорию (тип) информации, ссылочные сведения)
Я также понимаю, что во время исполнения своих обязанностей (функций), мне приходится заниматься следующими действиями в отношении защищаемой информации (выбрать из списка):
Я понимаю, что разглашение такого рода конфиденциальной информации может нанести ущерб владельцу (собственнику) данной информации и иным лицам (организациям), как прямой, так и косвенный.
В связи с этим, даю обязательство при работе с защищаемой информацией соблюдать требования, установленные действующим законодательством в сфере защиты информации и ________________
____________________________________________________________________________________.
(указывается дополнительно при необходимости документ)
Я подтверждаю, что не имею права разглашать (распространять, передавать, предоставлять доступ) сведения, ставшие мне известными при работе с защищаемой информацией, лицам, неуполномоченным на доступ к защищаемой информации (неопределенному кругу лиц).
Я подтверждаю, что не имею права разглашать (распространять, передавать, предоставлять доступ) содержание документов, ставших мне известными при работе с защищаемой информацией, лицам, неуполномоченным на доступ к защищаемой информации (неопределенному кругу лиц).
Я предупрежден(а) о том, что в случае несанкционированного разглашения (распространения, передачи, предоставления доступа) мной сведений, касающихся защищаемой информации или их утраты, я несу ответственность в соответствии с действующим законодательством.
«___» __________ 20__ г. _____________ / ______________
(дата) (подпись) (Ф.И.О.)
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №___ |
ИНСТРУКЦИЯ АДМИНИСТРАТОРА ИНФОРМАЦИОННОЙ СИСТЕМЫ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные права и обязанности сотрудника администрации Большемурашкинского муниципального района (далее – администрация), выполняющего функции администратора защищаемой информационной системы администрации (далее – администратор).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящая Инструкция является обязательной для исполнения администратором.
2.1. Администратор организовывает создание / ввод в эксплуатацию / эксплуатацию / модернизацию / вывод из эксплуатации ИС и выполняет функцию по организации работы пользователей со специальным программным обеспечением ИС (далее – СПО ИС), контролю правильной эксплуатации СПО ИС.
2.2. Администратор в рамках своей функции выполняет следующие работы:
1) организовывает ознакомление пользователей ИС с необходимыми документами, регламентирующими требования по работе в СПО ИС, а также обучение навыкам выполнения процедур, необходимым для работы в СПО ИС;
2) инструктирует пользователей ИС по вопросам, входящим в круг его полномочий;
3) предоставляет администратору ИС с функциями локального администратора и администратору безопасности ИС имеющийся перечень требований к ИТ-инфраструктуре администрации, а также к мерам защиты информации, которые необходимо удовлетворить для обеспечения функционирования ИС (СПО ИС) в заявленном режиме;
4) предоставляет администратору ИС с функциями локального администратора перечень сотрудников администрации, которым предоставлен доступ в ИС (СПО ИС), в целях организации их автоматизированных рабочих мест (АРМ), настройки правил разграничения доступа и блокирования сеансов работы с АРМ;
5) организовывает разработку (получение) формуляра (паспорта) / эксплуатационной документации на ИС / инструкции пользователя ИС по работе с СПО ИС;
6) присутствует при выполнении технического обслуживания СПО ИС (если проводится на территории администрации);
7) организовывает установку и удаление СПО ИС;
8) организовывает процесс создания резервных копий ИС (СПО ИС), а также процесс восстановления данных из резервных копий;
9) участвует в контрольных проверках, контрольных и тестовых испытаниях, проверках работоспособности СПО ИС в рамках полномочий;
10) организовывает при необходимости восстановление работоспособности (правильности функционирования) и параметров настройки СПО ИС с резервных копий и (или) дистрибутивов, полученных из доверенных источников;
11) выполняет требования администратора безопасности ИС;
12) принимает меры по реагированию, в случае возникновения нештатных и аварийных ситуаций, затрагивающих функционирование ИС, с целью ликвидации их последствий и выявлению причин, в т.ч. сообщает немедленно администратору безопасности ИС о выявленных нештатных ситуациях (в т.ч. о неустойчивом и некорректном функционировании средств ИС и СПО ИС), фактах и попытках несанкционированного доступа к обрабатываемой информации, техническим и программным средствам ИС, средствам защиты информации (СрЗИ), о блокировании, исчезновении (искажении) защищаемой информации, о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, технических и программных средств ИС, СрЗИ, носителей защищаемой информации, а также о несанкционированных (проведенных с нарушением установленного порядка) изменениях в конфигурации программных и аппаратных средств ИС и нарушении установленного порядка работы с ИС.
2.1. Администратор, обладающий правом управления СПО ИС, в рамках своей функции дополнительно выполняет следующие работы:
1) управляет учетными записями пользователей в СПО ИС, руководствуясь Инструкцией по управлению учетными записями пользователей при использовании информационных систем, утвержденной администрацией;
2) предоставляет при необходимости доступ в СПО ИС третьим лицам, соблюдая Положение об обработке информации ограниченного доступа, утвержденное администрацией;
3) управляет СПО ИС в соответствии с частной инструкцией администратора, содержащей правила работы с СПО ИС, следит за его бесперебойным функционированием, принимает меры по его своевременному обновлению (модификации), а также устранению неполадок в его работе и выявлению причин его нештатного функционирования;
4) обеспечивает установку обновлений СПО ИС, полученных из доверенных источников, в соответствии с рекомендациями его разработчиков (производителей) и документацией на систему защиты ИС; контроль установки обновлений проводится немедленно после их установки и фиксируется в Журнале учета событий безопасности, который ведется администрацией; при контроле установки обновлений осуществляются проверки соответствия версий СПО ИС, установленного и выпущенного разработчиком (требуемого к установке), а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений;
5) проводит контроль целостности компонентов СПО ИС по наличию имен (идентификаторов) компонентов СПО ИС и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы ИС в соответствии с рекомендациями разработчиков СПО ИС, эксплуатационной документацией на СПО ИС и документацией на систему защиты ИС; процедуры контроля целостности проводятся в т.ч. после завершения каждого процесса функционирования средств разработки и отладки СПО ИС; проводит контроль применения средств разработки и отладки в составе СПО ИС;
6) проводит контроль целостности информации, содержащейся в базах данных ИС, проводя не реже 1 (одного) раза в квартал контроль целостности структуры базы данных по наличию имен (идентификаторов) и (или) по контрольным суммам программных компонент базы данных в процессе загрузки и (или) динамически в процессе работы ИС, а также проводя не реже 1 (одного) раза в квартал контроль целостности объектов базы данных контрольным суммам и (или) с использованием криптографических методов в соответствии с законодательством РФ в процессе загрузки и (или) динамически в процессе работы ИС;
7) проводит контроль работоспособности (неотключения), параметров настройки (соответствия настроек СПО ИС параметрам настройки, приведенным в документации на систему защиты ИС и документации на СПО ИС) и правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) СПО ИС; контроль работоспособности (неотключения) проводится ежедневно, контроль параметров настройки – не реже 1 (одного) раза в полугодие, контроль правильности функционирования – не реже 1 (одного) раза в год; объем и содержание проверки правильности функционирования определяются администратором в соответствии с документацией на систему защиты ИС и документацией на СПО ИС, а также рекомендациями разработчиков СПО ИС;
8) настраивает СПО ИС таким образом, чтобы: 1) обеспечивалось автоматическое блокирование сеанса доступа пользователя после его бездействия (неактивности) в СПО ИС более 5 минут, 2) блокирование сохранялось до прохождения им повторной идентификации (аутентификации), 3) для заблокированного сеанса осуществлялось блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса, 4) блокирование сеанса доступа пользователя в СПО ИС обеспечивалось временным приостановлением работы пользователя со средством вычислительной техники, с которого осуществляется доступ в СПО ИС (без выхода из СПО ИС);
9) блокирует немедленно сеанс доступа в ИС (СПО ИС) и учетную запись пользователя ИС при совершении под учетной записью компрометирующих / деструктивных действий (при попытке их совершения) до выяснения обстоятельств;
10) своевременно анализирует журналы учета событий, регистрируемых СПО ИС, с целью выявления возможных нарушений (нештатных событий безопасности);
11) оценивает объем финансирования, необходимого для эксплуатации СПО ИС.
2.3. Администратор, обладающий правом управления СПО ИС, имеет доступ (права «пользователя») к техническим средствам ИС, которые необходимы ему для выполнения функциональной роли администратора, в т.ч. к своему автоматизированному рабочему месту (АРМ) и установленным на нем СрЗИ, имеет доступ (права «администратора») к СПО ИС.
2.4. Администратор, не обладающий правом управления СПО ИС, в рамках своей функции дополнительно выполняет следующие работы: осуществляет взаимодействие с администратором, обладающим правом управления СПО ИС, по вопросам, отнесенным к его компетенции, в т.ч. организовывает при необходимости процесс настройки и обновления СПО ИС, проверку работоспособности СПО ИС и устранение неисправностей, а также выдачу учетных записей пользователям ИС.
2.5. Администратору, обладающему правом управления СПО ИС, запрещено:
1) использовать чужие учетные записи пользователей ИС, в т.ч. чужие учетные записи пользователей ИС с правами «администратора»;
2) авторизовываться в СПО ИС и для доступа к АРМ при наличии в помещении посторонних лиц;
3) осуществлять ввод (вывод) защищаемой информации (персональных данных) на неучтенные машинные носители и в случае отсутствия соответствующих полномочий и производственной необходимости;
4) подключать носители информации, подключение которых к ИС не разрешено (разрешено подключать носители, предусмотренные техническим паспортом ИС (сегмента ИС), и (или) учтенные в установленном порядке);
5) использовать технические (аппаратно-программные) средства, программное обеспечение и СрЗИ, установленные не уполномоченными лицами и не разрешенные к использованию в составе ИС (сегмента ИС);
6) вносить изменения в состав, конфигурацию, и размещение программных и технических средств ИС, деструктивно воздействовать;
7) отключать (блокировать) СрЗИ ИС;
8) ремонтировать технические средства ИС или привлекать посторонних лиц для ремонта;
9) сообщать посторонним лицам сведения о применяемых СрЗИ и иных мерах защиты ИС;
10) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках СрЗИ, которые могут привести к возникновению нештатной ситуации.
2.6. Администратор вправе:
1) требовать прекращения доступа к ИС / обработки информации в ИС, как в целом, так и для отдельных пользователей ИС, в случае выявления нарушений установленных правил работы с ИС / неполадок функционирования ИС;
2) представлять администратору безопасности ИС и ответственному за организацию обработки персональных данных предложения по совершенствованию процесса обработки персональных данных в ИС (если в ИС обрабатываются персональные данные);
3) давать указания пользователям ИС по вопросам, входящим в круг его полномочий;
4) требовать от руководства администрации обеспечения организационно-технических условий, необходимых для исполнения своих функций, приобретения администрацией необходимых программных и аппаратных средств, услуг администрирования, технической и гарантийной поддержки;
5) получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для надлежащего исполнения своих функций;
6) получать от администратора безопасности ИС и администратора ИС с функциями локального администратора разъяснения (помощь) по вопросам, входящим в круг его полномочий.
III. Ответственность
3.1. Администратор ответственен за создание / ввод в эксплуатацию / эксплуатацию / модернизацию / вывод из эксплуатации ИС, организацию и контроль правильной эксплуатации СПО ИС, соблюдение требований настоящей Инструкции.
3.2. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ИНСТРУКЦИЯ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ
ИНФОРМАЦИОННОЙ СИСТЕМЫ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные права и обязанности сотрудника администрации Большемурашкинского муниципального района (далее – администрация), выполняющего функции администратора безопасности защищаемой информационной системы администрации (далее – администратор).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящая Инструкция является обязательной для исполнения администратором.
2.1. Администратор выполняет функцию по поддержанию безопасного функционирования (защите) ИС, отвечает за защиту содержащейся в ней информации, а также за обеспечение безопасности персональных данных (при их обработке в ИС).
2.2. Администратор имеет полный доступ (права «администратора») к средствам защиты информации ИС (далее – СрЗИ), к техническим средствам ИС, на которых используется СрЗИ, а также доступ (права «пользователя») к своему АРМ, с которого осуществляется управление СрЗИ.
2.3. Администратор реализует управление СрЗИ в соответствии с эксплуатационной документацией на СрЗИ, документацией на систему защиты ИС, списком (матрицей) доступа к СрЗИ и межведомственным соглашением по управлению СрЗИ (при наличии).
2.4. В рамках своей функции администратор выполняет следующие работы:
1) работы по защите информации в отношении ИС;
2) устанавливает, настраивает, обновляет и поддерживает работоспособность СрЗИ, необходимых для функционирования ИС в защищенном исполнении, а также контролирует выполнение условий и сроков действия сертификатов соответствия на СрЗИ и принимает меры, направленные на устранение выявленных недостатков;
3) предоставляет при необходимости доступ к СрЗИ третьим лицам, соблюдая Положение об обработке информации ограниченного доступа и Инструкцию по управлению учетными записями пользователей при использовании информационных систем, утвержденные администрацией;
4) проводит установку обновлений, полученных из доверенных источников, программного обеспечения СрЗИ в соответствии с рекомендациями их разработчиков (производителей), эксплуатационной документацией на СрЗИ и документацией на систему защиты ИС; контроль установки обновлений проводится немедленно после их установки и фиксируется в Журнале учета средств защиты информации, который ведется администрацией; при контроле установки обновлений осуществляются проверки соответствия версий программного обеспечения СрЗИ, установленного и выпущенного разработчиком, наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений, а также проверки установки обновлений баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты, баз решающих правил систем обнаружения вторжений, баз признаков уязвимостей средств анализа защищенности и (или) иных баз данных, необходимых для реализации функций безопасности СрЗИ;
5) проводит контроль целостности программного обеспечения СрЗИ, включая их обновления, по наличию имен (идентификаторов) и (или) по контрольным суммам компонентов СрЗИ в процессе загрузки и (или) динамически в процессе работы ИС в соответствии с рекомендациями разработчиков (производителей) СрЗИ, эксплуатационной документацией на СрЗИ и документацией на систему защиты ИС; процедуры контроля целостности проводятся в т.ч. после завершения каждого процесса функционирования средств разработки и отладки программного обеспечения СрЗИ; проводит контроль применения средств разработки и отладки в составе программного обеспечения СрЗИ;
6) проводит контроль работоспособности (неотключения), параметров настройки (соответствия настроек СрЗИ параметрам настройки, приведенным в документации на систему защиты ИС и эксплуатационной документации на СрЗИ) и правильности функционирования СрЗИ (тестирование функций безопасности СрЗИ на тестовых данных, приводящих к известному результату, в т.ч. с помощью тест-программ, имитирующих попытки несанкционированного доступа, и (или) специальных программных средств); контроль работоспособности проводится ежедневно, контроль параметров настройки – не реже 1 (одного) раза в полугодие; контроль правильности функционирования СрЗИ – не реже 1 (одного) раза в полугодие; объем и содержание проверки правильности функционирования определяются администратором в соответствии с документацией на систему защиты ИС и эксплуатационной документацией на СрЗИ, а также рекомендациями разработчиков СрЗИ;
7) осуществляет создание резервных копий в части СрЗИ;
8) проводит при необходимости восстановление работоспособности (правильности функционирования) и параметров настройки СрЗИ с резервных копий и (или) дистрибутивов, полученных из доверенных источников, в соответствии с эксплуатационной документацией на СрЗИ и документацией на систему защиты ИС;
9) проводит не реже 1 (одного) раза в год контроль использования в ИС только технических (аппаратно-программных) средств, программного обеспечения, СрЗИ и носителей информации, разрешенных к использованию в составе ИС (сегмента ИС) в соответствии с техническим паспортом (эксплуатационной документацией) ИС (сегмента ИС), с целью поддержания актуальной (установленной в соответствии с техническим паспортом (эксплуатационной документацией)) конфигурации ИС и принятия мер, направленных на устранение выявленных недостатков; исключает (восстанавливает) из состава ИС несанкционированно установленные (удаленные) технические (аппаратно-программные) средства, программное обеспечение и СрЗИ с привлечением при необходимости администратора ИС с функциями локального администратора, администратора безопасности ИТ-инфраструктуры администрации;
10) обеспечивает в рамках своих полномочий защиту аппаратных / аппаратно-программных СрЗИ от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) в соответствии с требованиями законодательства Российской Федерации (национальных стандартов, технических регламентов) и инструкциями по эксплуатации СрЗИ: обеспечивает выполнение норм и правил пожарной безопасности в отношении СрЗИ, правил их эксплуатации; обеспечивает выполнение норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления СрЗИ; обеспечивает необходимые для эксплуатации СрЗИ температурно-влажностный режим и условия по степени запыленности воздуха; для исполнения указанных функций администратор при необходимости привлекает техника, обслуживающего помещения администрации;
11) оценивает состояние защиты ИС и ее отдельных подсистем, проводит оценку эффективности принимаемых мер и при необходимости применяет меры реагирования, направленные на поддержание необходимого уровня безопасности;
12) организовывает разработку (получение) аттестата соответствия требованиям безопасности информации на ИС (сегмент ИС) / технических условий на подключение типовых локальных (удаленных) сегментов ИС / технического паспорта на ИС (сегмент ИС) / проектного (эксплуатационного) решения на систему защиты информации ИС (сегмента ИС), внесение в них изменений при необходимости, а также подключение при необходимости дополнительных локальных (удаленных) сегментов ИС в соответствии с установленными требованиями;
13) выявляет угрозы безопасности защищаемой информации (персональных данных), обрабатываемой в ИС;
14) осуществляет выявление (поиск), анализ и устранение уязвимостей в ИС в ходе ее создания и эксплуатации; проводит поиск и анализ уязвимостей не реже 1 (одного) раза в квартал на этапе эксплуатации ИС;
15) участвует в выборе методов и способов защиты защищаемой информации (персональных данных), обрабатываемой в ИС;
16) организовывает применение аппаратно-программных средств, в т.ч. средств криптографической защиты информации (СКЗИ), на каналах связи при осуществлении обмена защищаемой информацией (персональными данными) в рамках ИС;
17) оборудует аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ средствами контроля за их вскрытием (опечатывание, опломбирование); место опечатывания (опломбирования) СКЗИ, аппаратных средств должно позволять его визуально контролировать; при наличии технической возможности на время отсутствия пользователей СКЗИ выключает указанные средства, отключает их от линии связи и убирает в опечатываемые хранилища;
18) контролирует соблюдение пользователями ИС введенного режима безопасности, а также правильность работы с СрЗИ;
19) осуществляет контроль за размещением СВТ, задействованных в ИС; контролирует, чтобы размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ позволяли сводить к минимуму возможность неконтролируемого доступа к ним посторонних лиц;
20) организовывает ознакомление пользователей ИС с необходимыми документами, регламентирующими требования по защите информации ИС, а также обучение навыкам выполнения процедур, необходимых для санкционированного и безопасного использования ИС;
21) информирует пользователей ИС об угрозах нарушения режима безопасности информации и ответственности за его нарушение;
22) своевременно анализирует журналы учета событий, регистрируемых СрЗИ, с целью выявления возможных нарушений (нештатных событий безопасности);
23) в случае отказа функционирования СрЗИ, принимает меры по их своевременному восстановлению и выявлению причин, приведших к их отказу;
24) принимает меры по реагированию, в случае возникновения нештатных и аварийных ситуаций, затрагивающих безопасное функционирование ИС, с целью ликвидации их последствий и выявлению причин;
25) обеспечивает выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и программного обеспечения, входящих в состав ИС, и отправке их в ремонт;
26) присутствует при выполнении технического обслуживания СрЗИ (если проводится на территории администрации); контролирует, чтобы техническое обслуживание СКЗИ, а также другого оборудования, функционирующего с СКЗИ, и смена криптоключей приводились в отсутствие лиц, не допущенных к работе с СКЗИ;
27) не допускает установку, использование, хранение и копирование (тиражирование) в ИС несанкционированных программ;
28) проверяет технические средства, применяемые в ИС, на отсутствие вредоносного программного обеспечения перед их эксплуатацией и при выводе из ИС (если применимо);
29) оценивает объем финансирования, необходимого для эксплуатации ИС в защищенном режиме;
30) участвует в контрольных проверках, контрольных и тестовых испытаниях, проверках функционирования ИС и ее компонентов по вопросам, входящим в его компетенцию.
31) инструктирует пользователей в части безопасной работы (защиты) с машинными носителями и техническими средствами ИС.
2.5. При работе с СрЗИ администратор:
2.6. В ходе выявления (поиска), анализа и устранения уязвимостей в ИС:
1) проводит выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении СрЗИ, правильностью установки и настройки СрЗИ, технических средств и программного обеспечения, а также корректностью работы СрЗИ при их взаимодействии с техническими средствами и программным обеспечением; для критических уязвимостей проводит поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в СрЗИ, технических средствах и программном обеспечении, применяемом в ИС; в качестве источников информации об уязвимостях использует опубликованные данные разработчиков СрЗИ, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей, Банк данных угроз безопасности информации ФСТЭК России;
2) разрабатывает по результатам выявления (поиска) уязвимостей отчет с описанием выявленных уязвимостей и планом мероприятий по их устранению;
3) анализирует отчет с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации;
4) устраняет выявленные уязвимости, в т.ч. путем установки обновлений программного обеспечения СрЗИ, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств; в случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения СрЗИ, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств предпринимает действия (настройки СрЗИ, изменение режима и порядка использования ИС), направленные на устранение возможности использования выявленных уязвимостей; процедура обновления системного программного обеспечения на автоматизированных рабочих местах (АРМ) проводится в автоматическом режиме не реже 1 (одного) раза в неделю; процедура обновления системного программного обеспечения на серверах проводится в ручном режиме ежемесячно; процедура обновления баз данных системы обнаружения вторжений (СОВ) проводится ежедневно в автоматическом режиме;
5) информирует ответственного за организацию обработки персональных данных (если в ИС обрабатываются персональные данные) / ответственного за организацию защиты информации, не отнесенной к государственной тайне, о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты информации;
6) обеспечивает получение из доверенных источников и установку обновлений базы признаков уязвимостей;
7) взаимодействует с администратором ИС (разработчиками ИС).
2.7. Администратор в рамках своего функционала взаимодействует с администратором безопасности ИТ-инфраструктуры администрации по вопросам использования СрЗИ, входящим в круг полномочий совместного ведения.
2.8. Администратору запрещено:
1) использовать чужие учетные записи пользователей СрЗИ, в т.ч. чужие учетные записи пользователей СрЗИ с правами «администратора»;
2) авторизовываться в СрЗИ и для доступа к АРМ при наличии в помещении посторонних лиц;
3) осуществлять ввод (вывод) защищаемой информации на неучтенные машинные носители и в случае отсутствия соответствующих полномочий и производственной необходимости;
4) подключать носители информации, подключение которых к ИС не разрешено (разрешено подключать носители, предусмотренные техническим паспортом ИС (сегмента ИС), и (или) учтенные в установленном порядке);
5) использовать технические (аппаратно-программные) средства, программное обеспечение и СрЗИ, установленные не уполномоченными лицами и не разрешенные к использованию в составе ИС (сегмента ИС) в соответствии с техническим паспортом ИС (сегмента ИС);
6) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках СрЗИ, которые могут привести к возникновению нештатной ситуации.
2.9. Администратор вправе:
1) давать указания администратору ИС и пользователям ИС по вопросам, входящим в круг его полномочий;
2) представлять администратору ИС и ответственному за организацию обработки персональных данных предложения по совершенствованию процесса обработки и защиты персональных данных в ИС (если в ИС обрабатываются персональные данные);
3) требовать прекращения доступа в ИС / обработки информации в ИС, как в целом, так и для отдельных пользователей ИС, в случае выявления нарушений установленных правил работы с ИС / неполадок функционирования ИС и СрЗИ;
4) требовать от руководства администрации (ответственного за организацию защиты информации, не отнесенной к государственной тайне) обеспечения организационно-технических условий, необходимых для исполнения своих функций, приобретения администрацией необходимых программных и аппаратных средств (СрЗИ), услуг администрирования, технической и гарантийной поддержки, услуг по технической защите информации;
5) получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для надлежащего исполнения своих функций.
III. Ответственность
3.1. Администратор ответственен за безопасное функционирование (защиту) ИС и за защиту содержащейся в ней информации, обеспечение безопасности персональных данных (при их обработке в ИС), соблюдение требований настоящей Инструкции.
3.2. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ИНСТРУКЦИЯ
АДМИНИСТРАТОРА БЕЗОПАСНОСТИ ИТ-ИНФРАСТРУКТУРЫ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные права и обязанности сотрудника администрации Большемурашкинского муниципального района (далее – администрация), выполняющего функции администратора безопасности ИТ-инфраструктуры администрации (далее – администратор).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящая Инструкция является обязательной для исполнения администратором.
2.1. Администратор выполняет функцию по поддержанию безопасного функционирования ИТ-инфраструктуры и локальной вычислительной сети администрации (далее – ИТ-инфраструктуры) в целях защиты защищаемой информации (персональных данных), обрабатываемой и (или) хранимой с использованием ресурсов ИТ-инфраструктуры, но не в рамках ИС.
2.2. Администратор имеет полный доступ (права «администратора») к средствам защиты информации, используемым в составе ИТ-инфраструктуры (далее – СрЗИ), к техническим средствам администрации, на которых используется СрЗИ, а также доступ (права «пользователя») к своему АРМ, с которого осуществляется управление СрЗИ.
2.3. В рамках своей функции администратор выполняет следующие работы:
1) работы по защите информации в отношении защищаемой информации, обрабатываемой с использованием ресурсов ИТ-инфраструктуры, но не в рамках ИС;
2) устанавливает, настраивает, обновляет и поддерживает работоспособность СрЗИ, необходимых для функционирования ИТ-инфраструктуры в защищенном исполнении, а также контролирует актуальность их состояния, их параметров и режимов работы, в соответствии с эксплуатационной документацией на СрЗИ;
3) проводит установку обновлений, полученных из доверенных источников, программного обеспечения СрЗИ в соответствии с рекомендациями их разработчиков (производителей), эксплуатационной документацией на СрЗИ;
4) обеспечивает в рамках своих полномочий защиту аппаратных / аппаратно-программных СрЗИ от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) в соответствии с требованиями законодательства Российской Федерации (национальных стандартов, технических регламентов) и инструкциями по эксплуатации СрЗИ: обеспечивает выполнение норм и правил пожарной безопасности в отношении СрЗИ, правил их эксплуатации; обеспечивает выполнение норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления СрЗИ; обеспечивает необходимые для эксплуатации СрЗИ температурно-влажностный режим и условия по степени запыленности воздуха; для исполнения указанных функций администратор при необходимости привлекает техника, обслуживающего помещения администрации;
5) оценивает состояние защиты ИТ-инфраструктуры, проводит оценку эффективности принимаемых мер и при необходимости применяет меры реагирования, направленные на поддержание необходимого уровня безопасности;
6) организует применение аппаратно-программных средств, в т.ч. средств криптографической защиты информации, на каналах связи при осуществлении обмена защищаемой информацией (персональными данными) с использованием ресурсов ИТ-инфраструктуры;
7) контролирует соблюдение сотрудниками администрации введенного режима безопасности, а также правильность работы с СрЗИ;
8) своевременно анализирует журналы учета событий, регистрируемых СрЗИ, с целью выявления возможных нарушений (нештатных событий безопасности);
9) в случае отказа функционирования СрЗИ, принимает меры по их своевременному восстановлению и выявлению причин, приведших к их отказу;
10) принимает меры по реагированию, в случае возникновения нештатных и аварийных ситуаций, затрагивающих безопасное функционирование ИТ-инфраструктуры, с целью ликвидации их последствий и выявлению причин;
11) обеспечивает выполнение требований по обеспечению безопасности защищаемой информации при организации обслуживания технических средств и программного обеспечения ИТ-инфраструктуры, и отправке их в ремонт;
12) не допускает установку, использование, хранение и копирование (тиражирование) на ресурсах ИТ-инфраструктуры несанкционированных программ;
13) проверяет технические средства ИТ-инфраструктуры на отсутствие вредоносного программного обеспечения перед их эксплуатацией и при выводе из состава ИТ-инфраструктуры (если применимо);
14) инструктирует пользователей в части безопасной работы (защиты) с машинными носителями и техническими средствами администрации, применяемыми для работы с защищаемой информацией (не в рамках ИС).
2.4. В части использования (в т.ч. настройки и обновления) СрЗИ, входящих в круг полномочий совместного ведения администратора и администратора безопасности ИС, администратор следует указаниям администратора безопасности ИС.
2.5. При работе с СрЗИ администратор:
2.6. Администратору запрещено:
1) использовать чужие учетные записи пользователей СрЗИ, в т.ч. учетные записи пользователей СрЗИ с правами «администратора»;
2) авторизовываться в СрЗИ и для доступа к АРМ при наличии в помещении посторонних лиц;
3) осуществлять ввод (вывод) защищаемой информации на неучтенные машинные носители и в случае отсутствия соответствующих полномочий и производственной необходимости;
4) подключать носители информации, подключение которых не разрешено;
5) использовать технические (аппаратно-программные) средства, программное обеспечение и СрЗИ, установленные не уполномоченными лицами и не разрешенные к использованию;
18) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках СрЗИ, которые могут привести к возникновению нештатной ситуации.
2.7. Администратор вправе:
1) давать указания сотрудникам администрации по вопросам, входящим в круг его полномочий;
2) требовать прекращения доступа к ИТ-инфраструктуре / обработки защищаемой информации с использованием ресурсов ИТ-инфраструктуры, как в целом, так и для отдельных сотрудников администрации, в случае выявления нарушений установленных правил обработки защищаемой информации с использованием ресурсов ИТ-инфраструктуры / неполадок функционирования СрЗИ;
3) требовать от руководства администрации (ответственного за организацию защиты информации, не отнесенной к государственной тайне) обеспечения организационно-технических условий, необходимых для исполнения своих функций, приобретения администрацией необходимых программных и аппаратных средств (СрЗИ), услуг администрирования, технической и гарантийной поддержки, услуг по технической защите информации;
4) получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для надлежащего исполнения своих функций.
III. Ответственность
3.1. Администратор ответственен за безопасное функционирование ИТ-инфраструктуры и за техническую защиту защищаемой информации (персональных данных), обрабатываемой с использованием ресурсов ИТ-инфраструктуры, но не в рамках ИС, соблюдение требований настоящей Инструкции.
3.2. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №___ |
ИНСТРУКЦИЯ ЛОКАЛЬНОГО АДМИНИСТРАТОРА
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные права и обязанности сотрудника администрации Большемурашкинского муниципального района (далее – администрация), выполняющего функции локального администратора (далее – администратор).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Под защищаемой информацией понимается информация, которая подлежит защите в соответствии с требованиями действующего законодательства, а также информация, на ограничение доступа (распространения) к которой, наложен запрет администрацией.
1.4. Настоящая Инструкция является обязательной для исполнения локальным администратором.
2.1. Администратор имеет доступ (права «администратора») к автоматизированным рабочим местам (далее – АРМ) сотрудников администрации, техническим средствам, которые необходимы ему для выполнения функции по поддержанию функционирования ИТ-инфраструктуры администрации, в т.ч. к своему АРМ, и доступ (права «пользователя») к установленным на нем средствам защиты информации.
2.2. Администратор выполняет следующие работы:
1) обеспечивает бесперебойное функционирование ИТ-инфраструктуры администрации: АРМ сотрудников администрации; портативных вычислительных устройств; локальной вычислительной сети (ЛВС) администрации; периферийной техники; средств обеспечения функционирования ИТ-инфраструктуры администрации; серверного и сетевого оборудования; иных технических средств и машинных носителей администрации;
2) обеспечивает в рамках своих полномочий защиту ИТ-инфраструктуры администрации от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) в соответствии с требованиями законодательства Российской Федерации (национальных стандартов, технических регламентов) и инструкциями по эксплуатации технических средств: обеспечивает выполнение норм и правил пожарной безопасности, контролирует соблюдение сотрудниками администрации правил пожарной безопасности в отношении технических средств, правил их эксплуатации; обеспечивает выполнение норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления технических средств; обеспечивает необходимые для эксплуатации технических средств температурно-влажностный режим и условия по степени запыленности воздуха; для исполнения указанных функций администратор привлекает техника, обслуживающего помещения администрации;
3) проводит установку, настройку и обеспечивает работоспособность операционных систем и иных прикладных сервисов АРМ сотрудников администрации и серверного оборудования, установку обновлений, полученных из доверенных источников, операционных систем и программного обеспечения базовой системы ввода-вывода в соответствии с рекомендациями их разработчиков (производителей) и документацией на систему защиты ИС, функционирующих на базе данного программного обеспечения; контроль установки обновлений проводится не реже 1 (одного) раза в 2 (две) недели и немедленно после их установки и фиксируется в Журнале учета событий безопасности, который ведется администрацией; при контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и микропрограммного обеспечения, установленного и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений;
4) проводит при необходимости восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения ИТ-инфраструктуры администрации с резервных копий и (или) дистрибутивов, полученных из доверенных источников;
5) осуществляет разграничение прав доступа к АРМ сотрудников администрации и серверному оборудованию администрации;
6) осуществляет настройку правил автоматического блокирования сеансов работы пользователей с АРМ сотрудников администрации / серверным оборудованием администрации, а также их учетных записей: сеанс работы пользователя с правами «пользователя» / «администратора» / правами «временной (сервисной) учетной записи» автоматически блокируется после бездействия (неактивности) пользователя более 5 минут; в ходе настройки учитывает, что 1) блокирование должно сохраняться до прохождения пользователем повторной идентификации (аутентификации), 2) для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса;
7) блокирует немедленно сеанс доступа к АРМ / серверному оборудованию администрации и учетную запись пользователя при совершении под учетной записью компрометирующих / деструктивных действий (при попытке их совершения) до выяснения обстоятельств;
8) ведет учет машинных носителей, содержащих защищаемую информацию и (или) применяемых в ИС, и технических средств администрации, применяемых для работы с защищаемой информацией и (или) с ИС, в т.ч. проводит их ревизию не реже 1 (одного) раза в год, а также инструктирует пользователей в части корректной работы с указанными машинными носителями и техническими средствами;
9) присутствует при выполнении третьими лицами технического обслуживания компонентов ИТ-инфраструктуры администрации (если проводится на территории администрации).
2.3. В рамках роли администратора ИС с функциями локального администратора администратор дополнительно выполняет следующие работы:
1) обеспечивает или участвует в организации установки (обновления, удаления) на АРМ сотрудников администрации / сервер администрации специального программного обеспечения ИС;
2) проводит контроль работоспособности (неотключения), параметров настройки (соответствия настроек программного обеспечения ИТ-инфраструктуры администрации параметрам настройки, приведенным в документации на систему защиты ИС) и правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения ИТ-инфраструктуры администрации, задействованного в функционировании ИС; контроль работоспособности (неотключения) проводится ежедневно, контроль параметров настройки – не реже 1 (одного) раза в полугодие, контроль правильности функционирования – не реже 1 (одного) раза в год; объем и содержание проверки правильности функционирования определяются администратором в соответствии с документацией на систему защиты ИС, а также рекомендациями разработчиков программного обеспечения;
3) проводит контроль целостности компонентов операционных систем, задействованных в работе ИС, по наличию имен (идентификаторов) компонентов операционных систем и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы операционных систем в соответствии с рекомендациями разработчиков операционных систем, эксплуатационной документацией на операционные системы и документацией на систему защиты ИС; процедуры контроля целостности проводятся в т.ч. после завершения каждого процесса функционирования средств разработки и отладки клиентских операционных систем; проводит контроль применения средств разработки и отладки в составе клиентских операционных систем;
4) участвует в контрольных проверках, контрольных и тестовых испытаниях, проверках работоспособности ИС и ее компонентов по вопросам, входящим в его компетенцию;
5) оценивает объем финансирования, необходимого для эксплуатации ИС в заявленном режиме.
2.4. Администратору запрещено:
1) использовать чужие учетные записи пользователей средств вычислительной техники администрации, в т.ч. учетные записи пользователей с правами «администратора»;
2) авторизовываться для доступа к средствам вычислительной техники при наличии в помещении посторонних лиц;
3) осуществлять ввод (вывод) защищаемой информации на неучтенные машинные носители и в случае отсутствия соответствующих полномочий и производственной необходимости.
2.5. В рамках роли администратора ИС с функциями локального администратора администратору дополнительно запрещено:
1) подключать носители информации, подключение которых к ИС не разрешено (разрешено подключать носители, предусмотренные техническим паспортом ИС (сегмента ИС), и (или) учтенные в установленном порядке);
2) использовать технические (аппаратно-программные) средства, программное обеспечение и СрЗИ, установленные не уполномоченными лицами и не разрешенные к использованию в составе ИС (сегмента ИС);
3) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках СрЗИ, которые могут привести к возникновению нештатной ситуации в ИС.
2.6. Администратор вправе:
1) блокировать и ограничивать использование технических средств и машинных носителей;
2) требовать от руководства администрации обеспечения организационно-технических условий, необходимых для исполнения своих функций, приобретения администрацией необходимых программных и аппаратных средств для ИТ-инфраструктуры администрации, услуг администрирования, технической и гарантийной поддержки;
3) получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для надлежащего исполнения своих функций.
III. Ответственность
3.1. Администратор ответственен за стабильное функционирование ИТ-инфраструктуры администрации, соблюдение требований настоящей Инструкции.
3.2. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные права и обязанности сотрудника администрации Большемурашкинского муниципального района (далее – администрация), являющегося пользователем защищаемой информационной системы администрации и не обладающего в ней правами «администратора» (далее – пользователь ИС), в части обеспечения ее безопасности (обрабатываемой информации).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Настоящая Инструкция является обязательной для исполнения пользователями ИС.
2.1. Пользователь ИС имеет доступ (права «пользователя») к техническим средствам ИС, которые необходимы ему для выполнения функциональной роли пользователя в ИС, в т.ч. к своему автоматизированному рабочему месту (АРМ) и установленным на нем средствам защиты информации ИС, к специальному клиентскому программному обеспечению (СПО) ИС для осуществления обработки информации (персональных данных) в соответствии с функциональной ролью в ИС.
2.2. При первичном доступе к ИС пользователь ИС:
1) проходит инструктаж по работе с ИС;
2) знакомится с требованиями нормативных правовых, руководящих и организационно-распорядительных документов, регламентирующих обработку и обеспечение безопасности защищаемой информации;
3) получает у администратора ИС атрибуты доступа в СПО ИС.
2.3. Перед началом работы пользователь ИС визуально проверяет целостность пломб (в т.ч. защитную и идентификационную информацию, номера печатей), если предусмотрены, убеждается в отсутствии посторонних технических средств и после этого включает необходимые средства вычислительной техники для работы в ИС.
2.4. При работе в ИС пользователь ИС:
1) соблюдает частную инструкцию пользователя, содержащую правила работы с СПО ИС;
2) выполняет только те процедуры, которые необходимы ему для исполнения его функциональной роли в СПО ИС;
3) использует только технические (аппаратно-программные) средства, программное обеспечение и СрЗИ, установленные уполномоченными лицами, а также носители информации, и разрешенные к использованию в составе ИС (сегмента ИС);
4) сообщает немедленно администратору ИС и администратору безопасности ИС о выявленных нештатных ситуациях (в т.ч. о неустойчивом и некорректном функционировании средств ИС), фактах и попытках несанкционированного доступа к обрабатываемой информации, техническим и программным средствам ИС, СрЗИ, о блокировании, исчезновении (искажении) защищаемой информации, о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, технических и программных средств ИС, СрЗИ, носителей защищаемой информации, а также о несанкционированных (проведенных с нарушением установленного порядка) изменениях в конфигурации программных и аппаратных средств ИС;
5) выполняет требования администратора ИС и администратора безопасности ИС по вопросам, входящим в круг их полномочий;
6) проверяет на основании полученных персональных данных от субъекта наличие информации о данном субъекте в СПО ИС (если в ИС обрабатываются персональные данные) и если субъект отсутствует в СПО ИС, то заносит информацию о субъекте после получения его согласия (если требуется), в случае наличия информации о субъекте в СПО ИС – сверяет данные с ранее предоставленными и при необходимости вносит изменения;
7) соблюдает организационно-распорядительные документы администрации, обязательные для исполнения сотрудниками администрации, имеющими доступ в ИС и к защищаемой информации.
2.5. Пользователю ИС запрещено:
1) использовать компоненты программного и аппаратного обеспечения ИС в неслужебных целях;
2) вносить изменения в состав, конфигурацию, и размещение программных и технических средств ИС, деструктивно воздействовать;
3) устанавливать, тиражировать или модифицировать программное обеспечение ИС, изменять установленный алгоритм функционирования технических и программных средств ИС;
4) отключать (блокировать) средства защиты информации ИС;
5) изменять электрические схемы и монтаж технических средств ИС;
6) сообщать (передавать) посторонним лицам индивидуальные атрибуты (идентификаторы) доступа в ИС;
7) осуществлять попытки несанкционированного доступа к защищаемой информации (персональным данным) и ресурсам ИС, и ресурсам других пользователей ИС;
8) подменять (пытаться) функции по перераспределению времени работы и полномочий доступа в ИС;
9) осуществлять ввод (вывод) защищаемой информации (персональных данных) на неучтенные машинные носители и в случае отсутствия соответствующих полномочий и производственной необходимости;
10) подключать носители информации, подключение которых к ИС не разрешено (разрешено подключать носители, предусмотренные техническим паспортом ИС (сегмента ИС), и (или) учтенные в установленном порядке);
11) создавать и хранить на АРМ при отсутствии полномочий и производственной необходимости электронные документы, содержащие защищаемую информацию ИС;
12) допускать к работе с ИС лиц, не имеющих прав доступа;
13) вводить в ИС защищаемую информацию под диктовку или с микрофона, а также проговаривая ее вслух;
14) ремонтировать технические средства ИС или привлекать посторонних лиц для ремонта;
15) обрабатывать в ИС информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам ИС, а также обрабатывать в ИС состав защищаемой информации (персональных данных), не предусмотренный для обработки в ИС организационно-распорядительными документами администрации;
16) сообщать посторонним лицам сведения о применяемых средствах защиты информации и иных мерах защиты ИС;
17) авторизовываться в СПО ИС и для доступа к АРМ при наличии в помещении посторонних лиц;
18) использовать оскорбляющие чувства граждан или унижающие человеческое достоинство способы обозначения принадлежности персональных данных, содержащихся в СПО ИС, конкретному субъекту (если в ИС обрабатываются персональные данные);
19) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках СрЗИ, которые могут привести к возникновению нештатной ситуации.
2.6. Пользователь ИС вправе:
1) получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для работы в ИС;
2) получать от администратора безопасности ИС и администратора ИС разъяснения по вопросам работы в ИС.
III. Ответственность
3.1. Ответственность за соблюдение требований настоящей Инструкции возложена на каждого пользователя ИС. Пользователь ИС несет ответственность за невыполнение им установленных правил по доступу в ИС, к защищаемой информации ИС и соблюдению режима ее безопасности.
3.2. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ИНСТРУКЦИЯ ПО АНТИВИРУСНОЙ ЗАЩИТЕ
ИНФОРМАЦИОННЫХ СИСТЕМ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные требования к организации антивирусной защиты защищаемых информационных систем администрации Большемурашкинского муниципального района (далее – администрация).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Настоящая Инструкция является обязательной для исполнения пользователями ИС, администратором ИС с функциями локального администратора (далее – локальный администратор), администратором ИС, обладающим правом управления специальным программным обеспечением ИС (далее – администратор ИС), администратором безопасности ИС, администратором безопасности ИТ-инфраструктуры администрации.
2.1. Организация антивирусной защиты.
2.1.1. Антивирусная защита ИС достигается применением средств антивирусной защиты (далее – антивирусное ПО), обеспечивающих обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации администрации, используемых в составе системы защиты ИС (далее – СрЗИ), а также реагированием на обнаружение этих программ и информации.
2.1.2. Допускается к использованию только лицензионное антивирусное ПО, прошедшее сертификацию в ФСБ России и (или) получившее подтверждение соответствия в ФСТЭК России, в соответствии с выявленным классом (уровнем) защищенности ИС и актуальными угрозами безопасности информации.
2.1.3. Антивирусное ПО устанавливается (при наличии технической возможности) на все технические средства администрации, используемые в составе ИС (далее – СВТ), включая автоматизированные рабочие места, с которых осуществляется доступ в ИС / к СрЗИ / СВТ (далее – АРМ), серверы, периметральные средства защиты информации (средства межсетевого экранирования, прокси-серверы, почтовые шлюзы и другие средства защиты информации), мобильные технические средства и иные точки доступа в ИС, подверженные внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы).
2.1.4. Права по управлению (администрированию) антивирусным ПО предоставлены администратору безопасности ИС и в случае, если антивирусное ПО относится к совместному ведению, – администратору безопасности ИТ-инфраструктуры администрации.
2.1.5. Администратор безопасности ИС реализует управление антивирусным ПО в соответствии с эксплуатационной документацией на антивирусное ПО, документацией на систему защиты ИС, списком (матрицей) доступа к СрЗИ и межведомственным соглашением по управлению СрЗИ (при наличии).
2.1.6. В случаях, предусмотренных документацией на систему защиты ИС, списком (матрицей) доступа к СрЗИ и межведомственным соглашением по управлению СрЗИ (при наличии), обеспечивается централизованное: управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий антивирусного ПО) антивирусным ПО, установленным на компонентах ИС: АРМ и (или) серверах; управление обновлением базы данных признаков вредоносных компьютерных программ (вирусов).
2.1.7. Обеспечивается реализация и управление антивирусной защитой:
1) проверка наличия вредоносных программ (вирусов) в хостовой операционной системе, включая контроль файловой системы, памяти, запущенных приложений и процессов;
2) проверка наличия вредоносных программ в гостевой операционной системе, в процессе ее функционирования, включая контроль файловой системы, памяти, запущенных приложений и процессов.
2.2. Проведение антивирусного контроля.
2.2.1. Расширенный антивирусный контроль на наличие вредоносных компьютерных программ (вирусов) проводится не реже 1 (одного) раза в месяц и при необходимости, в случае наличия признаков вирусной (подозрительной) активности, в отношении компонентов ИС (АРМ / иные СВТ).
2.2.2. Администратором безопасности ИС устанавливаемое (изменяемое) системное и прикладное ПО (СВТ), предварительно проверяется на отсутствие вирусов, а непосредственно после установки (изменения) ПО (СВТ) выполняется антивирусная проверка. СВТ, возвращенные после технического обслуживания, подвергаются антивирусному контролю.
2.2.3. Реализованные настройки антивирусного ПО обеспечивают предоставление ему доступа к объектам ИС, которые должны быть подвергнуты его проверке.
2.2.4. При загрузке, открытии или исполнении объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) средствами антивирусного ПО осуществляется автоматическая проверка объектов (файлов).
2.2.5. При загрузке СВТ средствами антивирусного ПО проводится антивирусный контроль в автоматическом режиме: модуль, отвечающий за мониторинг активности вредоносных компьютерных программ (вирусов) в реальном времени, запускается в автоматическом режиме вместе с основным модулем антивирусного ПО.
2.2.6. Реализованные настройки антивирусного ПО обеспечивают автоматическое оповещение об обнаружении вредоносных компьютерных программ (вирусов).
2.2.7. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь ИС самостоятельно или вместе с администратором безопасности ИС проводит внеочередной антивирусный контроль своего АРМ для определения факта наличия или отсутствия компьютерного вируса.
2.2.8. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи ИС:
1) приостанавливают работу;
2) немедленно ставят в известность о факте обнаружения зараженных вирусом файлов администратора безопасности ИС, владельца зараженных файлов, других лиц / смежные подразделения, использующие эти файлы в работе;
3) совместно с владельцем зараженных вирусом файлов проводят анализ необходимости дальнейшего их использования;
4) проводят лечение или уничтожение зараженных файлов;
5) в случае обнаружения нового вируса, не поддающегося лечению применяемым антивирусным ПО, направляют зараженный вирусом файл на съемном носителе информации администратору безопасности ИС для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку (при наличии);
6) по факту обнаружения зараженных вирусом файлов составляют служебную записку администратору безопасности ИС, в которой указывают предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и проведенные антивирусные мероприятия.
2.2.9. При возникновении подозрения на наличие компьютерного вируса на АРМ администратора ИС / администратора безопасности ИС, а также на иных СВТ, входящих в состав ИС, проводятся действия, аналогичные указанным в пунктах 2.2.7 и 2.2.8 настоящей Инструкции.
2.2.10. О фактах и серьезных подозрениях о наличии компьютерного вируса администратор безопасности ИС немедленно сообщает ответственному лицу сторонней организации (администратору безопасности), отвечающему за безопасность центрального сегмента ИС (в случае эксплуатации администрацией удаленного сегмента) / удаленного сегмента ИС (в случае эксплуатации администрацией центрального сегмента).
2.3. Обновление базы данных признаков вредоносных компьютерных программ (вирусов).
2.3.1. Администратор безопасности ИС обеспечивает получение уведомлений о необходимости обновлений и непосредственном обновлении базы данных признаков вредоносных компьютерных программ (вирусов).
2.3.2. Администратор безопасности ИС обеспечивает получение из доверенных источников и установку обновлений базы данных признаков вредоносных компьютерных программ (вирусов).
2.3.3. Контроль целостности обновлений базы данных признаков вредоносных компьютерных программ (вирусов) обеспечивается путем автоматического получения или предварительно скачиваемых обновлений из доверенных (официальных) источников (с сервера обновлений производителя антивирусного ПО).
III. Ответственность
3.1. Ответственность за организацию антивирусной защиты ИС в соответствии с требованиями настоящей Инструкции возложена на администратора безопасности ИС.
3.2. Ответственность за соблюдение требований настоящей Инструкции возложена на пользователей ИС, администратора ИС, администратора безопасности ИС, администратора безопасности ИТ-инфраструктуры администрации.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ИНСТРУКЦИЯ ПО ПАРОЛЬНОЙ ЗАЩИТЕ
ИНФОРМАЦИОННЫХ СИСТЕМ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные требования к организации парольной защиты защищаемых информационных систем администрации Большемурашкинского муниципального района (далее – администрация).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Настоящая Инструкция является обязательной для исполнения пользователями ИС, администратором ИС с функциями локального администратора (далее – локальный администратор), администратором ИС, обладающим правом управления специальным программным обеспечением (СПО) ИС (далее – администратор ИС), администратором безопасности ИС, администратором безопасности ИТ-инфраструктуры администрации.
2.1. Парольная защита ИС достигается применением паролей при непосредственном доступе в ИС, при доступе к автоматизированным рабочим местам, с которых осуществляется доступ в ИС / к средствам защиты информации администрации, используемым в составе системы защиты ИС (далее – СрЗИ) / техническим средствам администрации, используемым в составе ИС (далее – СВТ), (далее – АРМ), при доступе к СрЗИ и иным СВТ.
2.2. Установлены следующие принципы обеспечения парольной защиты:
1) необходимая сложность пароля;
2) конфиденциальность паролей;
3) периодичность смены паролей;
4) запрет совместного использования индивидуальных паролей;
5) использование уникальных паролей для разных ИС;
6) обязательность смены паролей, установленных разработчиками по умолчанию, сразу после установки ИС и (или) программного обеспечения (далее – ПО), авторизации нового пользователя под новой учетной записью.
2.3. Используются следующие группы паролей:
1) временные пароли;
2) административные пароли;
3) сервисные пароли;
4) пользовательские пароли.
2.4. Соблюдаются следующие требования к паролям и управлению ими в зависимости от группы:
|
Критерий |
Временный пароль |
Административный пароль |
Сервисный пароль |
Пользовательский пароль |
|
Длина пароля |
Не менее 8 символов и букв |
Не менее 12 символов и букв |
Не менее 12 символов и букв |
Не менее 8 символов и букв |
|
Сложность пароля |
Пароль должен состоять из прописных букв латинского алфавита (символы верхнего регистра) от A до Z, строчных букв латинского алфавита (символы нижнего регистра) от a до z, цифр (от 0 до 9), неалфавитных символов (@, #, $, &, *, % и т.п.). Пароль не должен быть основан на информации, которая может быть легко угадана или получена из персональной информации пользователя и администратора (администратора безопасности) ИС, например, имена, даты рождения, памятные даты, номера документов, телефонов и т.п. Пароль не должен включать в себя общепринятые сокращения и термины (например, qwerty, pa$$w0rd, user и т.п.). Пароль не должен содержать комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.) Пароль не должен быть словом русского либо английского языка, в котором заменены некоторые символы (например, o→0, s→$, a→@ и т.п.). |
|||
|
Повторение пароля |
Не установлено |
Новый пароль должен отличаться от предыдущего не менее чем 7 позициями (символами), расположенными не подряд. Новый пароль не должен повторять последние 6 сгенерированных паролей |
Новый пароль должен отличаться от предыдущего не менее чем 5 позициями (символами), расположенными не подряд. Новый пароль не должен повторять последние 4 сгенерированных пароля |
Новый пароль должен отличаться от предыдущего не менее чем 4 позициями (символами). Новый пароль не должен повторять последние 3 сгенерированных пароля |
|
Периодичность смены пароля |
Не установлено |
Раз в 45 дней |
Раз в 45 дней |
Раз в 90 дней |
|
Количество попыток ввода до блокировки учетной записи |
3 |
3 |
3 |
3 |
|
Дополнительные требования |
Запрет записи паролей (например, на бумаге, в электронном файле, в очевидных местах (монитор АРМ, обратная сторона клавиатуры и т.п.)) в случае, если не может быть обеспечено их надежное хранение и исключен несанкционированный доступ. Обязательна смена пароля после первичной авторизации. Запрещена передача пароля по телефону или иным каналам связи |
Запрет записи паролей (например, на бумаге, в электронном файле, в очевидных местах (монитор АРМ, обратная сторона клавиатуры и т.п.)) в случае, если не может быть обеспечено их надежное хранение и исключен несанкционированный доступ. Обязательно хранение копии пароля в запечатанном конверте в специально отведенном месте, исключающим несанкционированный доступ |
Не установлено |
Запрет записи паролей (например, на бумаге, в электронном файле, в очевидных местах (монитор АРМ, обратная сторона клавиатуры и т.п.)) в случае, если не может быть обеспечено их надежное хранение и исключен несанкционированный доступ |
2.5. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей (установления парольной политики) возложено на следующих лиц:
1) в отношении СПО ИС – на администратора ИС;
2) в отношении СрЗИ – на администратора безопасности ИС и в случае, если СрЗИ относится к совместному ведению, – на администратора безопасности ИТ-инфраструктуры администрации;
3) в отношении АРМ и иных СВТ – на локального администратора.
2.6. Временный пароль используется пользователями ИС для доступа в СПО ИС при первом входе и после сброса пользовательского пароля. Временный пароль ограничен по времени действия и подлежит изменению на пользовательский пароль при первом входе в СПО ИС. Ограничения вводятся администратором ИС.
Создание временного пароля проводится администратором ИС при создании новой учетной записи пользователя, а также в случае, если пароль забыт пользователем, путем сброса пользовательского пароля и генерации временного. Пользователь ИС, получивший временный пароль, информируется об ограничениях, связанных с его использованием.
2.7. Административный пароль используется уполномоченными лицами, указанными в пункте 2.5 настоящей Инструкции, для доступа к управлению СПО ИС / СрЗИ / СВТ, и позволяет вносить изменения в конфигурацию.
Создание административного пароля для администратора ИС проводится администратором ИС сразу после установки СПО ИС. Создание административного пароля для администратора безопасности ИС проводится администратором безопасности ИС сразу после установки СрЗИ. Создание административного пароля для локального администратора проводится локальным администратором сразу после установки СВТ и (или) ПО.
Внеплановая смена административного пароля или удаление учетной записи уполномоченного лица, указанного в пункте 2.5 настоящей Инструкции, в случае прекращения прав доступа к СПО ИС / СрЗИ / СВТ, проводится в соответствии с компетенцией, предоставленной пунктом 2.5 настоящей Инструкции, новым администратором при участии действующего (сложившего полномочия) немедленно после окончания последнего сеанса работы действующего администратора с СПО ИС / СрЗИ / СВТ. В указанных целях действующий администратор самостоятельно вводит свой административный пароль, после чего вновь назначенный администратор самостоятельно создает свой административный пароль или учетную запись администратора, сохраняя их в тайне.
2.8. Сервисный пароль используется службами технической поддержки, разработчиками ИС и т.п. для доступа в СПО ИС / к СрЗИ / СВТ на ограниченный период времени в целях проведения сервисных действий, направленных на обеспечение функционирования ИС.
Создание сервисных паролей проводится уполномоченными лицами, указанными в пункте 2.5 настоящей Инструкции, при необходимости.
2.9. Пользовательский пароль используется пользователями ИС для постоянного доступа в СПО ИС и к АРМ в рамках срока действия прав доступа.
Пользовательские пароли выбираются и генерируются пользователями самостоятельно с помощью интерфейса системы управления паролями, встроенного в СПО ИС / операционную систему АРМ.
Внеплановая смена пользовательского пароля или удаление учетной записи пользователя ИС в случае прекращения прав доступа в СПО ИС проводится администратором ИС немедленно после окончания последнего сеанса работы данного пользователя с СПО ИС.
Полная внеплановая смена паролей всех пользователей ИС проводится в случае прекращения полномочий администратора ИС, а также в случае компрометации его административного пароля.
2.10. Для генерации административных, сервисных и временных паролей допустимо применение специализированного ПО.
2.11. Системы управления паролями (СУП), встроенные в СПО ИС / операционные системы АРМ / СрЗИ / иные СВТ, обладают следующими характеристиками:
1) обеспечивают использование индивидуальных идентификаторов пользователей и паролей для обеспечения подотчетности;
2) предоставляют пользователям возможность создания и смены своих паролей, и содержат процедуру подтверждения на случай ошибок ввода (только для СУП СПО ИС);
3) гарантируют выбор надежных паролей (с гарантированной сложностью и длиной) (только для СУП СПО ИС, АРМ и серверов);
4) гарантируют смену паролей;
5) принуждают пользователей проводить смену временных паролей (только для СУП СПО ИС), а также плановую смену паролей (только для СУП СПО ИС, АРМ и серверов);
6) ведут учет предыдущих паролей пользователей и не допускают их повторного использования с учетом установленных к ним требований (только для СУП СПО ИС);
7) не показывают пароли на экране в момент их ввода;
8) хранят файл с паролями отдельно от данных ИС (только для СУП СПО ИС);
9) хранят и пересылают пароли в защищенном виде (только для СУП СПО ИС);
10) блокируют рабочие сессии при завершении работы и (или) простоя более 5 минут, и в случае трехкратного неправильного ввода пароля.
2.12. Пользователи ИС и уполномоченные лица, указанные в пункте 2.5 настоящей Инструкции, обязуются:
1) соблюдать при создании своих паролей требования пункта 2.4 настоящей Инструкции;
2) сохранять свои пароли в тайне и не сообщать их другим лицам;
3) менять свои пароли с установленной периодичностью;
4) обеспечивать несоответствие своих паролей, используемых в СПО ИС / для доступа к СрЗИ / СВТ, паролям, используемым в личных и иных целях (например, для доступа к иным программным средствам);
5) блокировать рабочие сессии при завершении работы и оставлении СПО ИС / СрЗИ / СВТ без присмотра (если применимо);
6) проводить смену своего пароля немедленно во всех случаях, когда имели место компрометация пароля или несанкционированный доступ в СПО ИС / к СрЗИ / СВТ, либо существуют признаки возможной компрометации / несанкционированного доступа;
7) не использовать чужие пароли доступа в СПО ИС / к СрЗИ / СВТ;
8) менять временные пароли при первом входе в СПО ИС (только для пользователей ИС);
9) соблюдать установленную парольную политику и настоящую Инструкцию.
2.13. В целях принятия оперативных мер реагирования, о фактах (признаках) компрометации своего пароля: пользователь ИС сообщает немедленно администратору ИС (при компрометации паролей в отношении учетной записи СПО ИС), локальному администратору (при компрометации паролей в отношении учетной записи АРМ), а также администратору безопасности ИС; уполномоченное лицо, указанное в пункте 2.5 настоящей Инструкции, сообщает немедленно администратору безопасности ИС. Администратор безопасности ИС, в свою очередь, немедленно сообщает о фактах (признаках) компрометации паролей ответственному лицу сторонней организации (администратору безопасности), отвечающему за безопасность центрального сегмента ИС (в случае эксплуатации администрацией удаленного сегмента) / удаленного сегмента ИС (в случае эксплуатации администрацией центрального сегмента).
2.14. Контроль за действиями пользователей ИС, администратора ИС и локального администратора при работе с паролями, соблюдением порядка их создания, смены, хранения и использования возлагается на администратора безопасности ИС. Контроль проводится ежеквартально, выборочно в отношении пользователей ИС и обязательно в отношении каждого администратора. Выявленные в результате контроля нарушения устраняются немедленно по указанию администратора безопасности ИС.
III. Ответственность
3.1. Ответственность за организацию парольной защиты ИС в соответствии с требованиями настоящей Инструкции возложена на уполномоченных лиц, указанных в пункте 2.5 настоящей Инструкции, в соответствии с их компетенциями.
3.2. Ответственность за соблюдение требований настоящей Инструкции возложена на пользователей ИС, администратора ИС, локального администратора, администратора безопасности ИС, администратора безопасности ИТ-инфраструктуры администрации.
3.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ИНСТРУКЦИЯ ПО УПРАВЛЕНИЮ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ ПРИ ИСПОЛЬЗОВАНИИ ИНФОРМАЦИОННЫХ СИСТЕМ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные правила и процедуры управления учетными записями пользователей при использовании защищаемых информационных систем администрации Большемурашкинского муниципального района (далее – администрация).
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Настоящая Инструкция является обязательной для исполнения пользователями ИС, администратором ИС с функциями локального администратора (далее – локальный администратор), администратором ИС, обладающим правом управления специальным программным обеспечением (СПО) ИС (далее – администратор ИС), администратором безопасности ИС, администратором безопасности ИТ-инфраструктуры администрации.
2.1. В целях организации на программном уровне непосредственного доступа в СПО ИС, к средствам защиты информации администрации, используемым в составе системы защиты ИС (далее – СрЗИ), и техническим средствам администрации, используемым в составе ИС (далее – СВТ), и учета доступа создаются учетные записи пользователей (уникальный идентификатор пользователя и пароль).
2.2. Учетные записи разграничивают доступ в СПО ИС, к СрЗИ и СВТ на основе установленных списков (матриц) доступа с соблюдением принципа предоставления минимально необходимых привилегий и обеспечивают управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в СПО ИС, доступе к СрЗИ и СВТ, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации, иным объектам. Уникальные идентификаторы пользователей позволяют ассоциировать пользователей с проводимыми ими действиями и обеспечивать их подотчетность.
2.3. Запрещено использование одной и той же учетной записи разными пользователями.
2.4. Управление учетными записями пользователей в СПО ИС в соответствии с эксплуатационной документацией на СПО ИС осуществляет администратор ИС. Управление учетными записями пользователей автоматизированных рабочих мест администрации, используемых в составе ИС (далее – АРМ), и учетными записями пользователей иных СВТ осуществляет локальный администратор в соответствии с эксплуатационной документацией на СВТ и программное обеспечение. Управление учетными записями пользователей СрЗИ осуществляет администратор безопасности ИС и в случае, если СрЗИ относится к совместному ведению, – администратор безопасности ИТ-инфраструктуры администрации, в соответствии с эксплуатационной документацией на СрЗИ. Управление учетными записями осуществляется с соблюдением документации на систему защиты ИС.
2.5. Управление учетными записями осуществляется с соблюдением Инструкции по парольной защите информационных систем, утвержденной администрацией. Допустимое количество неуспешных попыток входа в СПО ИС, к СрЗИ и СВТ – 3 (три) за 30 минут. Учетные записи автоматически блокируются при превышении пользователем установленного ограничения количества неуспешных попыток входа в течение указанного периода времени.
2.6. Применяются следующие методы управления доступом через учетные записи: 1) дискреционный метод, предусматривающий управление доступом на основе идентификационной информации субъекта и для каждого объекта доступа - списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа; 2) ролевой метод, предусматривающий управление доступом на основе ролей (совокупность действий и обязанностей, связанных с определенным видом деятельности).
2.7. Учетные записи пользователей в СПО ИС.
2.7.1. Администратор ИС создает учетные записи с правами «администратора» (учетная запись администратора ИС) и учетные записи с правами «пользователя» (учетная запись пользователя ИС).
2.7.2. Учетная запись администратора ИС позволяет совершать любые действия в СПО ИС от имени администратора ИС. Учетная запись пользователя ИС позволяет совершать в СПО ИС действия от имени пользователя ИС в соответствии с допустимыми привилегиями. Привилегии (типы доступа) устанавливаются, основываясь на задачах, решаемых пользователями в ИС, в соответствии с ролями, отведенными им на основании эксплуатационной документации на СПО ИС и организационно-распорядительных документов. Типы доступа включают операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей) или запускаемому от его имени процессу.
2.7.3. Учетные записи пользователей ИС при необходимости объединяются в типы (внутренний пользователь, внешний пользователь, временная (сервисная)) и группы, что позволяет в случае необходимости ускорить поиск нужной учетной записи и упростить процедуру назначения привилегий.
2.7.4. Учетная запись пользователя ИС предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае производственной необходимости, связанной с генерацией и предоставлением отчетной (статистической) информации, непосредственно обрабатываемой в ИС и к которой пользователю ИС предоставлен доступ, а также в случае внесения данных в СПО ИС в соответствии с отведенной ролью. Учетная запись администратора ИС предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае производственной необходимости, связанной с генерацией и предоставлением отчетной (статистической) информации, формируемой специальным программным обеспечением ИС и связанной в т.ч. с анализом событий безопасности, расследованием инцидентов информационной безопасности, затронувших ИС, а также в случае внесения данных в ИС в соответствии с полномочиями администратора ИС. Доказательность производственной необходимости для ввода (вывода) информации на машинные носители возложена на пользователя ИС и администратора ИС. Временная (сервисная) учетная запись пользователя ИС предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае необходимости настройки, обновления (переконфигурирования) специального программного обеспечения ИС.
2.7.5. Учетная запись пользователя ИС создается, активируется, блокируется (деактивируется), корректируется и уничтожается на основании запроса (обращения), направленного администратору ИС, либо по инициативе администратора ИС в установленных случаях.
2.7.6. Учетная запись пользователя ИС заводится только на физическое лицо, которому соответствующими организационно-распорядительными документами (далее – ОРД) предоставлены права доступа к ИС.
2.7.7. При заведении учетной записи пользователя ИС администратор ИС убеждается, что физическое лицо, на которого создается учетная запись, существует и обладает действующими полномочиями по доступу к ИС.
2.7.8. При создании учетной записи пользователя ИС вводятся данные, позволяющие отличить пользователя ИС среди других пользователей (например, Ф.И.О., должность, номер контактного телефона, адрес электронной почты), а также реквизиты ОРД по предоставлению прав доступа к ИС (в дополнительных полях, если применимо), назначается идентификатор (представление (строка символов), однозначно идентифицирующее пользователя в СПО ИС), делается отметка о периоде действия (режиме функционирования) учетной записи.
2.7.9. Реквизиты созданной учетной записи пользователя ИС доводятся до сведения пользователя ИС, на которого заведена данная учетная запись, с сообщением номера контактного телефона администратора ИС.
2.7.10. После подтверждения факта получения пользователем ИС реквизитов своей учетной записи и перед непосредственной попыткой их ввода в СПО ИС учетная запись активируется администратором ИС. Применение данной меры позволяет избежать функционирования неиспользуемых учетных записей.
2.7.11. Уничтожение учетной записи пользователя ИС проводится в случае отзыва у пользователя ИС прав доступа к ИС (например, по причине его увольнения или утраты необходимости в предоставлении доступа) после окончания последнего сеанса работы пользователя в СПО ИС в день утраты указанных прав, но не позднее дня увольнения (перевода).
2.7.12. Деактивация учетной записи пользователя ИС проводится по инициативе администратора ИС в случае, если учетная запись не используется более 3 (трех) месяцев, в то время как должна использовать ежедневно или несколько раз в неделю. В случае, если режим функционирования учетной записи ограничивается необходимостью ее редкого использования, например, 1 (один) раз в квартал, полугодие или год, такая учетная запись в обычном состоянии находится в режиме деактивации и активируется только в целях входа в СПО ИС. Применение данной меры также позволяет избежать функционирования неиспользуемых учетных записей.
2.7.13. Блокирование учетной записи пользователя ИС осуществляется немедленно при совершении под учетной записью компрометирующих / деструктивных действий (при попытке их совершения) до выяснения обстоятельств.
2.7.14. Уничтожение учетной записи пользователя ИС проводится по инициативе администратора ИС в случае, если установлено, что учетная запись более не нужна для цели, для которой была создана.
2.7.15. Во всех случаях учетная запись пользователя ИС активируется, корректируется на основании его обращения и при наличии подтвержденных оснований.
2.7.16. Пользователи ИС оповещают администратора ИС обо всех проблемах с их учетными записями, включая компрометацию, а также об утрате прав доступа к ИС, подтвержденной ОРД, не позднее дня утраты указанных прав.
2.7.17. Пользователь ИС или организация, которой подотчетен данный пользователь, оповещают администратора ИС об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях. В случае пребывания пользователя ИС в длительном отпуске / командировке и т.п. его учетная запись блокируется в день начала отсутствия на период отсутствия.
2.7.18. Пересмотр учетных записей пользователей ИС проводится администратором ИС не реже 1 (одного) раза в квартал, немедленно – по обращению пользователя ИС или организации, которой подотчетен данный пользователь, и в отношении учетной записи данного пользователя. По результатам, в необходимых случаях учетные записи корректируются.
2.7.19. Администратор ИС при необходимости просматривает электронный журнал в СПО ИС на предмет определения сессий учетной записи пользователя ИС. При выявлении случаев несанкционированного входа в СПО ИС с использованием учетной записи пользователя ИС принимаются меры реагирования, направленные на установление лица, совершившего несанкционированный вход, места совершения несанкционированного входа и т.п.
2.7.20. Временная (сервисная) учетная запись пользователя ИС создается для представителей служб технической поддержки, разработчиков ИС и т.п., привлекаемых на договорной основе, на ограниченный период времени в целях проведения ими сервисных действий, направленных на диагностику и обеспечение функционирования СПО ИС.
2.7.21. Учетная запись администратора ИС по умолчанию заведена в СПО ИС. Сразу после установки СПО ИС на СВТ администратор ИС корректирует учетную запись под себя. Учетная запись действующего (сложившего полномочия) администратора ИС уничтожается в случае назначения нового администратора ИС вместо действующего и немедленно после создания новой учетной записи. Создание и корректировка новой учетной записи проводятся новым администратором ИС.
2.7.22. Учетная запись администратора ИС используется по мере необходимости только ее владельцем. Учетная запись администратора ИС не используется для совершения действий, которые должны выполняться под учетной записью пользователя ИС, а также для совершения деструктивных воздействий в ИС, в т.ч. через чужие учетные записи.
2.7.23. Администратор ИС ежедневно просматривает электронный журнал в СПО ИС на предмет определения сессий учетной записи администратора ИС за день. При выявлении случаев несанкционированного входа в СПО ИС с использованием учетной записи администратора ИС принимаются меры реагирования, направленные на установление лица, совершившего несанкционированный вход, места совершения несанкционированного входа и т.п.
2.8. Учетные записи пользователей АРМ.
2.8.1. Локальный администратор создает учетные записи с правами «администратора» (учетная запись администратора АРМ) и учетные записи с правами «пользователя» (учетная запись пользователя АРМ).
2.8.2. С использованием учетной записи администратора АРМ и встроенных средств операционной системы (сервера безопасности – в случае применения централизованного управления) осуществляется управление учетными записями пользователей АРМ.
2.8.3. Процедура управления учетными записями пользователей АРМ аналогична процедуре управления учетными записями пользователей ИС и проводится в отношении лица, которому соответствующими ОРД предоставлены права доступа к АРМ. Привилегии, предоставляемые под учетными записями, аналогичны привилегиям, предоставляемым под учетными записями пользователей в ИС.
2.8.4. Учетная запись пользователя АРМ предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае производственной необходимости, связанной с генерацией и предоставлением отчетной (статистической) информации, непосредственно обрабатываемой на АРМ (в ИС) и к которой пользователю АРМ предоставлен доступ. Учетная запись администратора АРМ предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае производственной необходимости, связанной с резервным копированием и восстановлением информации, генерацией и предоставлением отчетной (статистической) информации, формируемой АРМ и связанной в т.ч. с анализом событий безопасности, расследованием инцидентов информационной безопасности, касающихся АРМ, а также в случае внесения данных в процессе управления АРМ в соответствии с полномочиями локального администратора. Доказательность производственной необходимости для ввода (вывода) информации на машинные носители возложена на пользователя АРМ и локального администратора. Временная (сервисная) учетная запись пользователя АРМ предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае необходимости настройки, обновления (переконфигурирования) АРМ.
2.8.5. Учетная запись администратора АРМ по умолчанию заведена в операционной системе АРМ. Сразу после установки операционной системы на АРМ (перед первым подключением АРМ) локальный администратор корректирует учетную запись под себя. Учетная запись действующего (сложившего полномочия) локального администратора уничтожается в случае назначения нового администратора вместо действующего и немедленно после создания новой учетной записи. Создание и корректировка новой учетной записи проводятся новым локальным администратором.
2.8.6. Учетная запись администратора АРМ используется по мере необходимости только ее владельцем. Учетная запись администратора АРМ не используется для совершения действий, которые должны выполняться под учетной записью пользователя АРМ, а также для совершения деструктивных воздействий с использованием АРМ и в отношении АРМ, в т.ч. через чужие учетные записи.
2.8.7. Локальный администратор ежедневно просматривает электронный журнал в операционной системе АРМ на предмет определения сессий учетной записи администратора АРМ за день. При выявлении случаев несанкционированного использования учетной записи администратора АРМ принимаются меры реагирования.
2.9. Учетные записи пользователей иных СВТ администрации.
2.9.1. Локальный администратор создает учетные записи с правами «администратора» (учетная запись администратора СВТ) и учетные записи с правами «пользователя» (учетная запись пользователя СВТ).
2.9.2. С использованием учетной записи администратора СВТ и встроенных средств программного обеспечения (операционной системы) СВТ осуществляется управление учетными записями пользователей СВТ.
2.9.3. Процедура управления учетными записями пользователей СВТ аналогична процедуре управления учетными записями пользователей ИС и проводится в отношении лица, которому соответствующими ОРД предоставлены права доступа к СВТ (серверному оборудованию, системам хранения данных и т.п.). Привилегии, предоставляемые под учетными записями, аналогичны привилегиям, предоставляемым под учетными записями пользователей в ИС.
2.9.4. Учетная запись администратора СВТ предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае производственной необходимости, связанной с резервным копированием и восстановлением информации, генерацией и предоставлением отчетной (статистической) информации, формируемой СВТ и связанной в т.ч. с анализом событий безопасности, расследованием инцидентов информационной безопасности, касающихся СВТ, а также в случае внесения данных в процессе управления СВТ в соответствии с полномочиями локального администратора. Доказательность производственной необходимости для ввода (вывода) информации на машинные носители возложена на локального администратора. Временная (сервисная) учетная запись пользователя СВТ предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае необходимости настройки, обновления (переконфигурирования) СВТ.
2.9.5. Учетная запись администратора СВТ по умолчанию заведена в программном обеспечении (операционной системе) СВТ. Сразу после установки операционной системы на СВТ (перед первым подключением СВТ) локальный администратор корректирует учетную запись под себя. Учетная запись действующего (сложившего полномочия) локального администратора уничтожается в случае назначения нового администратора вместо действующего и немедленно после создания новой учетной записи. Создание и корректировка новой учетной записи проводятся новым локальным администратором.
2.9.6. Учетная запись администратора СВТ используется по мере необходимости только ее владельцем. Учетная запись администратора СВТ не используется для совершения действий, которые должны выполняться под учетной записью пользователя СВТ, а также для совершения деструктивных воздействий с использованием СВТ и в отношении СВТ, в т.ч. через чужие учетные записи.
2.9.7. Локальный администратор ежедневно просматривает электронный журнал в программном обеспечении (операционной системе) СВТ на предмет определения сессий учетной записи администратора СВТ за день. При выявлении случаев несанкционированного использования учетной записи администратора СВТ принимаются меры реагирования.
2.10. Учетные записи пользователей СрЗИ.
2.10.1. Администратор безопасности ИС создает учетные записи с правами «администратора» (учетная запись администратора СрЗИ) и учетные записи с правами «пользователя» (учетная запись пользователя СрЗИ).
2.10.2. С использованием учетной записи администратора СрЗИ и встроенных средств СрЗИ осуществляется управление учетными записями пользователей СрЗИ.
2.10.3. Процедура управления учетными записями пользователей СрЗИ аналогична процедуре управления учетными записями пользователей ИС и проводится в отношении лица, которому соответствующими ОРД предоставлены права доступа к СрЗИ. Привилегии, предоставляемые под учетными записями, аналогичны привилегиям, предоставляемым под учетными записями пользователей в ИС.
2.10.4. Учетная запись администратора СрЗИ предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае производственной необходимости, связанной с резервным копированием и восстановлением информации, генерацией и предоставлением отчетной (статистической) информации, формируемой СрЗИ и связанной в т.ч. с анализом событий безопасности, расследованием инцидентов информационной безопасности, касающихся СрЗИ, а также в случае внесения данных в процессе управления СрЗИ в соответствии с полномочиями администратора безопасности ИС. Доказательность производственной необходимости для ввода (вывода) информации на машинные носители возложена на указанного администратора. Временная (сервисная) учетная запись пользователя СрЗИ предоставляет полномочия по вводу (выводу) информации на машинные носители только в случае необходимости настройки, обновления (переконфигурирования) СрЗИ.
2.10.5. Учетная запись администратора СрЗИ по умолчанию заведена в СрЗИ. Сразу после установки СрЗИ (перед первым подключением СрЗИ) администратор безопасности ИС корректирует учетную запись под себя. Учетная запись действующего (сложившего полномочия) администратора безопасности ИС уничтожается в случае назначения нового администратора вместо действующего и немедленно после создания новой учетной записи. Создание и корректировка новой учетной записи проводятся новым администратором безопасности ИС.
2.10.6. Учетная запись администратора СрЗИ используется по мере необходимости только ее владельцем. Учетная запись администратора СрЗИ не используется для совершения действий, которые должны выполняться под учетной записью пользователя СрЗИ, а также для совершения деструктивных воздействий с использованием СрЗИ и в отношении СрЗИ, в т.ч. через чужие учетные записи.
2.10.7. Администратор безопасности ИС ежедневно просматривает электронный журнал в программном обеспечении СрЗИ на предмет определения сессий учетной записи администратора СрЗИ за день. При выявлении случаев несанкционированного использования учетной записи администратора СрЗИ принимаются меры реагирования.
2.11. Учетная запись администратора СВТ (АРМ) предоставляет полномочия по подключению любых учтенных носителей к СВТ (АРМ) в связи с производственной необходимостью и в рамках функций локального администратора. Временная (сервисная) учетная запись пользователя СВТ (АРМ, СрЗИ) предоставляет полномочия по подключению носителей, разрешенных к подключению в рамках конкретной учетной записи локальным администратором и администратором безопасности ИС, к СВТ (АРМ, СрЗИ) в связи с производственной необходимостью и в рамках (на период) сервисных действий, направленных на диагностику и обеспечение функционирования СВТ (АРМ, СрЗИ) / замену их компонентов. Учетная запись администратора СрЗИ предоставляет полномочия по подключению учтенных носителей, связанных с СрЗИ, к СрЗИ в связи с производственной необходимостью и в рамках функций администратора безопасности ИС. Учетная запись пользователя СВТ (АРМ, СрЗИ, ИС) предоставляет полномочия по подключению учтенных отчуждаемых носителей, разрешенных к подключению в рамках конкретной учетной записи локальным администратором, администратором безопасности ИС и администратором ИС, к СВТ (АРМ, СрЗИ) в связи с производственной необходимостью и предоставленными привилегиями и в соответствии с техническим паспортом ИС (сегмента ИС).
2.12. Контроль за действиями администратора ИС, локального администратора, пользователей ИС при работе с учетными записями, соблюдением правил их заведения и удаления возлагается на администратора безопасности ИС. Контроль проводится ежеквартально, выборочно в отношении пользователей ИС и обязательно в отношении каждого администратора. Выявленные в результате контроля нарушения устраняются немедленно по указанию администратора безопасности ИС.
III. Ответственность
3.1. Ответственность за организацию процедуры управления учетными записями пользователей при использовании ИС в соответствии с требованиями настоящей Инструкции возложена на уполномоченных лиц, указанных в пункте 2.4 настоящей Инструкции, в соответствии с их компетенциями.
3.2. Ответственность за соблюдение требований настоящей Инструкции возложена на администратора безопасности ИС, администратора безопасности ИТ-инфраструктуры администрации, администратора ИС, локального администратора.
3.3. Пользователь ИС несет ответственность за все действия, совершенные от имени его учетной записи (учетной записи «пользователя ИС» и «пользователя АРМ»), если не доказан факт несанкционированного использования его учетной записи другими лицами. Администратор ИС несет ответственность за все действия, совершенные от имени его учетной записи (учетной записи «администратора ИС» и «пользователя АРМ»), а также от имени системных учетных записей ИС, если не доказан факт несанкционированного использования учетных записей. Администратор безопасности ИС / администратор безопасности ИТ-инфраструктуры администрации несет ответственность за все действия, совершенные от имени его учетной записи (учетной записи «администратора СрЗИ» и «пользователя АРМ»), а также от имени системных учетных записей СрЗИ, если не доказан факт несанкционированного использования учетных записей. Локальный администратор несет ответственность за все действия, совершенные от имени его учетной записи (учетной записи «администратора АРМ» и «администратора СВТ»), а также от имени системных учетных записей АРМ / СВТ, если не доказан факт несанкционированного использования учетных записей.
3.4. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ИНСТРУКЦИЯ ПО РЕЗЕРВИРОВАНИЮ И ВОССТАНОВЛЕНИЮ РАБОТОСПОСОБНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные требования к организации резервирования технических средств, программного обеспечения, каналов передачи данных, средств обеспечения функционирования защищаемых информационных систем администрации Большемурашкинского муниципального района (далее – администрация) и требования к организации восстановления работоспособности программного обеспечения при возникновении нештатных ситуаций.
1.2. Под защищаемой информационной системой (далее – ИС) понимается: государственная информационная система; информационная система персональных данных; иная информационная система, обрабатываемая информация в которой подлежит защите в соответствии с требованиями действующего законодательства и по решению администрации.
1.3. Настоящая Инструкция является обязательной для исполнения администратором ИС с функциями локального администратора (далее – локальный администратор), администратором ИС, ответственным за организацию и контроль правильной эксплуатации специального программного обеспечения (СПО) ИС (далее – администратор ИС), администратором безопасности ИС.
2.1. В целях обеспечения непрерывности функционирования ИС и возможности ее восстановления при возникновении нештатных ситуаций обеспечивается:
1) применение резервных (дублирующих) технических средств, программного обеспечения, каналов передачи данных и (или) средств обеспечения функционирования, обеспечивающих требуемые условия непрерывности функционирования ИС и доступности информации;
2) ввод в действие резервного технического средства, программного обеспечения, канала передачи данных или средства обеспечения функционирования при нарушении требуемых условий непрерывности функционирования ИС и доступности информации.
2.2. Сегменты ИС, в которых должно осуществляться резервирование технических средств, программного обеспечения, каналов передачи данных и средств обеспечения функционирования, а также перечень резервируемых средств, исходя из требуемых условий обеспечения непрерывности функционирования ИС и доступности информации, определяются документацией на систему защиты ИС.
2.3. Резервирование технических средств в зависимости от требуемых условий обеспечения непрерывности функционирования ИС и доступности информации обеспечивается ненагруженным («холодным») и (или) нагруженным («горячим») резервированием.
2.4. Резервирование программного обеспечения обеспечивается созданием резервных копий общесистемного, специального и прикладного программного обеспечения, а также программного обеспечения СрЗИ, необходимых для обеспечения требуемых условий непрерывности функционирования ИС и доступности информации, в соответствии с Правилами резервного копирования и восстановления информации, утвержденными администрацией.
2.5. Резервирование каналов передачи данных обеспечивается:
1) резервированием каналов связи, обеспечивающим снижение вероятности отказа в доступе к ИС;
2) наличием у основных и альтернативных поставщиков телекоммуникационных услуг (провайдеров) ИС планов по восстановлению связи при авариях и сбоях, с указанием времени восстановления.
2.6. Резервирование средств обеспечения функционирования обеспечивается:
1) использованием кратковременных резервных источников питания для обеспечения правильного (корректного) завершения работы ИС (технического средства, устройства) в случае отключения основного источника питания;
2) использованием долговременных резервных источников питания в случае длительного отключения основного источника питания и необходимости продолжения выполнения ИС (техническим средством, устройством) установленных функциональных (задач);
3) определением перечня энергозависимых технических средств, которым необходимо обеспечить наличие резервных источников питания (кратковременных и долговременных).
III. Восстановление
3.1. Возможность восстановления программного обеспечения, включая программное обеспечение СрЗИ, предусматривает:
1) восстановление его из резервных копий (дистрибутивов) программного обеспечения в соответствии с Правилами резервного копирования и восстановления информации, утвержденными администрацией;
1) восстановление и проверку работоспособности системы защиты информации, обеспечивающие необходимый уровень защищенности информации;
2) возврат ИС в начальное состояние (до возникновения нештатной ситуации), обеспечивающее ее штатное функционирование, или восстановление отдельных функциональных возможностей ИС, позволяющих решать задачи по обработке информации в ИС.
3.2. Немедленно после возникновения нештатной ситуации предпринимаются меры по восстановлению работоспособности:
1) СрЗИ – администратором безопасности ИС;
2) СПО ИС и данных ИС – администратором ИС;
3) технических средств и средств обеспечения функционирования, программного обеспечения ИТ-инфраструктуры администрации, задействованного в работе ИС, и каналов передачи данных – локальным администратором.
3.3. Предпринимаемые меры, выходящие за рамки компетенции ответственных лиц администрации, согласуются с вышестоящим руководством. Требование о согласовании может быть не соблюдено ввиду экстренной необходимости получения сторонней высококвалифицированной помощи в кратчайшие сроки.
3.4. Перед восстановлением работоспособности программного обеспечения проводится резервное копирование базы данных ИС и настроек СрЗИ, если представляется возможным.
3.5. В целях обеспечения возможности восстановления программного обеспечения в ИС при возникновении нештатной ситуации администратор ИС, локальный администратор и администратор безопасности ИС руководствуются Правилами реагирования на инциденты информационной безопасности, утвержденными администрацией, а также немедленно корректно (в штатном режиме) завершают сеанс работы с ИС, если представляется возможным, и обеспечивают отключение технических средств до устранения причины и последствий нештатной ситуации.
3.6. Одним из условий возможности восстановления работоспособности компонентов ИС при возникновении нештатных ситуаций является применение пожарных сигнализаций и систем пожаротушения, систем вентиляции и кондиционирования в помещениях размещения технических (аппаратно-программных) средств и средств обеспечения функционирования ИС.
3.7. В случае, когда восстановление работоспособности системы защиты информации невозможно, применяются компенсирующие меры защиты информации:
1) проводится внеплановое резервное копирование базы данных ИС;
2) при отказе средств централизованного управления СрЗИ локальные СрЗИ, управляемые централизованно, переходят в режим самостоятельного управления;
3) при отказе основных технических средств, программного обеспечения, каналов передачи данных и (или) средств обеспечения функционирования ИС осуществляется: переключение на резервные (дублирующие); проводится восстановление функционирования в соответствии с требованиями настоящей Инструкции.
4.1. Ответственность за организацию процедуры резервирования и восстановления работоспособности ИС в соответствии с требованиями настоящей Инструкции возложена на администратора безопасности ИС и администратора ИС.
4.2. Ответственность за соблюдение требований настоящих Правил возложена на администратора безопасности ИС, администратора ИС, локального администратора.
4.3. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ
СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
(далее – Инструкция)
1.1. Настоящая Инструкция определяет основные права и обязанности пользователей средств криптографической защиты информации (СКЗИ), предназначенных для обеспечения безопасности хранения, обработки и передачи по каналам связи защищаемой информации, не содержащей сведения, составляющие государственную тайну (конфиденциальной информации).
1.2. Пользователь СКЗИ – сотрудник администрации Большемурашкинского муниципального района (далее – администрация), допущенный к работе с СКЗИ.
1.3. Понятия, используемые в настоящей Инструкции, применяются в значениях, определенных Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13 июня 2001 года №152 (далее – Инструкция ФАПСИ).
1.4. Настоящая Инструкция является обязательной для исполнения всеми пользователями СКЗИ.
2.1. Пользователь СКЗИ допускается к работе с СКЗИ согласно перечню пользователей СКЗИ, утвержденному администрацией как обладателем конфиденциальной информации.
2.2. Непосредственно к работе с СКЗИ пользователь СКЗИ допускается только после обучения правилам работы с СКЗИ, проводимого сотрудниками соответствующего органа криптографической защиты. Документом, подтверждающим должную специальную подготовку пользователя и возможность его допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этого лица зачетов по программе обучения.
2.3. Пользователь СКЗИ обязан:
1) эксплуатировать СКЗИ в соответствии с документацией на СКЗИ;
1) не разглашать конфиденциальную информацию, к которой он допущен, рубежи ее защиты, в том числе сведения о криптоключах;
2) соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ, требования по обеспечению безопасности функционирования СКЗИ;
3) сообщать в орган криптографической защиты о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
4) сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным Инструкцией ФАПСИ, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
5) соблюдать Инструкцию ФАПСИ при обращении с ключевыми документами, СКЗИ с введенными криптоключами;
6) хранить ключи от шкафов (ящиков, хранилищ) индивидуального пользования, используемых для хранения выданных ему ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей;
7) немедленно уведомлять орган криптографической защиты и администратора безопасности информационной системы администрации, в которой используется СКЗИ (далее – администратор безопасности ИС), / администратора безопасности ИТ-инфраструктуры администрации (если СКЗИ входит в состав ИТ-инфраструктуры (локальной вычислительной сети) администрации) о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений;
8) принимать срочные меры к розыску ключевых документов в случаях их недостачи, непредъявления, неопределенности их местонахождения;
9) сообщать в соответствующий орган криптографической защиты о нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием конфиденциальной информации (осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения), при этом учитывать, что к событиям, связанным с компрометацией действующих криптографических ключей, могут относиться следующие:
а) утрата (хищение) носителей ключевой информации, в т.ч. – с последующим их обнаружением;
б) увольнение (переназначение) сотрудников администрации, имевших доступ к носителям ключевой информации;
в) передача секретных ключей по линии связи с открытом виде;
г) нарушение правил хранения носителей ключевой информации;
д) вскрытие фактов утечки передаваемой информации или ее искажения (подмены, подделки);
е) ошибки при совершении криптографических операций;
ж) несанкционированное или безучетное копирование ключевой информации;
з) все случаи, когда нельзя достоверно установить, что произошло с носителем ключевой информации (в т.ч. случаи, когда носитель ключевой информации вышел из строя и доказательно не опровергнута вероятность того, что данный факт произошел в результате злоумышленных действий);
10) сообщать в соответствующий орган криптографической защиты о выводе криптоключей из действия;
11) вести технический (аппаратный) журнал, если предусмотрено эксплуатационной или технической документацией к СКЗИ, в соответствии с Порядком ведения журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов и технического (аппаратного) журнала, утвержденным администрацией (далее – Порядок ведения журналов);
12) хранить инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в надежно запираемых шкафах (ящиках, хранилищах (сейфах)) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин, в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение;
13) предусматривать раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей;
14) сдавать носители ключевой информации по окончании их использования администратору безопасности ИС / администратору безопасности ИТ-инфраструктуры администрации в исключительных (непредвиденных) случаях, когда невозможно обеспечить их безопасность применением шкафа индивидуального пользования, с проставлением отметки в соответствующем журнале поэкземплярного учета; при этом учитывать, что сдаваемые носители помещаются пользователем СКЗИ в непросматриваемый конверт и опечатываются прочной наклейкой по всей длине кромки вскрытия конверта и удостоверяются подписью (печатью) пользователя СКЗИ на месте вскрытия конверта; сдаваемые таким образом носители хранятся в сейфе, подконтрольном администратору безопасности ИС / администратору безопасности ИТ-инфраструктуры администрации;
14) учитывать при работе с СКЗИ информацию о предполагаемой компрометации криптоключей и их замене, полученную в рамках оповещения пользователей СКЗИ от соответствующего органа криптографической защиты или ФАПСИ;
15) немедленно вывести из действия криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ;
16) возвращать в орган криптографической защиты или по его указанию уничтожать на месте неиспользованные или выведенные из действия ключевые документы;
17) уничтожать самостоятельно под расписку в техническом (аппаратном) журнале разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах;
18) уведомлять (телефонограммой, устным сообщением по телефону и т.п.) об уничтожении ключевых документов после их уничтожения соответствующий орган криптографической защиты для списания уничтоженных документов с его лицевого счета, а также не реже 1 (одного) раза в год направлять в орган криптографической защиты письменные отчеты об уничтоженных ключевых документах (орган криптографической защиты вправе устанавливать периодичность представления указанных отчетов чаще 1 (одного) раза в год);
19) учитывать следующую политику уничтожения:
а) уничтожение криптоключей (исходной ключевой информации) может проводиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования);
б) криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт - дисков (CD - ROM), Data Key, Smart Card, Touch Memory и т.п.); непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации);
в) ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации; непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации);
г) бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин;
д) СКЗИ уничтожают (утилизируют) по решению администрации как обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с лицензиатом ФАПСИ;
е) намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали; при этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ и они полностью отсоединены от аппаратных средств;
ж) пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений; при этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), надежно удаляется (стирается);
з) ключевые документы уничтожаются в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ; если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы уничтожаются не позднее 10 (десяти) суток после вывода их из действия (окончания срока действия); факт уничтожения оформляется в соответствующем журнале поэкземплярного учета; в эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах;
20) учитывать следующую политику передачи СКЗИ, эксплуатационной и технической документации к ним, ключевых документов:
а) передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и (или) сотрудниками органа криптографической защиты под расписку в соответствующем журнале поэкземплярного учета (такая передача между пользователями СКЗИ должна быть санкционирована соответствующим органом криптографической защиты), при этом администрация как обладатель конфиденциальной информации с согласия органа криптографической защиты может разрешить передачу СКЗИ, документации к ним, ключевых документов между допущенными к СКЗИ лицами по актам без обязательной отметки в журнале поэкземплярного учета);
б) СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки; эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями;
в) для пересылки СКЗИ ключевые документы помещаются в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию; СКЗИ пересылают отдельно от ключевых документов к ним; на упаковках указывается орган криптографической защиты или пользователь СКЗИ, для которых эти упаковки предназначены; на упаковках для пользователя СКЗИ делается пометка «Лично»; упаковки опечатываются таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати; оформленная таким образом упаковка, при предъявлении фельдсвязью дополнительных требований, помещается во внешнюю упаковку, оформленную согласно предъявляемым требованиям; до первоначальной высылки (или возвращения) адресату сообщается отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны;
г) для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подготавливается сопроводительное письмо, в котором указывается, что посылается и в каком количестве, учетные номера изделий или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления; сопроводительное письмо вкладывается в одну из упаковок;
д) полученные упаковки вскрывают лично пользователи СКЗИ, для которых они предназначены; если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю, а при необходимости информирует об этом соответствующий орган криптографической защиты; полученные с такими отправлениями СКЗИ и ключевые документы до получения указаний от отправителя и органа криптографической защиты применять не разрешается;
е) при обнаружении бракованных ключевых документов или криптоключей один экземпляр бракованного изделия возвращается изготовителю через соответствующий орган криптографической защиты для установления причин происшедшего и их устранения в дальнейшем, а оставшиеся экземпляры хранятся до поступления дополнительных указаний от органа криптографической защиты или изготовителя;
ж) получение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждается отправителю в соответствии с порядком, указанным в сопроводительном письме; отправитель обязан контролировать доставку своих отправлений адресатам; если от адресата своевременно не поступило соответствующего подтверждения, то отправитель направляет ему запрос и принимает меры к уточнению местонахождения отправлений;
21) удостовериться, что направленные им уведомления в соответствующий орган криптографической защиты получены / прочтены получателем;
22) предоставлять информацию в соответствии с Порядком ведения журналов;
23) во всем, неурегулированным настоящей Инструкцией, руководствоваться Инструкцией ФАПСИ.
2.4. Пользователь СКЗИ вправе:
1) использовать скомпрометированные криптоключи, но только в чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, и только по решению лицензиата ФАПСИ, при этом период использования скомпрометированных криптоключей должен быть максимально коротким, а передаваемая информация как можно менее ценной;
2) уничтожать под расписку в соответствующем журнале поэкземплярного учета ключевые документы самостоятельно, при этом пользователю СКЗИ разрешается уничтожать только использованные непосредственно им (предназначенные для него) криптоключи;
3) вносить администратору безопасности ИС / администратору безопасности ИТ-инфраструктуры администрации предложения по вопросам использования и обеспечения безопасности СКЗИ.
2.5. Пользователю СКЗИ запрещается:
1) использовать носители ключевой информации, выведенные из действия;
2) во время работы оставлять носители ключевой информации без присмотра (например, на рабочем столе или в разъеме системного блока автоматизированного рабочего места);
3) осуществлять несанкционированное и безучетное копирование ключевых данных;
4) хранить носители ключевой информации вне шкафов и помещений, гарантирующих их сохранность и конфиденциальность;
5) передавать носители ключевой информации неуполномоченным лицами.
III. Ответственность
3.1. Ответственность за соблюдение требований настоящей Инструкции возложена на пользователя СКЗИ. Пользователи СКЗИ несут персональную ответственность за сохранность СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
3.2. Форма и размер ответственности определяются в соответствии с действующим законодательством, исходя из вида и размера ущерба, нанесенного администрации, государству, юридическим лицам и личности, действиями либо бездействием должностного лица.
|
|
УТВЕРЖДЕНА Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПЕРЕЧЕНЬ ПОЛЬЗОВАТЕЛЕЙ
СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
|
№ п/п |
Ф.И.О. сотрудника |
Наименование должности |
|
1. |
Абувалов М.А. |
инженер-программист |
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПЕРЕЧЕНЬ ПОМЕЩЕНИЙ ЕДДС АДМИНИСТРАЦИИ БОЛЬШЕМУРАШКИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА,
В КОТОРЫХ ИСКЛЮЧЕНО НЕСАНКЦИОНИРОВАННОЕ ПРЕБЫВАНИЕ ПОСТОРОННИХ ЛИЦ
|
№ п/п |
Помещения, расположенные по адресу: Нижегородская область, р.п.Б.Мурашкино, ул. Свободы, д. 86, в которых: |
Номер помещения |
|
1. |
Обрабатывается информация ограниченного доступа, не отнесенная к государственной тайне, в т.ч. персональные данные субъектов категории: |
зал ЕДДС |
|
1.1. |
сотрудники администрации Большемурашкинского муниципального района (далее – администрация), |
- |
|
1.2. |
близкие родственники сотрудников администрации |
- |
|
1.3. |
претенденты на замещение должностей |
- |
|
1.4. |
руководители организаций (предприятий, учреждений), подведомственных администрации |
- |
|
1.5. |
практиканты (стажеры) |
- |
|
1.6. |
контрагенты |
- |
|
1.7. |
заявители |
- |
|
1.8. |
граждане, обратившиеся в рамках системы обеспечения вызова экстренных оперативных служб по единому номеру «112» в Нижегородской области / в рамках иных систем обеспечения общественной безопасности, а также граждане, в отношении которых поступили обращения |
да |
|
2. |
Хранятся машинные носители информации ограниченного доступа, не отнесенной к государственной тайне, в т.ч. персональных данных субъектов категории: |
зал ЕДДС |
|
2.1. |
сотрудники администрации |
- |
|
2.2. |
близкие родственники сотрудников администрации |
- |
|
2.3. |
претенденты на замещение должностей |
- |
|
2.4. |
руководители организаций (предприятий, учреждений), подведомственных администрации |
- |
|
2.5. |
практиканты (стажеры) |
- |
|
2.6. |
контрагенты |
- |
|
2.7. |
заявители |
- |
|
2.8. |
граждане, обратившиеся в рамках системы обеспечения вызова экстренных оперативных служб по единому номеру «112» в Нижегородской области / в рамках иных систем обеспечения общественной безопасности, а также граждане, в отношении которых поступили обращения |
да |
|
3. |
Хранятся бумажные носители информации ограниченного доступа, не отнесенной к государственной тайне, в т.ч. персональных данных субъектов категории: |
зал ЕДДС |
|
3.1. |
сотрудники администрации |
- |
|
3.2. |
близкие родственники сотрудников администрации |
- |
|
3.3. |
претенденты на замещение должностей |
- |
|
3.4. |
руководители организаций (предприятий, учреждений), подведомственных администрации |
- |
|
3.5. |
практиканты (стажеры) |
- |
|
3.6. |
контрагенты |
- |
|
3.7. |
заявители |
- |
|
3.8. |
граждане, обратившиеся в рамках системы обеспечения вызова экстренных оперативных служб по единому номеру «112» в Нижегородской области / в рамках иных систем обеспечения общественной безопасности, а также граждане, в отношении которых поступили обращения |
- |
|
4. |
Размещаются технические средства (средства вычислительной техники) защищаемых информационных систем администрации (ИС), обрабатывающие информацию, а также пользовательские, сетевые и серверные компоненты ИС, средства обеспечения функционирования ИС |
серверное помещение ЕДДС |
|
5. |
Размещаются автоматизированные рабочие места (АРМ) администраторов ИС |
зал ЕДДС |
|
6. |
Размещаются АРМ администраторов безопасности ИС |
- |
|
7. |
Размещается АРМ администратора безопасности ИТ-инфраструктуры |
- |
|
8. |
Размещаются АРМ локальных администраторов |
- |
|
9. |
Размещаются (установлены) средства защиты информации (СрЗИ) |
серв.помещ. ЕДДС |
|
10. |
Размещаются (установлены) средства криптографической защиты информации (СКЗИ) |
серв.помещ. ЕДДС |
|
11. |
Хранятся СКЗИ и (или) ключевые документы к ним (носители ключевой, аутентифицирующей и парольной информации) |
зал ЕДДС |
|
12. |
Хранятся следующие учетные журналы: |
зал ЕДДС |
|
12.1. |
журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов |
зал ЕДДС |
|
12.2. |
технический (аппаратный) журнал |
зал ЕДДС |
|
12.3. |
журнал учета средств защиты информации |
зал ЕДДС |
|
12.4. |
журнал учета машинных носителей |
зал ЕДДС |
|
12.5. |
журнал учета технических средств |
зал ЕДДС |
|
12.6. |
журнал учета ключей и электронных карт |
зал ЕДДС |
|
12.7. |
журнал учета доступа в серверное помещение |
зал ЕДДС |
|
12.8. |
журнал учета инструктажа и обучения по вопросам обеспечения информационной безопасности |
зал ЕДДС |
|
12.9. |
журнал учета доступа к информационным системам |
зал ЕДДС |
|
12.10. |
журнал учета доступа к персональным данным |
зал ЕДДС |
|
12.11. |
журнал учета событий безопасности |
зал ЕДДС |
|
12.12. |
журнал учета резервного копирования и восстановления информации |
зал ЕДДС |
|
13. |
Хранятся неиспользуемые дубликаты (оригиналы) ключей (электронных карт) от помещений, в которых исключено несанкционированное пребывание посторонних лиц |
зал ЕДДС |
|
|
УТВЕРЖДЕН Распоряжением администрации Большемурашкинского муниципального района _________ №____ |
ПЕРЕЧЕНЬ
СОТРУДНИКОВ АДМИНИСТРАЦИИ БОЛЬШЕМУРАШКИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА, ИМЕЮЩИХ ДОСТУП В ПОМЕЩЕНИЯ ОТДЕЛА ПО ВОПРОСАМ ГО,ЧС,МП и ЕДДС, В КОТОРЫХ ИСКЛЮЧЕНО НЕСАНКЦИОНИРОВАННОЕ ПРЕБЫВАНИЕ ПОСТОРОННИХ ЛИЦ
|
Наименование помещения, расположенного по адресу: Нижегородская область, р.п.Б.Мурашкино, ул. Свободы, д. 86, и к которому предоставлен доступ |
Ф.И.О. |
Должность |
|
оперативный зал |
Сильянова Е.Г. |
оперативный дежурный |
|
|
Зубарева Е.В. |
помощник оперативного дежурного |
|
|
Бугрова А.А. |
диспетчер-112 |
|
|
Школьнова Н.Г. |
оперативный дежурный |
|
|
Сорочкина Н.Г. |
диспетчер-112 |
|
|
Майорова Е.В. |
оперативный дежурный |
|
|
Горшкова Ю.О. |
диспетчер-112 |
|
|
Ахабанина Е.Н. |
оперативный дежурный |
|
|
Армянинова Н.Д. |
диспетчер-112 |
|
|
Золотова О.А. |
Заместитель начальника отдела по вопросам ГО,ЧС,МП и ЕДДС |
|
|
Шохов А.В. |
Начальник отдела по вопросам ГО,ЧС,МП и ЕДДС |
|
|
Абувалов М.А. |
инженер-программист |
|
серверное помещение |
Шохов А.В. |
Начальник отдела по вопросам ГО,ЧС,МП и ЕДДС |
|
|
Абувалов М.А. |
инженер-программист |
