Приложение  1

                                                                               к Приказу №_____ от _____ 201

 

Перечень информационных систем персональных данных (ИСПДн)

 

№ п/п	Наименование ИСПДн	Место расположения ИСПДн	Структура ИСПДн	Наличие подключений к ССОП и сетям МИО (Интернет)	Режим обработки ПДн	Разграничение доступа пользователей	Нахождение ИСПДн (ее составных частей) в пределах России	Уровень защищенности ИСПДн
1	2	3	4	5	6	7	8	9
1	АИС «Семья и дети»	Кабинет №1	Распределенная система	Имеется	Многополь-зовательский	С разграни-чением прав пользования	Все технические средства находятся на территории Российской Федерации	УЗ 4
2	АСУПД «Тула» (Единая информационная система в сфере социальной защиты населения Челябинской области)	Кабинеты:  № 1,4,9	Локальная система	Имеется	Многополь-зовательский	С разграни-чением прав пользования	Все технические средства находятся на территории Российской Федерации	УЗ 4
3	«Парус: Зарплата и кадры бюджетного учреждения» «Парус: Бухгалтерия бюджетного учреждения»	Кабинет№ 6	Распределенная система	Имеется	Многополь-зовательский	С разграни-чением прав пользования	Все технические средства находятся на территории Российской Федерации	УЗ 4

Приложение  2

                                                                               к Приказу №_____ от _____ 201

 

 

 

Порядок доступа в помещения, в которых ведется обработка ПДн в ИСПДн

 

Порядок разработан в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

 

Контролируемая зона

 

Контролируемая зона – территория, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования (сетевое оборудование, иные технические средства).

Контролируемая зона включает пространство (территорию, здание, часть здания), в котором исключено неконтролируемое пребывание работников (сотрудников) оператора и лиц, не имеющих постоянного допуска на объекты информационной системы (не являющихся работниками оператора), а также транспортных, технических и иных материальных средств.

Границами контролируемой зоны являются ограждающие конструкции зданий МБУ «Комплексный центр»

 

Порядок доступа в помещения

 

В помещения допускаются лица, согласно утвержденному перечню.

Ответственность в рабочее время за исключение неконтролируемого доступа третьих лиц в помещения, где ведется работа в ИСПДн, несут сотрудники, допущенные в данные помещения, при этом запрещается оставлять помещения, в случае отсутствия в нем сотрудников незакрытыми или с ключами в двери.

Контроль и управление физическим доступом осуществляется ответственным за организацию обработки персональных данных.

Сотрудники, ведущие обработку информации на автоматизированных рабочих местах, размещают экраны мониторов так, чтобы исключить возможность несанкционированного просмотра выводимой информации, как из-за пределов контролируемой зоны, так и в пределах контролируемой зоны.

По возможности исключаются случаи размещения устройства вывода (отображения, печати) информации напротив оконных проемов, входных дверей, технологических отверстий, в коридорах, холлах и иных местах, доступных для несанкционированного просмотра.

 

 

 

 

 

 

 

 

 

 

 

  
Приложение  3

                                                                               к Приказу №_____ от _____ 201

 

Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных

 

 

Перечень сотрудников осуществляющих обработку персональных данных в информационным системам персональных данных(далее - ИСПДн),  МБУ  «Комплексный центр социального обслуживания населения» Саткинского муниципального района Челябинской области представлен в списке лиц, имеющих доступ к ИСПДн.

Разграничение прав доступа к БД ИСПДн осуществляет средствами специального ПО
в соответствии с должностными обязанностями каждого сотрудника, имеющего права доступа к обрабатываемым персональным данным в ИСПДн.

Разграничением прав доступа к информационным ресурсам, используемым в ИСПДн, кроме баз данных, осуществляется средствами ОС системными администраторами. Список информационных ресурсов и права доступа к ним приведен в Приложении 1-10.

Разграничение прав осуществляется исходя из характера и режима обработки персональных данных в ИСПДн.

 

ПЕРЕЧЕНЬ

 

должностей работников МБУ « Комплексный центр социального обслуживания населения», имеющих доступ к работе в информационных системах персональных данных

 

№	Наименование информационной системы персональных данных	Должность
	«Парус: Зарплата и кадры бюджетного учреждения»	Главный бухгалтер
		Бухгалтер
		Специалист по кадрам
	«Парус: Бухгалтерия бюджетного учреждения»	Главный бухгалтер Бухгалтер
	Автоматизированный комплекс «АИС Семья и дети»	Заместитель директора программист Заведующий отделением Специалист по социальной работе
	АСУПД «Тула» (АС Адресная социальная помощь)	Заместитель директора методист программист Заведующий отделением Специалист по социальной работе

                                                                                                                          Приложение  4

                                                                               к Приказу №_____ от _____ 201

 

 

Инструкция по учету лиц, допущенных
к работе с персональными данными в информационных системах персональных данных МБУ « Комплексный центр социального обслуживания населения» Саткинского муниципального района Челябинской области

 

1 Общие сведения

 

1. Настоящая инструкция разработана в соответствии с требованиями Положения об утверждении требований к защите персональных данных при их обработке в информационных система персональных данных, утвержденного постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 и определяет порядок учета лиц, допущенных к работе с персональными данными в информационных системах.
2. Настоящая инструкция определяет порядок допуска сотрудников и третьих лиц к персональным данным, обрабатываемым в информационной системе
   МБУ «Комплексный центр социального обслуживания населения» Саткинского муниципального района (далее - Учреждение), а так же их уровень прав доступа к обрабатываемым персональным данным в информационных системах персональных данных Учреждения (далее - ИСПДн).
3. Основанием для допуска сотрудников и третьих лиц к персональным данным является должностная инструкция пользователя ИСПДн и трудовой договор.
4. Основанием для прекращения допуска сотрудников и третьих лиц к персональным данным является прекращение трудовых отношений.
5.  Допуск лиц к работе с персональными данными в ИСПДн осуществляется в соответствии со списком лиц, утвержденным руководством или уполномоченным лицом Учреждения.
6.  К работе допускаются лица, ознакомившиеся с руководящими документами по защите персональных данных и прошедшие инструктаж.
7.  Учет лиц, допущенных к работе с персональными данными в ИСПДн, ведется в журнале инструктажа персонала на рабочем месте.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2 Действия по учету лиц, допущенных к работе
с персональными данными в ИСПДн.

 

2.1. В процессе первичной регистрации пользователя руководители структурных подразделений, в котором работает пользователь, заявляет Администратору информационной системы перечень необходимых для работы пользователя ресурсов, перечень персональных данных, состав необходимого общесистемного программного обеспечения для решения поставленных задач.

2.2. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору информационной безопасности.

2.3. Пользователь обязан:

• Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
• Выполнять на автоматизированном рабочем месте (АРМ) только те процедуры, которые определены для него в Положении о разграничении прав доступа к обрабатываемым персональным данным в ИСПДн.
• Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов.
• Соблюдать правила при работе в сетях общего доступа и (или) международного обмена – Интернет и других (раздел 3).
• При работе со съемными носителями пользователь должен каждый раз перед началом работы проверить их на наличие вирусов с использованием штатных антивирусных программ.
• В случае обнаружения вирусов на машинных носителях информации (съемных носителях, жестком магнитном диске, твердотельном носителе) пользователь обязан немедленно сообщить Администратору информационной безопасности.
• В случае оставления рабочей станции без визуального контроля доступ к компьютеру должен быть немедленно заблокирован. Для этого  необходимо нажать одновременно комбинацию клавиш <Ctrl><Alt><Del> и выбрать опцию <Блокировка>, либо комбинацией клавиш Win + L.
• Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий, в пределах, возложенных на него функций.

2.4.  Пользователям запрещается:

• Разглашать защищаемую информацию третьим лицам.
• Копировать защищаемую информацию на внешние носители без разрешения своего руководителя.
• Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств.
• Несанкционированно открывать общий доступ к папкам на своей рабочей станции.
• Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства.
• Отключать (блокировать) средства защиты информации.
• Обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн.
• Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн.
• Привлекать посторонних лиц для производства ремонта или настройки АРМ, без согласования с ответственным за обеспечение защиты персональных данных.
• Самостоятельно вносить изменения в аппаратно-программную конфигурацию ИСПДн, изменять месторасположение средств отображения информации.

2.5. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет дисциплинарную, административную, гражданско–правовую или уголовную ответственность граждан и юридических лиц.

 

1Правила работы в сетях общего доступа и (или) международного обмена

1. Работа в сетях общего доступа и (или) международного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПДн, должна проводиться при служебной необходимости.
2. При работе в Сети запрещается:

• Осуществлять работу при отключенных средствах защиты (антивирус и других).
• Передавать по Сети защищаемую информацию без использования механизмов защиты.
• Запрещается скачивать из Сети программное обеспечение и другие файлы.
• Запрещается посещение сайтов сомнительной репутации (порно сайты, сайты, содержащие нелегально распространяемое ПО и другие).
• Запрещается нецелевое использование подключения к Сети.

 

4. Ответственность

 

• 4.1 Работники, нарушившие требования данной Инструкции, несут ответственность в соответствии с действующим законодательством.
•  

 

 

                                     

 

 

 

 

 

 

 

 

термины и определения

АИБ ИС ПДн – администратор информационной безопасности информационных систем персональных ;

 

ИС ПДн – информационная система персональных данных;

 

ЛВС-локально-вычислительная сеть;

 

ПО - программное обеспечение;

 

СЗИ - средства защиты информации;

 

НСД - несанкционированный доступ;

 

Аудентификация- проверка подлинности пользователя путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользователей;

 

ОТТС – основные технические средства и системы;

 

ВТСС – вспомогательные технические средства и системы;

 

ПЭВМ- персональная электронно-вычислительная машина

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                                                                                            

 

 

 

 

 

 

 

 

  Приложение  5

                                                                               к Приказу №_____ от _____ 201

 

Инструкция по учету машинных носителей информации

 

1.Общие положения

1. Настоящая Инструкция устанавливает основные требования к организации учета и использования машинных носителей данных, предназначенных для обработки и хранения персональных данных.
2. Учет машинных носителей информации осуществляется в соответствии с формой учетной документации.
3. Все машинные носители данных, используемые при работе со средствами вычислительной техники (СВТ) для обработки и хранения персональных данных, должны обязательно регистрироваться и учитываться. Допускается автоматизированный учет машинных носителей информации.
4. Проверка наличия машинных носителей данных, предназначенных для обработки и хранения персональных данных, проводится в сроки, установленные настоящей Инструкцией.

 

2.Учет машинных носителей информации

1. К машинным носителям информации относятся:
2. съемные носители информации;
3. несъемные жесткие магнитные диски;
4. твердотельные накопители.
   1. Персональную ответственность за сохранность полученных машинных носителей данных и предотвращении несанкционированного доступа к записанной на них информации несет сотрудник, получивший эти носители.
   2. При обработке персональных данных на СВТ должен соблюдаться следующий общий порядок учета, хранения и уничтожения машинных носителей данных.
   3. Учет машинных носителей данных из п. 2.1., предназначенных для записи персональных данных производится в Журнале учета машинных носителей персональных данных (Приложение 1).
   4. Каждому носителю информации присваивается учетный номер, который состоит из серийного номера машинного носителя, номера объекта и порядкового номера по Журналу учета машинных носителей персональных данных.
   5. Если на машинном носителе отсутствует серийный номер, то на носитель (корпус носителя) наносится учетный номер. Если невозможно маркировать непосредственно машинный носитель данных, то маркируется упаковка, в которой хранится носитель.
   6. Хранение их должно осуществляться в условиях, исключающих возможность хищения, приведения в негодность или уничтожения содержащейся на них информации.
   7. Машинные носители данных (см. п. 2.1.) после стирания с них персональных данных, с учета не снимают, а хранятся наравне с другими машинными носителями.
   8. В последующем эти носители используются для записи персональных данных. Если носители не пригодны для дальнейшего использования, они подлежат уничтожению по соответствующему акту.
   9. О фактах утраты машинных носителей с ПДн незамедлительно докладывается руководству Организации и  проводится служебное расследование.
   10. Машинные носители персональных данных выдаются операторам или другим лицом, участвующим в обработке информации, составляющей персональные данные, для работы под расписку в Журнале учета машинных носителей персональных данных. По завершению работы машинные носители данных сдаются ответственному за их хранение.
   11. Копирование информации, составляющей персональные данные, с машинных носителей производится с разрешения руководства Организации.
   12. Машинные носители с персональными данными, утратившими практическое значение или пришедшие в негодность, уничтожаются по соответствующему акту.
   13. При подготовке документов должны соблюдаться следующие особенности учета, хранения и уничтожения машинных носителей данных.
   14. Машинные носители персональных данных, предназначенные для записи персональных данных, выдаются сотрудникам по письменному разрешению руководителей структурных подразделений, в необходимом для работы количестве под расписку в Журнале учета машинных носителей персональных данных.
   15. Несъемные жесткие магнитные диски и твердотельные накопители закрепляются за сотрудником, ответственным за СВТ, в котором они установлены.
   16. В случае повреждения машинных носителей данных, содержащих персональные данные, сотрудник, в пользовании которого они находятся, обязан сообщить о случившемся ответственному за его сохранность.
   17. В случае необходимости (командировка, отпуск и т. д.) съемные носители с персональными данными, сдаются сотрудником ответственному лицу на постоянное или временное хранение.
   18. Копирование персональных данных, с машинных носителей с целью передачи другим сотрудникам производится с разрешения руководителя структурного подразделения сотрудником, постоянно работающим с данной информацией.
   19. Копирование осуществляется только на тех СВТ, на которых разрешена обработка персональных данных, и только на те носители, которые соответствуют грифу «конфиденциально».
   20. Хранящиеся на носителях и потерявшие актуальность персональные данные должны своевременно стираться (уничтожаться). Ответственность за это несет владелец информации.
   21. Руководство Учреждения не реже одного раза в год создает комиссию по проверке наличия и условий хранения персональных данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение № 6

к Приказу №_____ от _____ 201

 

Инструкция по организации парольной защиты

 

1.    Общие положения

1.1.     Инструкция по организации парольной защиты (далее - Инструкция) призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах Муниципального бюджетного учреждения «Комплексный центр  социального обслуживания населения» Саткинского муниципального района Челябинской области, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2.            Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах информационной системы и контроль за действиями исполнителей и обслуживающего персонала при работе с паролями возлагается на администратора

2.     Правила формирования паролей

2.1.     Личные пароли генерируются и распределяются централизованно либо выбираются пользователями информационной системы самостоятельно с учетом следующих требований:

пароль должен состоять не менее чем из восьми символов; в пароле обязательно должны присутствовать буквы из верхнего и нижнего регистров, цифры и специальные символы (@, #, $,&,*, % и т. п.);

пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т. д.), последовательности символов и знаков (111, qwerty, abed и т. д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т. п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;

при смене пароля новый пароль должен отличаться от старого не менее чем в шести позициях.

2.2.     В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников центра дистанционного образования.

2.3.     При технологической необходимости использования имен и паролей некоторых работников (исполнителей) в их отсутствие (в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т. п.) такие работники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для их опечатывания рекомендуется использовать печать отдела кадров.

3.     Ввод пароля

При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т. п.).

 

4.     Порядок смены личных паролей

4.1.      В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен немедленно удалить его учетную запись сразу после окончания последнего сеанса работы данного пользователя с системой.

4.2.      Срочная (внеплановая) полная смена паролей производится в случае прекращения полномочий (увольнение, переход на другую работу и т. п.) администраторов информационной системы и других работников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.

4.3.      Смена пароля производится самостоятельно каждым пользователем в соответствии с п. 2.1 Инструкции и/или в соответствии с указанием в системном баннере-предупреждении (при наличии технической возможности).

4.4.      Временный пароль, заданный системным администратором при регистрации нового пользователя, следует изменить при первом входе в систему.

5.    Хранение пароля

5.1.      Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе либо в сейфе у системного администратора или руководителя подразделения в опечатанном пенале.

5.2.      Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации.

5.3.      Запрещается сообщать другим пользователям личный пароль и регистрировать  в системе под своим паролем.

 

6.    Действия в случае утери и компрометации пароля

 

В случае утери или компрометации пароля пользователя должны быть немедленно предприняты меры в соответствии с п. 4.3 или п. 4.4 Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

 

7.     Ответственность при организации парольной защиты

7.1.     Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле.

7.2.  Ответственность за организацию парольной защиты в структурных подразделениях возлагается на системного администратора.

 

7.3.     Работники комплексного центра  и лица, имеющие отношение к обработке персональных данных в информационных системах, должны быть ознакомлены с Инструкцией под расписку.

 

 

 

 

 

 

 

 

                                                                                                                                       Приложение № 7

к Приказу №_____ от _____ 201

 

 

 

Инструкция администратора безопасности информационной системы

персональных данных в МБУ «Комплексный центр социального обслуживания населения» Саткинского муниципального района

 

1. Общие положения

 

1.1. Настоящая инструкция разработана на основании:

- Федерального закона Российской Федерации от 27.07.2006г. №152-ФЗ «О персональных данных»;

- Положения «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства Российской Федерации №781 от 17 ноября 2007г.;

- Приказа №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных», утвержденного  ФСТЭК России от 05.02.2010 г.;

1.2. Инструкция определяет основные задачи, функции, обязанности, права и ответственность Администратора безопасности информационной системы персональных данных (далее – ИСПДн) 

1.3. Администратор безопасности ИСПДн (далее – Администратор) назначается приказом директора Учреждения.

1.4. Закрепление функциональных обязанностей и разделение зон ответственности производится приказом директора Учреждения.

1.5. В своей деятельности Администратор руководствуется требованиями действующих федеральных законов, общегосударственных, ведомственных, а также внутренних нормативных документов по вопросам защиты информации и обеспечивает их выполнение пользователями ИСПДн. 

1.6. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам защиты информации и не исключает обязательного выполнения их требований.

 

2. Задачи и функции администратора

2.1. Основными задачами Администратора являются:

- сопровождение средств защиты информации (в том числе криптографических, шифровальных) от несанкционированного доступа (далее – СЗИ) и основных технических средств и систем (далее – ОТСС);

- организация разграничения доступа;

- контроль эффективности защиты информации.

2.2. Для выполнения поставленных задач на Администратора возлагаются следующие функции:

2.2.1. Допуск пользователей (разработчиков, эксплуатационного персонала) к техническим, программным средствам и информационным ресурсам ИСПДн.

2.2.2. Участие на стадии проектирования (внедрения) ИСПДн в разработке технологии обработки информации конфиденциального характера (далее – Информации) по вопросам:

- организация порядка учета, хранения и обращения с документами и носителями информации;

- подготовки инструкций, определяющих задачи, функции, ответственность, права и обязанности пользователей ИСПДн по вопросам защиты информации, а также ответственных по защите информации в процессе автоматизированной обработки информации;

- сопровождение СЗИ, в том числе средств криптографической защиты информации, на стадии эксплуатации ИСПДн, включая ведение служебной

информации СЗИ (управление ключевой системой, сопровождение правил

разграничения доступа), оперативный контроль за функционированием СЗИ;

- контроль выполнения требований действующих нормативных документов по вопросам защиты информации при обработке информации в ИСПДн;

- контроль соответствия общесистемной программной среды эталону (контроль целостности программного обеспечения) и проверка включаемых в

ИСПДн новых программных средств.

 

3. Обязанности администратора

3.1. Для реализации поставленных задач и возложенных функций Администратор ОБЯЗАН:

- Вести учет (по вопросам обеспечения безопасности информации) и знать перечень установленных в подразделениях Учреждениях СЗИ и перечень задач, решаемых с их использованием;

- Вести журнал учета эксплуатационной и технической документации СЗИ ИСПДн.

- Вести журнал учета машинных носителей персональных данных.

- Осуществлять непосредственное управление режимами работы и административную поддержку функционирования (настройку и сопровождение) применяемых на автоматизированных рабочих местах (далее – АРМ) специальных программных и программно-аппаратных СЗИ;

- Присутствовать при внесении изменений в конфигурацию (модификации) аппаратно-программных средств защищенных АРМ и серверов, осуществлять проверку работоспособности системы защиты после установки (обновления) программных средств ИСПДн;

- Периодически проверять состояние используемых СЗИ, осуществлять проверку правильности их настройки (выборочное тестирование);

- Контролировать соответствие технического паспорта ИСПДн фактическому составу (комплектности) ИСПДн и вести учет изменений аппаратно-программной конфигурации (архив заявок, на основании которых были произведены данные изменения в ИСПДн);

- Периодически контролировать целостность печатей (пломб, наклеек) на устройствах защищенных АРМ;

- Вести журнал учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств ИСПДн;

- Проводить периодический инструктаж сотрудников подразделения (пользователей ИСПДн) по правилам работы с используемыми средствами и системами зашиты информации.

3.1.2. Организовывать разграничения доступа:

3.1.2.1. Участвовать в разработке и знать перечень защищаемых информационных ресурсов.

3.1.2.2. Разрабатывать для ИСПДн решения по:

- приписке пользователей с одинаковыми правами, статусом безопасности и характером решаемых задач к соответствующим группам;

- вести учет заявок пользователей на допуск к информационным ресурсам ИСПДн; 

- осуществлению контроля за наличием активных компьютеров сети, состоянием активных пользователей, использованием разделяемых ресурсов,

процессом печати на общих принтерах;

- разработке порядка пользования электронной почтой (определение списка абонентов из состава пользователей сети, проектированию системы почтовых ящиков, использованию СЗИ при передаче закрытых документов);

- разработке порядка выхода пользователей в сети связи общего пользования (далее – Сети) и использованию встроенных СЗИ в сервисных программах;

- определению режимов использования СЗИ: защита паролей, защита в протоколах передачи данных, кодирование файлов, подключение дополнительных алгоритмов криптографической защиты;

- осуществлять учет и периодический контроль за составом и полномочиями пользователей различных АРМ ИСПДн;

- контролировать и требовать соблюдения установленных правил по организации парольной защиты в ИСПДн в Учреждении;

- осуществлять оперативный контроль за работой пользователей защищенных АРМ, анализировать содержимое журналов событий операционных систем (далее - ОС), систем управления базами данных (далее - СУБД), пакетов прикладных программ (далее - ППП) и СЗИ всех АРМ и адекватно реагировать на возникающие нештатные ситуации. Обеспечивать своевременное архивирование журналов событий АРМ и надлежащий режим хранения данных архивов;

- принимать участие в работах по внесению изменений в аппаратно-программную конфигурацию серверов и АРМ ИСПДн;

- обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания АРМ и отправке их в ремонт (контролировать стирание информации на съемных носителях);

- организовывать учет, хранение, прием и выдачу персональных идентификаторов ответственным исполнителям, осуществлять контроль за правильностью их использования;

- осуществлять периодический контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных;

- по указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению СЗИ, установленных на АРМ ИСПДн;

- требовать от пользователей стирания остаточной информации на несъѐмных носителях (жестких дисках) установленным порядком, а в оперативной памяти по окончании обработки информации путем перезагрузки АРМ; 

- контролировать обеспечение защиты конфиденциальной информации при взаимодействии абонентов с информационными сетями связи общего пользования.

3.1.3. Контролировать эффективность защиты информации:

- Проводить работу по выявлению возможности вмешательства в процесс функционирования ИСПДн и осуществления НСД к информации и техническим средствам АРМ;

- Докладывать ответственному по обеспечению безопасности о выявленных угрозах безопасности информации, обрабатываемой в ИСПДн, об имевших место попытках НСД к информации и техническим средствам АРМ;

- Проводить занятия с пользователями ИСПДн по правилам работы на АРМ, оснащенных СЗИ, и по изучению руководящих документов по вопросам обеспечения безопасности информации с разбором недостатков, выявленных при контроле эффективности защиты информации;

- Участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в ИСПДн.

 

3.2. Администратору ЗАПРЕЩАЕТСЯ:

3.2.1. Используя служебное положение, создавать ложные информационные

сообщения и учетные записи пользователей, получать доступ к информации и предоставлять его другим с целью ознакомления, модификации, копирования, уничтожения, блокирования доступа к информации.

3.2.2. Использовать ставшие доступные в ходе исполнения обязанностей идентификационные данные пользователей (имя, пароль, ключи и т.п.) для маскирования своих действий.

3.2.3. Самостоятельно (без согласования с подразделением автоматизации)

вносить изменения в настройки серверной части ИСПДн.

3.2.4. Использовать в своих и в чьих-либо личных интересах ресурсы ИСПДн, предоставлять такую возможность другим.

3.2.5. Выключать СЗИ без письменной санкции руководства.

3.2.6. Передавать третьим лицам тем или иным способом сетевые адреса, имена, пароли, информацию о привилегиях пользователей, конфигурационные настройки.

3.2.7. Производить в рабочее время действия, приводящие к сбою, остановке, замедлению работы ИСПДн, блокированию доступа, потере информации без санкции руководства и предупреждения пользователей.

3.2.8. Нарушать правила эксплуатации оборудования ИСПДн.

3.2.9. Корректировать, удалять, подменять журналы аудита.

 

4. Права и ответственность администратора

4.1. Администратор имеет право:

- получать доступ к программным и аппаратным средствам ИСПДн, средствам их защиты, а также просмотру прав доступа к ресурсам на серверах ИСПДн и АРМ

пользователей; 

- требовать от пользователей ИСПДн выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн;

- участвовать в служебных расследованиях по фактам нарушения установленных требований обеспечения информационной безопасности, НСД, утраты, порчи защищаемой информации и технических компонентов ИСПДн;

- осуществлять оперативное вмешательство в работу пользователя при явной

угрозе безопасности информации в результате несоблюдения установленной

технологии обработки информации и невыполнения требований по безопасности;

- производить анализ защищенности ИСПДн путем применения специального программного обеспечения, осуществления попыток взлома системы защиты ИСПДн. Такие работы должны проводиться в часы наименьшей информационной

нагрузки с обязательным уведомлением сотрудников подразделений

автоматизации и обеспечение безопасности информации;

- вносить свои предложения по совершенствованию мер защиты в ИСПДн.

 

4.2. Администратор несет ответственность за:

- реализацию принятой политики информационной безопасности;

- программно - технические и криптографические средства защиты информации, средства вычислительной техники, информационно - вычислительные комплексы, сети и ИСПДн обработки информации, закрепленные за ним приказом Ректора НГГУ, а также за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями;

- разглашение сведений, конфиденциального характера, ставших известными

ему по роду работы;

- качество и последствия проводимых им работ по контролю действий

пользователей при работе в ИСПДн.