Приказ Минобрнауки Новосибирской области от 17.04.2013 N 1069 "Об утверждении инструкций"
МИНИСТЕРСТВО ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 17 апреля 2013 г. № 1069
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИЙ
В целях организации работы по защите конфиденциальной информации в министерстве образования, науки и инновационной политики Новосибирской области, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и в связи с проведением работ по защите персональных данных в информационных системах персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области), приказываю:
1. Утвердить прилагаемые:
1) Инструкцию Администратора ИСПДн Минобрнауки Новосибирской области;
2) Инструкцию Администратора информационной безопасности ИСПДн Минобрнауки Новосибирской области;
3) Инструкцию пользователя ИСПДн Минобрнауки Новосибирской области;
4) Инструкцию о порядке обращения с техническими средствами защиты информации, предназначенными для защиты персональных данных, обрабатываемых в ИСПДн Минобрнауки Новосибирской области;
5) Инструкцию по организации антивирусной защиты в ИСПДн Минобрнауки Новосибирской области;
6) Инструкцию по организации парольной защиты в ИСПДн Минобрнауки Новосибирской области.
2. Организационно-правовому управлению министерства образования, науки и инновационной политики Новосибирской области (Тарасик Т.М.) ознакомить под роспись с настоящим приказом сотрудников, осуществляющих обработку персональных данных и ответственных за обеспечение безопасности персональных данных в ИСПДн Минобрнауки Новосибирской области.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Министр
В.А.НИКОНОВ
Утверждена
приказом
министерства образования, науки
и инновационной политики
Новосибирской области
от 17.04.2013 № 1069
ИНСТРУКЦИЯ
АДМИНИСТРАТОРА ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Инструкция Администратора информационной системы персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - Инструкция) определяет функции, права и обязанности Администратора ИСПДн по вопросам обеспечения правильности использования и нормального функционирования ИСПДн министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области).
2. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения режима безопасности персональных данных и не исключает обязательного выполнения их требований.
II. Должностные обязанности
3. Администратор ИСПДн обязан:
1) знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации;
2) обеспечивать установку, настройку и своевременное обновление элементов ИСПДн:
- программного обеспечения АРМ и серверов (операционные системы, прикладное и специальное ПО);
- аппаратных средств;
- аппаратных и программных средств защиты;
3) обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети;
4) осуществлять контроль порядка учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов;
5) обеспечивать функционирование и поддерживать работоспособность средств защиты в рамках возложенных на него функций;
6) в случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;
7) проводить периодический контроль принятых мер по защите в пределах возложенных на него функций;
8) обеспечивать постоянный контроль выполнения пользователями установленного комплекса мероприятий по обеспечению безопасности информации;.
9) информировать ответственного за организацию обработки персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн Минобрнауки Новосибирской области;
10) требовать прекращения обработки информации как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн Минобрнауки Новосибирской области или средств защиты;
11) обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт;
12) присутствовать при выполнении технического обслуживания элементов ИСПДн Минобрнауки Новосибирской области сторонними физическими людьми и организациями;
13) принимать меры по реагированию в случае возникновения внештатных и аварийных ситуаций с целью ликвидации их последствий в пределах возложенных на него функций;
14) оперативно докладывать вышестоящему руководству о случаях возникновения внештатных и аварийных ситуаций;
15) в кратчайшие сроки принимать меры по восстановлению работоспособности компонентов ИСПДн Минобрнауки Новосибирской области;
16) предпринимаемые меры по возможности согласовать с вышестоящим руководством.
III. Права
4. Администратор ИСПДн имеет право:
1) участвовать в анализе ситуаций, касающихся функционирования ИСПДн Минобрнауки Новосибирской области и расследования фактов несанкционированного доступа;
2) требовать прекращения обработки информации в случае нарушения установленного порядка работы или нарушения функционирования средств и систем защиты ИСПДн Минобрнауки Новосибирской области.
IV. Ответственность
5. Администратор ИСПДн несет ответственность:
1) за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, - в пределах, определенных действующим трудовым законодательством Российской Федерации;
2) за правонарушения, совершенные в процессе осуществления своей деятельности, - в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
3) за причинение материального ущерба - в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.
Утверждена
приказом
министерства образования, науки
и инновационной политики
Новосибирской области
от 17.04.2013 № 1069
ИНСТРУКЦИЯ
АДМИНИСТРАТОРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ
СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ
И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Инструкция Администратора информационной безопасности информационной системы персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - Инструкция) определяет функции, права и обязанности Администратора информационной безопасности (далее - Администратор ИБ) по вопросам обеспечения информационной безопасности при подготовке и исполнении документов на автоматизированных рабочих местах (далее - АРМ) информационных систем персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области).
2. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения режима конфиденциальности и не исключает обязательного выполнения их требований.
3. Администратор ИБ обладает правами доступа к любым программно-аппаратным средствам защиты информации на АРМ пользователей (за исключением информации, закрытой с использованием средств криптозащиты). Он несет ответственность за реализацию принятой в Минобрнауке Новосибирской области политики безопасности.
II. Обязанности Администратора ИБ
4. Администратор ИБ обязан:
1) знать перечень установленных АРМ ИСПДн Минобрнауки Новосибирской области и перечень задач, решаемых с их использованием;
2) осуществлять учет и периодический контроль состава и полномочий пользователей АРМ ИСПДн Минобрнауки Новосибирской области;
3) осуществлять оперативный контроль работы пользователей защищенных АРМ ИСПДн Минобрнауки Новосибирской области, анализировать содержимое системных журналов всех АРМ и адекватно реагировать на возникающие нештатные ситуации. Обеспечивать своевременное архивирование системных журналов АРМ и надлежащий режим хранения данных архивов;
4) осуществлять непосредственное управление режимами работы и административную поддержку функционирования применяемых на АРМ ИСПДн Минобрнауки Новосибирской области специальных технических средств защиты информации от несанкционированного доступа (далее - СЗИ от НСД);
5) присутствовать при внесении изменений в конфигурацию (модификации) аппаратно-программных средств защищенных АРМ и серверов, устанавливать и осуществлять настройку средств защиты на АРМ ИСПДн Минобрнауки Новосибирской области;
6) периодически проверять состояние используемых СЗИ от НСД, осуществлять проверку правильности их настройки (выборочное тестирование);
7) периодически контролировать целостность печатей (пломб, наклеек) на устройствах защищенных АРМ;
8) проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн и осуществления НСД к информации и техническим средствам АРМ;
9) информировать ответственного за организацию обработки персональных данных Минобрнауки Новосибирской области об имевших место попытках несанкционированного доступа к информации и техническим средствам АРМ;
10) по указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению средствами защиты информации от НСД, установленных на АРМ ИСПДн Минобрнауки Новосибирской области;
11) консультировать сотрудников Минобрнауки Новосибирской области по правилам работы на АРМ, оснащенных СЗИ от НСД, и по изучению руководящих документов по вопросам обеспечения безопасности информации;
12) участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в результате НСД;
13) принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий, в пределах возложенных на него функций;
14) оперативно информировать ответственного за организацию обработки персональных данных Минобрнауки Новосибирской области и вышестоящее руководство о случаях возникновения внештатных ситуаций и аварийных ситуаций;
15) в кратчайшие сроки принимать меры по восстановлению работоспособности элементов ИСПДн Минобрнауки Новосибирской области. Предпринимаемые меры согласовать с вышестоящим руководством.
III. Права Администратора ИБ
5. Администратор ИБ имеет право:
1) проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов ИСПДн Минобрнауки Новосибирской области;
2) непосредственно обращаться к пользователям АРМ с требованием прекращения работы в ИСПДн Минобрнауки Новосибирской области при несоблюдении установленной технологии обработки информации и невыполнении требований по безопасности;
3) вносить свои предложения по совершенствованию мер защиты в ИСПДн Минобрнауки Новосибирской области.
IV. Ответственность Администратора ИБ
6. На Администратора ИБ возлагается персональная ответственность за программно-технические и шифровальные средства защиты информации, средства вычислительной техники, информационно-вычислительные комплексы, сети и автоматизированные системы обработки информации, закрепленные за ним приказом, и за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями.
7. Администратор ИБ несет ответственность в соответствии с действующим законодательством за разглашение сведений, составляющих государственную тайну, и сведений ограниченного распространения, ставших известными ему по роду работы.
Утверждена
приказом
министерства образования, науки
и инновационной политики
Новосибирской области
от 17.04.2013 № 1069
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Инструкция пользователя информационной системы персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - Инструкция) определяет функциональные обязанности, права и ответственность пользователей информационной системы министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области), в которой обрабатываются персональные данные (далее - ПДн).
2. Настоящая Инструкция подготовлена в соответствии с требованиями нормативно-методических документов Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) и Федеральной службы безопасности Российской Федерации (далее - ФСБ России) по защите персональных данных, обрабатываемых с использованием средств автоматизации.
3. В настоящей Инструкции используются следующие понятия и определения:
1) автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;
2) база данных - объективная форма представления и организации совокупности данных, систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью электронно-вычислительных машин (далее - ЭВМ);
3) информация - сведения (сообщения, данные) независимо от формы их представления;
4) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
5) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
6) компрометация пароля - утрата доверия к тому, что используемый пароль обеспечивает безопасность персональных данных. К событиям, приводящим к компрометации пароля, относятся следующие события (включая, но не ограничиваясь):
- несанкционированное сообщение пароля другому лицу;
- утеря бумажного или машинного носителя информации, на котором был записан пароль;
- запись пароля на бумажном, машинном, ином носителе информации, доступ к которому не контролируется;
7) конфиденциальность персональных данных - обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
8) несанкционированный доступ к персональным данным - доступ к персональным данным с нарушением установленных прав доступа, приводящий к нарушению конфиденциальности персональных данных, к утечке, искажению, подделке, уничтожению, блокированию доступа к персональным данным;
9) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
10) распространение персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
11) разглашение персональных данных - распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания;
12) средство защиты информации (СЗИ) - программные, программно-аппаратные, аппаратные средства, предназначенные и используемые для защиты персональных данных в ИСПДн;
13) утеря пароля - события, приводящие к невозможности восстановления пароля в памяти лица, владеющего данным паролем;
14) электронная вычислительная машина ИСПДн (ЭВМ) - персональный компьютер, предназначенный для автоматизации деятельности пользователей и входящий в состав ИСПДн. В состав ЭВМ входят: системный блок, монитор, клавиатура, мышь, внешние устройства (локальный принтер, сканер и т.д.), программное обеспечение.
II. Обязанности пользователя
4. Пользователь ИСПДн Минобрнауки Новосибирской области обязан:
1) хранить в тайне персональные данные, ставшие ему известными во время работы или иным путем, и пресекать действия других лиц, которые могут привести к разглашению такой информации. О таких фактах, а также о других причинах или условиях возможной утечки персональных данных немедленно информировать ответственного за организацию обработки персональных данных, Администратора ИСПДн или Администратора ИБ ИСПДн;
2) при определении персональных данных, подлежащих защите, использовать утвержденный "Перечень персональных данных, обрабатываемых в ИСПДн Минобрнауки Новосибирской области";
3) знать и выполнять правила работы со средствами защиты информации (средствами разграничения доступа), используемыми на персональных компьютерах в соответствии с Инструкциями, требованиями, регламентирующими функционирование установленных средств защиты;
4) хранить в тайне свой пароль доступа в ИСПДн Минобрнауки Новосибирской области, а также информацию о системе защиты, установленной в ИСПДн Минобрнауки Новосибирской области;
5) использовать для работы только учтенные съемные накопители информации (гибкие магнитные диски, компакт-диски и т.д.);
6) в случае необходимости сообщать о необходимости обновления антивирусных баз Администратору ИБ ИСПДн:
7) немедленно ставить в известность Администратора ИСПДн и/или Администратора ИБ ИСПДн:
- в случае утери носителя с конфиденциальной информацией (персональными данными) и/или при подозрении компрометации личных ключей и паролей;
- нарушений целостности пломб (наклеек с защитной и идентификационной информацией, нарушения или несоответствия номеров печатей) на аппаратных средствах АРМ или иных фактов совершения попыток несанкционированного доступа к ИСПДн Минобрнауки Новосибирской области;
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;
8) в случае отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования узлов АРМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в ИСПДн Минобрнауки Новосибирской области технических средств защиты ставить в известность Администратора ИСПДн и/или Администратора ИБ ИСПДн.
5. В случае увольнения пользователь ИСПДн обязан передать вышестоящему руководству все документы и материалы, относящиеся к ИСПДн Минобрнауки Новосибирской области. В том числе: отчеты, инструкции, служебную переписку, списки работников, компьютерные программы, а также все прочие материалы и копии названных материалов, имеющих какое-либо отношение к ИСПДн Минобрнауки Новосибирской области, полученные в течение срока работы.
6. Уборка помещений должна производиться под контролем пользователя ИСПДн, имеющего доступ в помещение и постоянно в нем работающего.
7. Вынос технических средств ИСПДн Минобрнауки Новосибирской области, на которых проводилась обработка персональных данных, за пределы территории здания с целью их ремонта, замены и т.п. без согласования с Администратором ИСПДн или ответственным за организацию обработки персональных данных запрещен. При принятии решения о выносе компьютеров, жесткие магнитные диски должны быть демонтированы. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с ней.
8. АРМ, используемые для работы с персональными данными, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора.
9. Принимать меры по реагированию, в случае возникновения внештатных ситуации и аварийных ситуаций, с целью ликвидации их последствий, в пределах возложенных на него функций.
10. Оперативно докладывать Администратору ИСПДн и Администратору ИБ ИСПДн о случаях возникновения внештатных ситуаций и аварийных ситуаций.
11. В кратчайшие сроки принимать меры по восстановлению работоспособности элементов ИСПДн. Предпринимаемые меры по возможности согласовать с вышестоящим руководством.
12. Пользователю категорически запрещается:
- передавать кому бы то ни было устно или письменно персональные данные;
- использовать персональные данные при подготовке открытых публикаций, докладов, научных работ и т.д.;
- выполнять работы с документами, содержащими персональные данные, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения ответственного за организацию обработки персональных данных;
- оставлять на рабочих столах, в столах и незакрытых сейфах документы, содержащие персональные данные, а также оставлять незапертыми и не опечатанными после окончания работы сейфы, помещения и хранилища с документами, содержащими персональные данные;
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств АРМ или устанавливать дополнительно любые программные и аппаратные средства;
- осуществлять обработку персональных данных в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить персональные данные на неучтенных носителях информации (гибких магнитных дисках и т.п.);
- оставлять включенным без присмотра свое АРМ, не активизировав средства защиты информации от НСД (временную блокировку экрана и клавиатуры);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок следует ставить в известность Администратора ИСПДн или Администратора ИБ ИСПДн.
III. Права пользователя
13. Пользователь имеет право:
1) требовать от своего непосредственного руководителя обеспечения организационно-технических условий, необходимых для исполнения обязанностей;
2) получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для надлежащего исполнения своих обязанностей.
IV. Ответственность пользователя
14. Пользователь несет ответственность за соблюдение требований настоящей инструкции, а также нормативных документов в области защиты информации. За разглашение персональных данных, а также за нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной предусмотренной законодательством ответственности.
15. За разглашение персональных данных, нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной предусмотренной законодательством ответственности.
Утверждена
приказом
министерства образования, науки
и инновационной политики
Новосибирской области
от 17.04.2013 № 1069
ИНСТРУКЦИЯ
О ПОРЯДКЕ ОБРАЩЕНИЯ С ТЕХНИЧЕСКИМИ СРЕДСТВАМИ ЗАЩИТЫ
ИНФОРМАЦИИ, ПРЕДНАЗНАЧЕННЫМИ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
I. Общие положения
1. Инструкция о порядке обращения с техническими средствами защиты информации, предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - Инструкция), регламентирует порядок обращения с техническими средствами защиты информации в процессе получения, хранения, доставки, передачи, встраивания в прикладные системы, тестирования в целях защиты персональных данных, обрабатываемых с использованием средств автоматизации (далее - ТСЗИ).
2. Настоящая Инструкция подготовлена в соответствии с требованиями нормативно-методических документов Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) и Федеральной службы безопасности Российской Федерации (далее - ФСБ России) по защите персональных данных, обрабатываемых с использованием средств автоматизации.
3. Под техническим средством защиты информации в настоящей Инструкции понимается средство защиты информации, не являющееся криптосредством.
4. В настоящей Инструкции используются следующие понятия и определения:
1) доступ к информации - возможность получения информации и ее использования;
2) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
3) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
4) контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения;
5) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
6) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
7) средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
5. Для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных министерства образования, науки и инновационной политики Новосибирской области должны использоваться сертифицированные в системе сертификации ФСТЭК России ТСЗИ (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации).
II. Учет ТСЗИ
6. Инсталлирующие ТСЗИ носители и установленные ТСЗИ подлежат поэкземплярному учету.
7. Программные ТСЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные ТСЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие ТСЗИ учитываются также совместно с соответствующими аппаратными средствами.
8. Эксплуатационная и техническая документация к ТСЗИ подлежит поэкземплярному учету.
9. ТСЗИ, а также эксплуатационная и техническая документация к ТСЗИ должны быть упакованы в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия.
10. Полученные упаковки с ТСЗИ, а также с эксплуатационной и технической документацией к ним вскрываются Администратором ИБ ИСПДн. Администратор ИБ ИСПДн проверяет целостность упаковки и содержимого.
11. Уничтожение ТСЗИ:
1) ТСЗИ уничтожаются (утилизируются) по решению ответственного за обработку персональных данных в ИСПДн Минобрнауки Новосибирской области и с уведомлением Администратора ИБ ИСПДн, ответственного за организацию поэкземплярного учета ТСЗИ;
2) намеченные к уничтожению (утилизации) ТСЗИ изымаются из аппаратных средств, с которыми они функционировали. При этом ТСЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к ТСЗИ процедура удаления программного обеспечения ТСЗИ и они полностью отсоединены от аппаратных средств;
3) пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения используются после уничтожения ТСЗИ без ограничений;
4) эксплуатационная и техническая документация к ТСЗИ уничтожается путем сжигания или с помощью любых бумагорезательных машин.
III. Организация режима помещений с ТСЗИ
12. Размещение, специальное оборудование, охрана и организация режима в помещении, где установлены ТСЗИ (далее - режимные помещения), должны обеспечивать сохранность ПДн, ТСЗИ, исключать возможность неконтролируемого проникновения или пребывания в режимном помещении посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
13. Режимное помещение выделяется с учетом размеров контролируемых зон. Помещение должно иметь прочные входные двери с замками, гарантирующими надежное закрытие помещения в нерабочее время.
14. Во время отсутствия в помещении лиц, имеющих право находиться в помещении, дверь режимного помещения должна быть постоянно закрыта на замок и может открываться только для санкционированного прохода сотрудников и посетителей.
15. Для предотвращения просмотра извне режимных помещений их окна должны быть защищены шторами или жалюзи.
IV. Эксплуатация хранилищ с ТСЗИ
16. Инсталлирующие ТСЗИ носители, эксплуатационная и техническая документация к ТСЗИ должны храниться в металлических хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
V. Контроль безопасности ТСЗИ
17. Текущий контроль за организацией и обеспечением функционирования ТСЗИ возлагается на ответственного за организацию обработки ПДн в пределах его полномочий.
VI. Модификация ПО и ТС
18. Все изменения конфигурации технических, программных и программно-аппаратных средств защиты АРМ и серверов баз данных (БД) ИСПДн Минобрнауки Новосибирской области должны производиться только на основании заявок пользователей ИСПДн, согласованных с ответственным за организацию обработки ПДн, на имя Администратора ИБ ИСПДн.
19. Право внесения изменений в конфигурацию программно-аппаратных средств защиты ИСПДн предоставляется:
- в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченному Администратору ИСПДн;
- в отношении программно-аппаратных средств защиты - уполномоченному Администратору ИБ ИСПДн.
20. Изменение конфигурации программно-аппаратных средств защиты АРМ и серверов БД, кроме уполномоченных сотрудников, запрещено.
21. Установка, изменение (обновление) и удаление системных и прикладных программных средств производится Администратором ИСПДн. Если АРМ или сервер относится к защищаемым рабочим станциям, то установка, снятие и внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на АРМ осуществляется Администратором ИБ ИСПДн.
22. Подготовка модификаций программного обеспечения защищенных серверов и АРМ, тестирование, стендовые испытания и передача исходных текстов, документации и дистрибутивных носителей программ в архив эталонных дистрибутивов и другие необходимые действия производятся Администратором ИБ ИСПДн.
23. Модификация ПО на сервере осуществляется Администратором ИБ ИСПДн. После установки модифицированных модулей на сервер Администратор ИБ ИСПДн устанавливает защиту целостности модулей на сервере, после чего на рабочих станциях проводит антивирусный контроль.
24. Установка и обновление общего ПО (системного, тестового и т.п.) на рабочие станции и сервера производится с оригинальных лицензионных дистрибутивных носителей (дискет, компакт-дисков и т.п.), полученных установленным порядком, а прикладного ПО - с эталонных копий программных средств.
25. Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций.
26. После установки (обновления) ПО Администратор ИСПДн должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства) в соответствии с ее (его) формуляром, Администратор ИБ ИСПДн должен проверить работоспособность ПО и правильность настройки средств защиты.
27. После завершения работ по внесению изменений в состав аппаратных средств защищенного АРМ его системный блок должен закрываться на ключ (при наличии штатных механических замков) и опечатываться (пломбироваться, защищаться специальной наклейкой) Администратором ИБ ИСПДн.
28. При изъятии АРМ из состава ИСПДн Минобрнауки Новосибирской области его передача на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после того, как Администратор ИБ ИСПДн снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью Администратора ИБ ИСПДн.
VII. Экстренная модификация (обстоятельства форс-мажор)
29. В исключительных случаях (сбой ПО, не позволяющий продолжить работу), требующих безотлагательного изменения ПО, допускается корректировка программ непосредственно на АРМ. Факт внесения изменений в ПО АРМ фиксируется актом за подписями Администратора ИСПДн, Администратора ИБ ИСПДн и пользователя данного АРМ. В акте указывается причина модификации, перечисляются файлы, подвергшиеся изменению, и указывается лицо(а), проводившее изменения. При необходимости проводится изменение ПО загрузочного раздела сервера. Если это необходимо, Администратор ИБ ИСПДн вносит необходимые корректировки в настройки системы контроля целостности ПО АРМ и сервера.
30. В течение следующего дня после составления акта Администратором ИСПДн, Администратором ИБ ИСПДн при участии пользователей ИСПДн Минобрнауки Новосибирской области выясняются причины и состав проведенных экстренных изменений и принимается решение о необходимости подготовки исправительной модификации ПО или восстановления ПО АРМ (сервера) с эталонной копии. Необходимость участия в разбирательстве пользователя ИСПДн Минобрнауки Новосибирской области определяется руководством. Результат разбирательства оформляется в виде согласованного решения и хранится у Администратора ИСПДн, копии передаются Администратору ИБ ИСПДн.
VIII. Ответственность
31. Пользователи ИСПДн Минобрнауки Новосибирской области несут персональную ответственность за сохранность полученных ТСЗИ, эксплуатационной и технической документации к ТСЗИ, за соблюдение положений настоящей Инструкции.
32. Ответственный за организацию обработки ПДн в ИСПДн Минобрнауки Новосибирской области несет ответственность за соответствие проводимых им мероприятий по организации и обеспечению безопасности обработки ПДн с использованием ТСЗИ лицензионным требованиям и условиям, эксплуатационной и технической документации к ТСЗИ, а также настоящей Инструкции.
Утверждена
приказом
министерства образования, науки
и инновационной политики
Новосибирской области
от 17.04.2013 № 1069
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ В ИНФОРМАЦИОННОЙ
СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ,
НАУКИ И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ
ОБЛАСТИ (ДАЛЕЕ - ИНСТРУКЦИЯ)
I. Общие положения
1. Настоящая Инструкция предназначена для Администратора ИБ информационной системы персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области), ответственного за организацию обработки персональных данных в ИСПДн, и пользователей, эксплуатирующих ИСПДн Минобрнауки Новосибирской области.
2. Инструкция устанавливает требования и ответственность Администраторов и пользователей ИСПДн при организации защиты персональных данных от воздействия вредоносных компьютерных вирусов.
3. Инструкция регулирует как вопросы организации антивирусной защиты, так и требования к порядку проведения антивирусного контроля при работе в ИСПДн Минобрнауки Новосибирской области.
II. Требования по обеспечению антивирусной защиты
4. Требования к порядку организации антивирусной защиты:
1) для организации антивирусной защиты ИСПДн Минобрнауки Новосибирской области допускаются к использованию только сертифицированные ФСТЭК России лицензионные антивирусные средства общего применения;
2) приобретение и установка (обновление) антивирусных программных средств осуществляется в установленном порядке. Не реже чем два раза в месяц Администратор ИБ ИСПДн должен производить обновление антивирусных баз, получая их из официальных источников. Разработка и осуществление мероприятий по проведению антивирусного контроля осуществляется ответственным за организацию обработки персональных данных в ИСПДн с привлечением Администратора ИБ ИСПДн и специалистов департамента информатизации и развития телекоммуникационных технологий Новосибирской области;
3) должностные лица не должны допускать использования в ИСПДн программного обеспечения (ПО) и данных, не связанных с выполнением должностных обязанностей.
5. Требования к порядку проведения антивирусного контроля:
1) устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено Администратором ИБ ИСПДн на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети) должна быть выполнена антивирусная проверка:
- на защищаемых серверах и АРМ - Администратором ИБ ИСПДн;
- на других серверах и АРМ, не требующих защиты, - лицом, установившим (изменившим) программное обеспечение, - в присутствии и под контролем руководителя данного подразделения или сотрудника, им уполномоченного;
2) при загрузке компьютера должен проводиться антивирусный контроль в автоматическом режиме. Порядок и периодичность расширенного антивирусного контроля и других необходимых антивирусных проверок определяется Администратором ИБ ИСПДн на этапе планирования мероприятий установленным порядком (не реже одного раза в месяц и при необходимости, в случае появления подозрений в заражении вирусной программой);
3) обязательному дополнительному антивирусному контролю подлежит любая информация на съемных машинных носителях информации, поступающая для обработки в ИСПДн. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель информации);
4) при возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь ИСПДн вместе с Администратором ИБ ИСПДн должен провести внеочередной антивирусный контроль своей рабочей станции для определения ими факта наличия или отсутствия компьютерного вируса;
5) в случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи ИСПДн обязаны:
- приостановить работу;
- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя и Администратора ИБ ИСПДн, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
- совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов;
- в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, направить зараженный вирусом файл на гибком магнитном диске Администратору ИБ ИСПДн для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку;
- по факту обнаружения зараженных вирусом файлов составить служебную записку Администратору ИБ ИСПДн, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия.
III. Ответственность при организации антивирусной защиты
6. Ответственность за организацию антивирусной защиты ИСПДн и установление порядка ее проведения, в соответствии с требованиями настоящей Инструкции, возлагается на Администратора ИБ ИСПДн.
7. Ответственность за поддержание установленного порядка и соблюдение требований настоящей Инструкции возлагается на ответственного за организацию обработки ПДн в ИСПДн и пользователей (операторов) ИСПДн.
Утверждена
приказом
министерства образования, науки
и инновационной политики
Новосибирской области
от 17.04.2013 № 1069
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ,
НАУКИ И ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ
ОБЛАСТИ (ДАЛЕЕ - ИНСТРУКЦИЯ)
I. Общие положения
1. Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных министерства образования, науки и инновационной политики Новосибирской области (далее - ИСПДн Минобрнауки Новосибирской области), а также контроль действий пользователей и обслуживающего персонала системы при работе с паролями.
II. Требования по организации парольной защиты
2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на Администратора ИСПДн и Администратора информационной безопасности (далее - ИБ) ИСПДн, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
3. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
- личный пароль пользователь не имеет права сообщать никому.
4. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
5. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на Администратора ИСПДн и Администратора ИБ ИСПДн. Для генерации "стойких" значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников министерства образования, науки и инновационной политики Новосибирской области (далее - Минобрнауки Новосибирской области).
6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри Минобрнауки Новосибирской области и т.п.) должна производиться Администратором ИСПДн немедленно после окончания последнего сеанса работы данного пользователя с системой.
7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри министерства и другие обстоятельства) Администратора ИСПДн и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИСПДн Минобрнауки Новосибирской области.
8. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 6 или п. 7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
III. Ответственность при организации парольной защиты
9. Ответственность за организацию парольной защиты ИСПДн и установление порядка ее проведения, в соответствии с требованиями настоящей Инструкции, возлагается на Администратора ИБ ИСПДн.
10. Ответственность за поддержание установленного порядка и соблюдение требований настоящей Инструкции возлагается на ответственного за организацию обработки ПДн в ИСПДн и пользователей (операторов) ИСПДн.
11. Периодический контроль за выполнением всех требований настоящей Инструкции и состоянием антивирусной защиты осуществляется Администратором ИБ ИСПДн.
------------------------------------------------------------------