| << Назад |  |
АДМИНИСТРАЦИЯ ОБОЯНСКОГО РАЙОНА
КУРСКОЙ ОБЛАСТИ
РАСПОРЯЖЕНИЕ
от10.10. 2018 Обоянь №243-р
О утверждении Основных направлений политики информационной безопасности Администрации Обоянского района Курской области.
В соответствии с Концепцией защиты информации в Курской области, утвержденной постановлением Губернатора Курской области от 02.03.2015 №85-пг, в целях развития и использования информационных технологий в Администрации Обоянского района и обеспечения защиты информации:
1. Утвердить прилагаемые основные направления и инструкции политики информационной безопасности Администрации Обоянского района.
2. Руководителям структурных подразделений Администрации Обоянского района с правом юридического лица определить администраторов безопасности информационных систем.
3.Рекомендовать органам местного самоуправления Обоянского района разработать Основные направления политики информационной безопасности на основе Основных направлений политики информационной безопасности органов исполнительной власти Курской области.
4. Контроль исполнения настоящего распоряжения возложить на Управляющего делами Администрации Обоянского района Т.В. Бабаскину.
Глава Обоянского района В.Н. Жилин
А.Н. Мартынов
(47141) 2-21-87
УТВЕРЖДЕНЫ
распоряжением
Администрации
Обоянского района
от 10.10.2018№ 243-р
Основные направления политики информационной безопасности
Администрации Обоянского района
1.1. Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
1.2. Безопасность информации - состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность.
1.3. Доступность информации - свойство информации, при котором имеется возможность получения информации и ее использования.
1.4. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя, при котором доступ к ней (к ним) осуществляют только субъекты, имеющие на него право.
1.5. Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
1.6. Единая информационная коммуникационная среда Курской области - региональная система обмена информацией, построенная с использованием технико-технологических решений.
1.7. Защита информации от несанкционированного доступа - комплекс мер, направленный на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
1.8. Информация ограниченного доступа - информация, доступ к которой ограничен федеральным или региональным законодательством.
1.9. Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
1.10. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.11. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные).
1.12. Система защиты информации органа власти - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
1.13. Средство защиты информации от несанкционированного доступа - программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
1.14. Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
1.15. ПДн - персональные данные.
1.16. ИС - информационные системы.
1.17. ИСПДн - информационная система персональных данных.
1.18. ЕИКС - единая информационная коммуникационная среда Курской области.
1.19. НСД - несанкционированный доступ.
1.20. Инструкция - Инструкция администратора безопасности информационной системы.
1.21. СЗИ - система защиты информации.
1.22. МНИ - машинный носитель информации.
1.23. АРМ - автоматизированное рабочее место.
1.24. МЭ - межсетевое экранирование.
1.25. ОИ - объект информатизации.
1.26. ПО - программное обеспечение.
1.27. Федеральным законом № 152-ФЗ - Федеральный закон от 27 июля 2006г. № 152-ФЗ «О персональных данных».
2.1. Цели и задачи Основных направлений политики информационной безопасности.
Основные направления политики информационной безопасности Администрации Обоянского района определяют систему приоритетов, принципов и методов достижения информационной безопасности конфиденциальной информации и электронных информационных ресурсов Администрации Обоянского района. Меры защиты информации, определенные Основными направлениями политики информационной безопасности (далее - Политика), направлены на нейтрализацию актуальных угроз информационной безопасности, потенциально опасных для конфиденциальной информации, обрабатываемой в Администрации Обоянского района.
Область действия Политики распространяется на ПДн, иную конфиденциальную информацию, а также ИС, входящие в состав Администрации Обоянского района (далее при совместном упоминании - «объекты защиты»). Область действия Политики не распространяется на процессы, в рамках которых производится обработка информации, отнесенной в соответствии с законодательством Российской Федерации к сведениям, составляющим государственную тайну.
Политика направлена на обеспечение интересов Обоянского района путем обеспечения надежного бесперебойного и безопасного использования ПДн, прочей конфиденциальной информации, а также ИС, входящих в состав Администрации Обоянского района.
Политика структурирует цели и задачи Администрации Обоянского района в сфере обеспечения защиты информации, уточняет приоритеты защиты информации исходя из требований законодательства Российской Федерации, нормативных документов Курской области и локальных нормативных актов Администрации Обоянского района, Главы Обоянского района.
Политика основывается на том, что процесс обеспечения защиты информации является комплексной, многоуровневой и системной задачей, включающей различные объекты и цели защиты, учитывающей характер угроз, способы противодействия им и критерии оценки эффективности систем обеспечения информационной безопасности.
Документ разработан для реализации основных методологических подходов, формирования принципов и направлений работ по обеспечению информационной безопасности сотрудниками Администрации Обоянского района.
2.2. Принципы обеспечения информационной безопасности Администрации Обоянского района.
Обеспечение защиты информации в Администрации Обоянского района осуществляется в соответствии с законодательством Российской Федерации, государственными нормативно-методическими документами в области защиты информации, нормативно-методическими документами, утвержденными Администрации Обоянского района и приказами комитета информатизации, государственных и муниципальных услуг Курской области.
Целями обеспечения защиты информации являются: обеспечение конфиденциальности, доступности и целостности ПДн и иной информации ограниченного доступа;
создание системы обеспечения защиты информации, направленной на нейтрализацию актуальных угроз информационной безопасности;
снижение уязвимости информационных активов, входящих в состав Администрации Обоянского района.
Обеспечение защиты информации осуществляется посредством реализации следующих мер:
формирование требований к защите информации, содержащейся в ИС;
разработка СЗИ ИС; внедрение СЗИ ИС;
аттестация ИС по требованиям защиты информации (далее - Аттестация) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной ИС;
обеспечение защиты информации при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации;
контроль реализации мер информационной безопасности с целью поддержания должного уровня информационной безопасности.
Таким образом, цель обеспечения защиты информации заключается в создании, эксплуатации и поддержании должного уровня защиты информации в отношении объектов защиты и информации, обрабатываемой в них.
В основе обеспечения защиты информации Администрации Обоянского района лежит комплексный подход, включающий в себя следующие меры:
определение юридических норм взаимоотношения с внешними организациями;
определение административных норм и регламентов, устанавливающих обязанности и ответственность сотрудников;
использование программных и аппаратных средств защиты информации;
мониторинг и контроль реализации мер защиты информации.
2.3. Организационная структура Администрации Обоянского района.
Администрация Обоянского района, которая является юридическим лицом, создает структурные подразделения или назначает ответственных сотрудников, на которых возлагаются функции по защите информации в данных Администрации Обоянского района, также в Администрации Обоянского района определяются лица в должности не ниже заместителя руководителя, которые осуществляют организующие и контрольные функции за соблюдением требований по защите информации.
Структурные подразделения Администрации Обоянского района с правом юридического лица самостоятельно организуют деятельность по обеспечению защиты информации в своих подведомственных учреждениях.
2.4. Управление системой защиты информации в Администрации Обоянского района.
2.5. В целях управления защитой информации Администрация Обоянского района проводит мероприятия по анализу и улучшению системы защиты ИС, входящих в состав Администрации Обоянского района, и тестированию работоспособности системы защиты ПДн, и сведений конфиденциального характера. В рамках проводимых мероприятий осуществляются:
контроль за событиями безопасности и действиями пользователей в ИС;
контроль (анализ) защищенности информации, содержащейся в ИС;
анализ и оценка функционирования СЗИ ИС, включая выявление, анализ и устранение недостатков в функционировании СЗИ ИС;
периодический анализ изменения угроз безопасности информации в ИС, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;
документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИС;
принятие решений по результатам контроля (мониторинга) за обеспечением уровня защищенности информации о доработке (модернизации) СЗИ, повторной аттестации ИС или проведении дополнительных аттестационных испытаний.
Контрольные мероприятия могут осуществляться Администрацией Обоянского района самостоятельно либо с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Периодичность проведения контрольных мероприятий определяется исходя из требований, предъявляемых к информации, обрабатываемой в ИС, но не реже 1 раза в квартал.
2.6. Правила обеспечения защиты информации в Администрации Обоянского района.
Для нейтрализации угроз информационной безопасности, актуальных для ИС, входящих в состав ЕИКС (обрабатывающих ПДн и иную конфиденциальную информацию) Администрации Обоянского района, реализуются группы мер обеспечения защиты информации в соответствии с определёнными требованиями к СЗИ, в том числе:
идентификация и аутентификация субъектов и объектов доступа; управление доступом субъектов доступа к объектам доступа;
применение мер ограничения программной среды;
защита МНИ, на которых хранятся и (или) обрабатываются ПДн и иная конфиденциальная информация; регистрация событий безопасности;
обеспечение антивирусной защиты;
реализация мер по обнаружению (предотвращению) вторжений;
контроль (анализ) защищенности ПДн и иной конфиденциальной информации;
обеспечение целостности информационных систем, ПДн и иной защищаемой информации;
обеспечение доступности ПДн и иной защищаемой информации; реализация мер защиты среды виртуализации;
реализация мер по защите технических средств;
осуществление защиты ИС, их средств, систем связи и передачи данных;
реализация мер по выявлению инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИС и (или) к возникновению угроз безопасности ПДн и иной конфиденциальной информации, реагирование на них;
осуществление мер по управлению конфигурацией ИС и систем защиты ПДн.
Обязанности и порядок действий администратора безопасности и пользователей ИС определенны в соответствующих инструкциях, которые приведены в приложениях № 1 и № 2 к настоящему распоряжению.
Обладатель информации в случаях, установленных законодательством Российской Федерации, обязан обеспечить постоянный контроль за обеспечением уровня защищенности информации.
Рекомендации по проведению контроля обеспечения целостности, устойчивости функционирования и безопасности ИС, доступных в информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»), приведены в приложении № 3 к настоящему распоряжению.
3.1. Принципы обработки ПДн.
При организации обработки ПДн в Администрации Обоянского района соблюдаются следующие принципы: законности;
ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
недопущения обработки ПДн, несовместимой с целями сбора ПДн; недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
обработки только тех ПДн, которые отвечают целям их обработки;
соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
уничтожения либо обезличивания ПДн по достижении целей их обработки или, в случае утраты необходимости, в достижении этих целей, при невозможности устранения допущенных нарушений при обработке ПДн, если иное не предусмотрено федеральным законодательством.
3.2. Условия обработки персональных данных.
Обработка ПДн Администрации Обоянского района осуществляется при соблюдении одного из перечисленных ниже условий:
обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на органы местного самоуправления функций, полномочий и обязанностей;
обработка ПДн необходима для осуществления прав и законных интересов Администрации Обоянского района или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее - Общедоступные ПДн);
осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Получение и обработка ПДн (предоставление Администрации Обоянского района доступа к обработке ПДн) в случаях, предусмотренных Федеральным законом № 152-ФЗ, осуществляется Администрацией Обоянского района с письменного согласия субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.
Согласие на обработку ПДн дается субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом № 152-ФЗ.
Администрация Обоянского района вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн согласия на обработку ПДн) при наличии законных оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федеральным законом № 152-ФЗ.
3.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, органами местного самоуправления Курской области осуществляется в соответствии с основаниями, указанными в части 2 статьи 10 Федерального закона № 152-ФЗ от 27 июля 2006г «О персональных данных».
Обработка биометрических ПДн в Администрации Обоянского района осуществляется только при наличии согласия субъекта ПДн.
Обработка биометрических ПДн допускается в случаях реализации международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
ПДн субъекта ПДн могут быть получены Администрацией Обоянского района от лица, не являющегося субъектом ПДн, при условии предоставления подтверждения наличия оснований, указанных в п.п. 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федеральным законом № 152-ФЗ от 27 июля 2006 «О персональных данных» или иных оснований, предусмотренных законодательством Российской Федерации.
Для организации обработки ПДн во всех Администрации Обоянского района распоряжением руководителя назначаются ответственные лица в должности не ниже заместителя руководителя.
Право доступа к ПДн субъектов ПДн на бумажных и электронных носителях имеют работники Администрации Обоянского района в соответствии с их должностными обязанностями и в порядке, регламентируемом внутренними нормативными документами. Передача ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками Администрации Обоянского района, имеющими доступ к ПДн, осуществляется в рабочем порядке с учетом технологии работы с соответствующим ресурсом ПДн.
Передача ПДн субъектов ПДн третьим лицам осуществляется в соответствии с требованиями действующего законодательства.
Администрация Обоянского района вправе осуществить передачу (поручить обработку) ПДн третьей стороне с согласия субъекта ПДн и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора (далее - Поручение). В указанном Поручении определяется перечень действий (операций) с ПДн, которые будут совершаться обработчиком, цели обработки, обязанности обработчика по обеспечению безопасности ПДн и требования по безопасности ПДн. Обработчик обязан соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ от 27 июля 2006 «О персональных данных», обеспечивая конфиденциальность и безопасность ПДн при их обработке.
Внесение изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе в отношении целей обработки ПДн, осуществляется в рабочем порядке в объеме полученного от субъекта ПДн согласия.
Администрация Обоянского района уведомляет Уполномоченный орган по защите прав субъектов ПДн об обработке ПДн. С этой целью направляется уведомление об обработке ПДн по форме Уполномоченного органа и в сроки, установленные Федеральным законом № 152-ФЗ.
3.4. Категории субъектов ПДн, которые подлежат обработке в Администрации Обоянского района:
муниципальные служащие Администрации Обоянского района; родственники муниципальных служащих Администрации Обоянского района; соискатели/кандидаты на замещение вакантных должностей муниципальной службы Администрации Обоянского района, для зачисления в резерв управленческих кадров; для зачисления в кадровый резерв на муниципальной службе в Администрации Обоянского района; уволенные с муниципальной службы Администрации Обоянского района; жители Обоянского района, обратившиеся в Администрацию Обоянского района; ПДн иных категорий, обработка которых ведется в соответствии с требованиями федерального и регионального законодательства.
В целях, указанных в пункте 3.2 настоящего распоряжения, обрабатываются ПДн муниципальных служащих Администрации Обоянского района, соискателей/кандидатов на замещение вакантных должностей муниципальной службы Администрации Обоянского района, для зачисления в резерв управленческих кадров; для зачисления в кадровый резерв на муниципальной службе в Администрации Обоянского района, уволенных с муниципальной службы Администрации Обоянского района, жителей Обоянского района, обратившихся в Администрацию Обоянского района; ПДн иных категорий, обработка которых ведется в соответствии с требованиями федерального и регионального законодательства:
фамилия, имя, отчество; число, месяц, год рождения; место рождения; гражданство; вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона; реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; реквизиты страхового медицинского полиса обязательного медицинского страхования; реквизиты свидетельства государственной регистрации актов гражданского состояния; семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших); сведения о трудовой деятельности; сведения о воинском учете и реквизиты документов воинского учета; сведения об образовании; сведения об ученой степени; информация о владении иностранными языками, степень владения; медицинское заключение об отсутствии у гражданина заболевания; фотография; сведения о пребывании за границей; информация о классном чине муниципальной службы; информация о наличии или отсутствии судимости; государственные награды, иные награды и знаки отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения о доходах, об имуществе и обязательствах имущественного характера; номер расчетного счета; номер банковской карты; адрес электронной почты; пол; иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3.2 настоящего распоряжения.
3.5. Конфиденциальность ПДн.
Администрация Обоянского района, получившая доступ к ПДн, обязуется не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
3.6. Сроки обработки и хранения ПДн.
Сроки обработки и хранения ПДн муниципальных служащих Администрации Обоянского района, соискателей/кандидатов на замещение вакантных должностей муниципальной службы Администрации Обоянского района, для зачисления в резерв управленческих кадров; для зачисления в кадровый резерв на муниципальной службе в Администрации Обоянского района, уволенных с муниципальной службы Администрации Обоянского района и иных субъектов ПДн, определяются в соответствии с номенклатурой дел Администрации Обоянского района и законодательством Российской Федерации.
3.7. Порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований.
Ответственным за документооборот и архивирование в Администрации Обоянского района осуществляется систематический контроль и выделение документов, содержащих ПДн, с истекшими сроками хранения, подлежащих уничтожению.
Вопрос об уничтожении выделенных документов, содержащих ПДн, рассматривается на заседании Экспертной комиссии Администрации Обоянского района (далее - ЭК), состав которой утверждается распоряжением Администрации Обоянского района.
По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами ЭК , утверждается Главой Обоянского Обоянского района.
По окончании процедуры уничтожения документов (сжигание, химическое уничтожение) должностным лицом Администрации Обоянского района, ответственным за архивную деятельность, составляется соответствующий Акт об уничтожении документов, содержащих ПДн.
Уничтожение по окончании срока обработки ПДн на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
В Администрации Обоянского района должны выполняться предусмотренные законодательными и нормативными документами уполномоченных органов организационно-технические мероприятия по обеспечению контроля целостности и подтверждения авторства электронных документов посредством применения электронной подписи.
В целях реализации собственных полномочий и обеспечения обмена информацией (и в иных установленных федеральными законами целях) Администрацией Обоянского района используются ИС. ИС создаются на основании соответствующего решения, которое, в том числе, определяет оператора ИС.
В зависимости от правомочий обладателя информации и полномочий по созданию ИС Администрации Обоянского района разделяются на внутренние и внешнеориентированные ИС.
В зависимости от типа обрабатываемой информации ИС разделяются на ИС с общедоступной информацией и ИС с информацией ограниченного доступа.
Обработка информации в ИС с общедоступной информацией осуществляется с обеспечением следующих приоритетов: целостность информации; доступность информации.
Информация, относящаяся к ПДн и иной конфиденциальной информации, предназначенная для использования исключительно сотрудниками Администрации Обоянского района при выполнении ими своих служебных обязанностей обрабатывается в соответствии со следующими приоритетами:
конфиденциальность;
целостность;
доступность.
Объектами защиты в ИС являются:
информация (данные) Администрации Обоянского района, доступная с помощью ИС;
управляющая информация ИС и их подсистем информационной безопасности.
6.1. Ответственность за обеспечение требований по защите информации возлагается на руководителей структурных подразделений Администрации Обоянского района, эксплуатирующих ИС.
6.2. Ответственность должностных лиц Администрации Обоянского района, имеющих доступ и осуществляющих обработку к ПДн (с использованием ИС и без их использования) и иной конфиденциальной информации, за невыполнение положений данной Политики и норм нормативных правовых актов, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Администрации Обоянского района
7.1. Финансирование мероприятий по информационной безопасности в Администрации Обоянского района, её структурных подразделениях с правом юридического лица осуществляется за счёт средств соответствующей муниципальной программы и средств Администрации Обоянского района и её структурных подразделений с правом юридического лица, выделяемых на защиту ИС из местного бюджета.
7.2. При планировании проведения мероприятий по развитию ИС Администрации Обоянского района, объем финансирования на проведение указанных мероприятий рассчитывается с учетом расходов на проведение мероприятий по информационной безопасности в соответствии с требованиями действующего законодательства.
Приложение № 1
к Основным направлениям политики
информационной безопасности
Администрации Обоянского района
ИНСТРУКЦИЯ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ
информационной системы в Администрации Обоянского района
Курской области
1Л. Область применения
Настоящая Инструкция администратора безопасности информационной системы (далее - ИС) определяет обязанности и порядок действий администратора безопасности по организации обеспечения безопасности информации, обрабатываемой в ИС Администрации Обоянского района Курской области (далее - Администрации Обоянского района).
Целью администрирования является достижение, контроль и совершенствование требуемого уровня защищённости информационной системы персональных данных (далее - ИСПДн) от несанкционированного доступа (далее - НСД).
Заданная цель достигается применением комплекса организационно - технических мероприятий по защите информации, установленных в Администрации Обоянского района, а также обеспечением постоянного контроля над выполнением принятых мер.
Администратор безопасности ИС (далее-администратор безопасности) - лицо, осуществляющее контроль над обеспечением защиты информации в ИС, а также осуществляющее организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Администратор безопасности назначается распоряжением Главы Обоянского района из числа штатных сотрудников, имеющих необходимую квалификацию.
Администратор безопасности является ответственным должностным лицом, уполномоченным на проведение работ по разработке и осуществлению мероприятий по обеспечению защиты персональных данных (далее - ПДн) при их обработке в ИС.
Администратор безопасности руководствуется в своей практической деятельности положениями нормативно-правовых актов Российской Федерации и внутренними распорядительными документами Администрации Обоянского района.
Требования администратора безопасности, связанные с выполнением возложенных на него функций, обязательны для исполнения всеми пользователями ИС. Автоматизированное рабочее место администратора безопасности должно представлять собой выделенный персональный компьютер, размещенный в помещении, исключающем НСД к обрабатываемой в нем информации.
Настоящая Инструкция является неотъемлемой частью организационно-распорядительных документов Администрации Обоянского района, регламентирующих защиту ПДн при их обработке в ИС.
1.2. Краткое описание возможностей системы защиты информации
Система защиты информации (далее - СЗИ) реализована комплексом организационных мер, а также набором программных и аппаратных решений, выполненных на базе технических и информационных средств, входящих в состав ИС.
Применение СЗИ позволяет обеспечить:
противодействие актуальным угрозам безопасности информации;
выполнение требований нормативно-правовых актов по защите информации.
1.3. Уровень подготовки администратора безопасности
Администратор безопасности должен обладать необходимыми знаниями и опытом работы в области защиты информации и системного администрирования.
Рекомендуемые требования к администратору СЗИ:
высшее инженерно-техническое образование;
знание технологий обеспечения информационной безопасности;
знание и умение использования законодательных, нормативно распорядительных, специальных и иных требований к обеспечению безопасности информации (Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и т.д.);
знание применяемых операционных систем на уровне сетевого администратора, навыки установки операционных систем, опыт их конфигурирования;
знание сетевых технологий и протоколов на уровне сетевого администратора;
умение работать с пользователями (в том числе слабо компетентными в технических областях).
1.4. Перечень документации, с которой необходимо ознакомиться администратору
Для работы с СЗИ администратор безопасности должен ознакомиться со следующими документами на ИС Администрации Обоянского района:
Модель угроз безопасности ИС;
Техническое задание на создание СЗИ.
В настоящей Инструкции использованы следующие термины:
доступ к информации - возможность получения информаций и ее использования;
доступность информации - состояние информации, характеризуемое способностью автоматизированной системы обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
информация - сведения (сообщения, данные) независимо от формы их представления;
информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи;
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
логин - имя учетной записи пользователя, позволяющее выполнить его аутентификацию при входе в систему;
межсетевой экран - локальное (однокомпонентное) или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и (или) выходящей из автоматизированной системы. Межсетевой экран обеспечивает защиту автоматизированной системы посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) автоматизированную систему на основе заданных правил, проводя таким образом разграничение доступа субъектов одной автоматизированной системы к объектам другой автоматизированной системы;
несанкционированный доступ (несанкционированные действия)
- доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированной системы;
объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа;
пароль - секретное слово или набор символов, предназначенный для подтверждения прав доступа;
пользователь ИС - лицо, участвующее в функционировании ИС или использующее результаты ее функционирования;
правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа;
средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
ИНФОРМАЦИИ
3.1. Назначение системы
СЗИ предназначена для обеспечения безопасности информации при ее обработке в ИС Администрации Обоянского района.
Применение СЗИ осуществляется в течение всего жизненного цикла ИС в соответствии с проектными документами на ее создание, а также с эксплуатационной документацией на средства защиты, входящие в состав СЗИ. Не допускается обработка информации, к которой предъявляются требования по соблюдению ее конфиденциальности, без выполнения мер по ее защите.
3.2. Состав системы
ИС представляет собой совокупность информации, а также средства вычислительной техники и программного обеспечения, позволяющие производить обработку этой информации.
СЗИ включает в себя следующие программные и аппаратные средства, входящие в состав ИС:
операционные системы;
средства защиты информации от НСД;
антивирусное программное обеспечение;
средства анализа защищенности;
межсетевые экраны;
средства криптографической защиты информации.
Помимо технических и информационных мер СЗИ в ИС принят ряд организационных мер, направленных на достижение и поддержание на достигнутом уровне требуемых характеристик безопасности информации.
Детальное описание ИС, требования к СЗИ, а также методы и способы их достижения изложены в документах, приведенных в подразделе 1.4.
ИНФОРМАЦИИ
4.1. Структура системы
Меры по защите информации выполняются в соответствии с требованиями, определенными в Техническом задании на создание СЗИ ИС Администрации Обоянского района.
СЗИ реализуется следующими группами мер (подсистемами)' и мероприятиями:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации;
регистрация событий безопасности;
антивирусная защита;
обнаружение вторжений;
контроль (анализ) защищённости информации;
обеспечение целостности ИС и информации;
обеспечение доступности информации;
защита среды виртуализации;
защита технических средств;
защита ИС, ее средств, систем связи и передачи данных; выявление инцидентов и реагирование; управление конфигурацией ИС и СЗИ;
меры по обеспечению безопасности информации при ее обработке в ИС с использованием средств криптографической защиты информации; организационно-технические мероприятия.
4.2. Идентификация и аутентификация субъектов доступа и объектов доступа
Для однозначной идентификации пользователей и разграничения прав доступа к информации для каждого из работников Администрации Обоянского района, имеющих доступ к ИС, администратором безопасности создаётся уникальная учётная запись.
Учётная запись включает в себя имя пользователя (логин) и пароль, являющиеся реквизитами доступа.
При регистрации пользователей администратором безопасности устанавливается соответствие всех используемых паролей доступа в ИС в соответствии с установленными требованиями.
Запрещается фиксировать учётные данные пользователя (пароли, логины, ключи и др.) на носителях информации при их использовании в местах, доступных другим лицам, а также сообщать их кому бы то ни было, кроме самого пользователя.
4.3. Управление доступом субъектов доступа к объектам доступа
Лица, доступ которых к информации, обрабатываемой в ИС, необходим для выполнения служебных обязанностей, допускаются к соответствующей информации на основании списка, утверждённого Главой Обоянского района.
Каждому пользователю при его регистрации определяются права доступа на основании списка и в соответствии с разрешительной системой доступа к ИС.
При увольнении работника руководитель структурного подразделения Администрации Обоянского района с правом юридического лица составляет заявку на удаление учётной записи пользователя из ИС, утверждает её и передаёт администратору безопасности. При получении заявки администратор безопасности удаляет учётную запись пользователя из ИС.
Разграничение доступа к защищаемой информации обеспечивается:
средствами операционных систем;
средствами защиты информации от НСД;
штатными средствами приложений обработки информации и систем управления базами данных;
иными применяемыми системами разграничения доступа приложений.
С целью существенного затруднения реализации угроз безопасности информации должны быть реализованы следующие мероприятия:
в basic input/output system[ (далее - ВIOS) серверов и рабочих станций устанавливается загрузка только с накопителя на жёстком магнитном диске;
опечатываются корпуса автоматизированных рабочих мест, обрабатывающих информацию с ограниченным доступом.
Ответственность за попытку нарушения прав доступа лежит на непосредственном руководителе пользователя, а в случае факта нарушения ответственность определяется после разбора причин и обстоятельств нарушения.
4.4. Ограничение программной среды
В ИС обеспечивается установка и (или) запуск только разрешенного к использованию в ИС программного обеспечения.
Администратор безопасности обеспечивает периодический контроль установленного (инсталлированного) в ИС программного обеспечения на предмет соответствия его перечню программного обеспечения, разрешенному к установке в ИС.
4.5. Защита машинных носителей информации
Администратор безопасности является лицом, ответственным за учёт машинных носителей информации. Учёт носителей информации осуществляется в установленном порядке, принятом в Администрации Обоянского района.
4.6. Обнаружение вторжений
Обнаружение (предотвращение) вторжений должно осуществляться на внешней границе ИС (системы обнаружения вторжений уровня сети) и (или) на внутренних узлах (системы обнаружения вторжений уровня узла) сегментов ИС (автоматизированных рабочих местах, серверах и иных узлах), определяемых администратором безопасности.
4.7. Антивирусная защита
Настройка средств антивирусной защиты должна обеспечивать надёжную защиту системы от воздействия вредоносных программ (программ-вирусов).
Обновление вирусных баз в ИС должно производиться на регулярной основе в соответствии с рекомендациями производителя антивирусного программного обеспечения.
4.8. Контроль (анализ) защищённости информации
Анализ защищённости реализуется специализированными программными средствами.
Данные результатов сканирования должны быть проанализированы и учтены для минимизации возможности реализации угроз удалённого доступа.
По расписанию, не реже 1 раза в квартал, администратор безопасности при помощи специализированных программных средств, а также средств управления программным обеспечением и СЗИ осуществляет контроль установки обновлений программного обеспечения, контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и СЗИ.
Контроль состава технических средств, программного обеспечения и СЗИ обеспечивается посредством формирования списка контролируемых узлов.
4.9. Обеспечение целостности ИС и информации
В Администрации Обоянского района должна быть обеспечена возможность восстановления средств защиты информации от НСД, предусматривающая ведение двух копий установочного пакета средств защиты информации, копий настроек средств защиты (подробного описания методики достижения данных настроек), а также периодическое обновление и контроль работоспособности данных копий.
4.10. Обеспечение доступности информации
Доступность информации обеспечивается за счёт применения системы резервирования данных.
Администратор безопасности должен обеспечить восстановление информации в течение установленного временного интервала с резервных машинных носителей информации.
4.11. Защита технических средств
Все технические средства ИС должны находиться в пределах контролируемой зоны Администрации Обоянского района.
Администратор безопасности контролирует обеспечение управления физическим доступом к техническим средствам ИС, которое реализуется следующими мероприятиями:
утверждением списков помещений и лиц, допущенных в помещения, в которых обрабатываются информация и находятся технические средства ИС;
применением систем контроля и управления доступом;
применением средств охранной сигнализации и/или видеонаблюдения;
охраной помещений в нерабочее время.
Должно быть обеспечено размещение устройств вывода и отображения информации (мониторов) в помещениях, которое исключало бы её несанкционированный просмотр, за счёт следующих мероприятий:
установки на окна штор и/или жалюзи;
ограничения доступа в помещения посторонних лиц;
оптимизацией взаимного размещения технических средств.
4.12. Защита ИС, ее средств, систем связи и передачи данных
В ИС осуществляется разделение функций по управлению (администрированию) ИС, управлению (администрированию) СЗИ, функций по обработке информации и иных функций ИС.
Защита ИС, ее средств, систем связи и передачи данных реализуется посредством использования сертифицированных средств криптографической защиты информации.
4.13. Выявление инцидентов и реагирование на них
Администратор безопасности является лицом, ответственным за выявление инцидентов и реагирование на них.
4.14. Управление конфигурацией ИС и СЗИ
Администратору ИС (системному администратору) и администратору безопасности разрешены действия по внесению изменений в конфигурацию СЗИ.
Установка дополнительного системного и прикладного ПО выполняется при оформлении соответствующей заявки.
4.15. Организационно-технические мероприятия
Эксплуатация ИС должна осуществляться в полном соответствии с утвержденной организационно-технической и эксплуатационной документацией на СЗИ.
Все технические средства ИС должны быть заземлены и находиться в пределах офисных помещений Администрации Обоянского района.
Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИС, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей информацию ограниченного доступа.
5.1. Ответственность администратора безопасности
Администратор безопасности отвечает за организацию:
проведения мероприятий, направленных на предотвращение НСД к информации и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременного обнаружения фактов НСД к информации;
недопущения воздействия на технические средства ИС, в результате которого может быть нарушено их функционирование;
возможности восстановления информации, модифицированной или уничтоженной вследствие НСД к ней;
постоянного контроля за обеспечением уровня защищенности информации.
Администратор безопасности несет персональную ответственность за качество проводимых им работ по организации обеспечения защиты информации.
5.2. Обязанности администратора безопасности
Администратор безопасности обязан:
знать способы и методы защиты информации, применяемые в ИС;
обеспечить доступ пользователям к информации согласно их правам доступа;
постоянно проводить работу по выявлению возможных каналов утечки информации за счет НСД;
при обнаружении несанкционированного предоставления информации незамедлительно приостановить предоставление информации до выявления причин нарушений и устранения этих причин;
незамедлительно докладывать своему непосредственному руководству обо всех попытках нарушения системы защиты ИС;
анализировать данные электронных журналов обращений ИС с целью выявления возможных нарушений требований защиты;
осуществлять контроль за порядком учета, хранения и обращения с носителями информации;
организовывать и проводить проверки состояния средств защиты информации, проводить контроль за выполнением специальных требований по размещению средств вычислительной техники;
запрещать и немедленно блокировать попытки несанкционированного изменения программно-аппаратной среды ИС, ведущие к возможному инициированию фактов НСД;
производить контроль опечатывания системных блоков с целью предупреждения бесконтрольного доступа к рабочим местам и обрабатываемой информации;
участвовать в приемке вновь устанавливаемых средств защиты информации;
осуществлять постоянный контроль за работой средств защиты информации, применяемых в ИС, а также за выполнением установленного комплекса организационных мероприятий по защите информации;
контролировать правильность применения пользователями средств защиты информации и при необходимости оказывать им помощь;
уточнять в установленном порядке обязанности пользователей по поддержанию достигнутого класса защищенности ИС и вносить предложения по совершенствованию уровня защиты ИС;
участвовать в разработке документации Администрации Обоянского района, регламентирующей защиту обрабатываемой информации в соответствии с требованиями руководящих документов.
Администратору безопасности запрещается оставлять свое рабочее место в состоянии, позволяющем осуществить НСД к обрабатываемой информации.
ИНФОРМАЦИИ
План проведения внутреннего контроля соответствия обработки персональных данных.
|
||||||
|
№ п/п |
|
Период |
Исполнитель |
|||
|
1 |
Проверка актуальности перечня должностных лиц, имеющих право самостоятельного доступа в помещения, где обрабатываются или хранятся ПДн |
|
|
|||
|
2 |
|
|
|
|||
|
3 |
|
|
|
|||
|
4 |
Установка дополнительных запирающих устройств на места хранения документов с ПДн |
по необходимости
|
ответственный за обработку ПДн
|
|||
|
||||||
|
1 |
Контроль фактов подачи заявок на блокирование доступа к ИСПДн увольняемых работников и своевременность подачи таких заявок |
|
|
|||
|
2 |
Контроль использования предоставленных прав доступа (в том числе и право удаленного доступа) |
|
администратор ИСПДн / комиссия по персональным данным |
|||
|
3 |
Соответствие используемых пользователями ИСПДн полномочий параметрам (матрице) доступа |
|
администратор ИСПДн / комиссия по персональным данным |
|||
|
||||||
|
1 |
Проверка корректности ведения журнала учета машинных носителей и соответствия записей в журнале записям в автоматизированной системе контроля съемных магнитных носителей информации |
|
администратор ИСПДн / комиссия по персональным данным |
|||
|
2 |
Проверка наличия съемных носителей ПДн и соблюдения пользователями ИСПДн правил работы с ними |
|
администратор ИСПДн / комиссия по персональным данным |
|||
|
3 |
Своевременность проведения мероприятий по уничтожению персональных данных |
ежеквартально
|
руководители структурных подразделений/ ответственный за обработку ПДн/ комиссия по персональным данным/ администратор ИСПДн |
|||
|
4 |
Контроль отсутствия конфиденциальных документов, содержащих ПДн, без присмотра на рабочих столах работников |
ежемесячно
|
руководители структурных подразделений/ ответственный за обработку ПДн/ комиссия по персональным данным |
|||
|
Проверка выполнения запросов субъектов персональных данных |
||||||
|
1 |
Проверка своевременности исполнения запросов субъектов персональных данных |
ежемесячно
|
ответственный за обработку ПДн/ комиссия по персональным данным |
|||
|
2 |
Контроль актуальности ведения журнала учета обращений субъектов ПДн по вопросам обработки их ПДн
|
ежемесячно
|
ответственный за обработку ПДн / комиссия по персональным данным |
|||
|
3 |
Наличие необходимых согласий субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн |
раз в полгода
|
ответственный за обработку ПДн / комиссия по персональным данным |
|||
|
||||||
|
1 |
Проверка корректности ведения базы данных инцидентов информационной безопасности |
|
администратор ИСПДн
|
|||
|
2 |
Актуальность заполнения отчетов об инцидентах и их нейтрализации |
ежемесячно
|
администратор ИСПДн
|
|||
|
3 |
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн |
раз в полгода
|
ответственный за обработку ПДн/ комиссия по персональным данным/ администратор ИСПДн |
|||
|
4 |
Проверка фиксации неудачных попыток входа в систему в системном журнале |
|
администратор ИСПДн
|
|||
|
5 |
Выборочная проверка АРМ пользователей на предмет наличия возможных вредоносных программ и запрещенных информационных ресурсов |
|
администратор ИСПДн
|
|||
|
||||||
|
1 |
Соблюдение порядка работы со средствами защиты информации |
ежегодно |
комиссия по персональным данным / администратор ИСПДн |
|||
|
2 |
Соблюдение пользователями ИСПДн требований антивирусной защиты |
|
комиссия по персональным данным / администратор ИСПДн |
|||
|
3 |
Соблюдение порядка резервирования баз данных, иной защищаемой информации и хранения резервных копий |
ежегодно |
комиссия по персональным данным / администратор ИСПДн |
|||
|
4 |
Контроль за внесением изменений в программное обеспечение, за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн |
ежегодно |
руководители структурных подразделений/ ответственный за обработку ПДн/ комиссия по персональным данным |
|||
|
5 |
Соблюдение режима защиты при подключении к сетям общего пользования и (или) международного обмена |
|
руководители структурных подразделений/ ответственный за обработку ПДн/ комиссия по персональным данным |
|||
|
6 |
Подготовка предложений по приобретению и установке новых лицензионных программных продуктов |
ежегодно |
администратор ИСПДн
|
|||
|
7 |
Проверка корректности расположения мониторов АРМ, исключающее несанкционированный просмотр экранов |
ежегодно |
руководители структурных подразделений/ ответственный за обработку ПДн/ комиссия по персональным данным |
|||
|
8 |
Контроль сохранности пломб на технических средствах передачи и обработки ПДн, а также на устройствах их защиты |
|
администратор ИСПДн
|
|||
|
VI.Контроль соблюдения пользователями ИСПДн парольной политики |
||||||
|
1 |
Проверка сроков действия паролей |
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
2 |
Проверка пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей |
|
администратор ИСПДн / комиссия по персональным данным |
|||
|
||||||
|
1 |
Анализ и пересмотр имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных, угроз |
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
2 |
Корректировка Частных моделей угроз безопасности ПДн при их обработке в ИСПДн |
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
3 |
Моделирование (при необходимости) новых моделей угроз безопасности ПДн в соответствии с действующими нормативными правовыми актами и методическими документами ФСТЭК и ФСБ России |
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
||||||
|
1 |
Проверка правильности определения категорий обрабатываемых в ИСПДн ПДн |
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
2 |
Корректировка объема обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатываются в ИСПДн) |
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
3 |
Уточнение структуры ИСПДн |
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
4 |
Анализ режимов обработки ПДн и разграничения прав доступа пользователей ИСПДн
|
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
5 |
Уточнение местонахождения технических средств ИСПДн |
по необходимости
|
администратор ИСПДн/ комиссия по персональным данным |
|||
|
6 |
Проведение повторной классификации ИСПДн (в случае обнаружения изменений исходных данных об ИСПДн по сравнению с отраженными в акте классификации данной ИСПДн) |
по необходимости
|
администратор ИСПДн/ комиссия по персональным данным |
|||
|
7 |
Проверка правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения ПДн в каждой из ИСПДн |
ежегодно |
администратор ИСПДн/ комиссия по персональным данным |
|||
|
8 |
Актуализация информации о законности целей обработки ПДн и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн |
ежегодно |
комиссия по персональным данным/ ответственный за обработку ПДн/ администратор ИСПДн |
|||
|
IX.Поддержание в актуальном состоянии нормативно-организационных документов по вопросам обеспечения безопасности ПДн |
||||||
|
1 |
Актуализация локальных нормативных актов по вопросам обеспечения безопасности ПДн |
ежегодно / после каждого изменения законодательных и иных нормативных правовых актов по защите ПДн и отраслевых стандартов / по результатам проверки регуляторами / по результатам расследований выявленных инцидентов информационной безопасности |
комиссия по персональным данным/ ответственный за обработку ПДн/ администратор ИСПДн |
|||
|
2 |
Проверка актуальности сведений, содержащихся в уведомлении Роскомнадзора об обработке (о намерении осуществлять обработку) персональных данных |
ежегодно |
комиссия по персональным данным/ ответственный за обработку ПДн/ администратор ИСПДн |
|||
|
X.Обучение и проверка работников по вопросам обеспечения безопасности ПДн |
||||||
|
1 |
Контроль ознакомления вновь принимаемых работников с локальными нормативными актами, регламентирующими обработку ПДн |
|
ответственный за обработку ПДн/ комиссия по персональным данным |
|||
|
2 |
Проверка знания пользователями ИСПДн о своих действиях во внештатных ситуациях |
раз в полгода
|
ответственный за обработку ПДн/ комиссия по персональным данным |
|||
|
3 |
Проверка знаний и соблюдения работниками положений действующего законодательства Российской Федерации в области ПДн и локальных актов Общества |
ежегодно |
комиссия по персональным данным/ ответственный за обработку ПДн/ администратор ИСПДн |
|||
|
4 |
Обучение руководителей и работников в области обработки и защиты ПДн
|
ежегодно |
комиссия по персональным данным/ ответственный за обработку ПДн |
|||
Состав и конфигурация технических и программных средств ИС определяется исходя из функций, выполняемых ИС, и функциональной необходимости.
При изменении состава ИС необходимо руководствоваться организационно-техническими требованиями, предъявляемыми к системе, приведенными в Модели угроз безопасности ИС.
РЕШЕНИЯ
При функционировании системы возможны сбои, вызванные нарушением штатного режима функционирования программных и аппаратных средств, входящих в состав системы защиты ИС. При возникновении таких сбоев администратор безопасности руководствуется эксплуатационной документацией на средство защиты.
В случае нарушения функционирования СЗИ обработка информации в ИС приостанавливается до устранения возникшей неисправности. Решение о приостановке обработки принимается уполномоченным лицом Администрации Обоянского района по представлению администратора безопасности исходя из возможного ущерба и негативных последствий для информационной системы.
Приложение № 2
к Основным направлениям политики
информационной безопасности
Администрации Обоянского района
ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ
информационной системы в Администрации Обоянского района
Курской области
1.1. Область применения
Инструкция пользователя информационной системы (далее - ИС) Администрации Обоянского района Курской области (далее - Администрации Обоянского района) определяет обязанности и порядок действий пользователя по обеспечению безопасности информации, обрабатываемой в ИС Администрации Обоянского района.
1.2. Краткое описание возможностей системы защиты информации
Система защиты информации (далее - СЗИ) реализована комплексом организационных мер, а также набором программных и аппаратных решений, выполненных на базе технических и информационных средств, входящих в состав ИС.
Применение системы защиты информации позволяет обеспечить: противодействие актуальным угрозам безопасности информации; выполнение требований нормативных актов по защите информации.
1.3. Уровень подготовки пользователя
Пользователь ИС должен обладать квалификацией, обеспечивающей базовые навыки работы на персональном компьютере.
1.4. Перечень документации, с которой необходимо ознакомиться пользователю
Для работы пользователь должен ознакомиться с настоящей Инструкцией и пройти инструктаж по обеспечению безопасности информации в Администрации Обоянского района. Личной подписью в Журнале проведения инструктажа по информационной безопасности пользователь ИС принимает правила и требования по обеспечению безопасности информации, обрабатываемой в ИС Администрации Обоянского района.
В настоящей Инструкции использованы следующие термины: доступ к информации - возможность получения информации и ее использования; доступность информации - состояние информации, характеризуемое способностью автоматизированной системы обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
информация - сведения (сообщения, данные) независимо от формы их представления;
информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи;
информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
информационно-телекоммуникационная сеть общего
пользования - информационно-телекоммуникационная сеть, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
логин - имя учетной записи пользователя, позволяющее выполнить его аутентификацию при входе в систему;
межсетевой экран - локальное (однокомпонентное) или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и (или) выходящей из автоматизированной системы. Межсетевой экран обеспечивает защиту автоматизированной системы посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) автоматизированную систему на основе заданных правил, проводя таким образом разграничение доступа субъектов одной автоматизированной системы к объектам другой автоматизированной системы;
несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированной системы;
объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа;
пароль - секретное слово или набор символов, предназначенный для подтверждения прав доступа;
пользователь информационной системы - лицо, участвующее в функционировании информационной системы или использующее результаты ее функционирования;
правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа;
средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
3.1. Назначение системы
СЗИ предназначена для обеспечения безопасности информации при ее обработке в ИС Администрации Обоянского района.
3.2. Основные задачи, решаемые системой
Применение СЗИ позволяет решить следующие основные задачи: противодействие угрозам безопасности информации; исключение несанкционированного доступа к информации, обрабатываемой в ИС.
3.3. Состав системы
ИС представляет собой совокупность информации, а также средства вычислительной техники и программное обеспечение, позволяющие производить обработку этой информации.
СЗИ выполнена следующими программными и аппаратными средствами, входящими в состав ИС: операционная система;
средства защиты информации от несанкционированного доступа; антивирусное программное обеспечение; средства анализа защищённости; межсетевые экраны;
средства криптографической защиты информации.
4.1. Ответственность пользователя
Пользователь отвечает за выполнение требований обеспечения безопасности информации при обработке в ИС в соответствии с действующими нормативно - правовыми актами Российской Федерации и внутренними распорядительными документами Администрации Обоянского района.
Ответственность за попытку нарушения требований безопасности информации лежит на непосредственном руководителе пользователя, а в случае факта нарушения ответственность определяется после разбора причин и обстоятельств нарушения.
4.2. Обязанности пользователя
Пользователь обязан:
знать и соблюдать установленные правила обеспечения безопасности информации при обработке в ИС;
знать и соблюдать правила эксплуатации аппаратных средств, входящих в состав ИС;
знать и соблюдать правила обеспечения безопасности информации при доступе к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), доступ к таким сетям должен производиться только в случае возникновения служебной необходимости;
обеспечить сохранность используемых машинных носителей информации (далее - МНИ);
в случае возникновения нештатных ситуаций в работе ИС прекратить выполняемые работы и сообщить администратору безопасности ИС о сбое (неисправности).
Пользователю запрещается:
осуществлять запись информации на МНИ, не учтенные в установленном порядке в Администрации Обоянского района;
выносить за пределы офисных помещений Администрации Обоянского района учтенные МНИ, а также документы, содержащие информацию ограниченного доступа, без разрешения уполномоченных лиц;
передавать МНИ и документы, содержащие информацию ограниченного доступа, лицам, не участвующим в процессе ее обработки, без разрешения владельца информационного процесса (руководителя подразделения);
хранить МНИ вблизи источников электромагнитных излучений и прямых солнечных лучей;
вносить изменения в конфигурацию программно-аппаратных средств ИС (в том числе изменять расположение аппаратных модулей) без разрешения администратора безопасности ИС;
приносить и записывать игровые, обучающие и прочие программы и программные модули на МНИ, используемые для хранения и обработки информации;
допускать к решению задач (производству расчетов, формированию документов и т.п.) посторонних лиц;
оставлять свое рабочее место в состоянии, позволяющем осуществить несанкционированный доступ к обрабатываемой информации;
выполнять работы при обнаружении нарушенных пломб узлов и блоков ИС, самовольно срывать такие пломбы;
разглашать сведения о применяемых средствах защиты информации;
производить обработку информации с выключенными или нефункционирующими средствами защиты (в том числе при отключённой системе заземления);
использовать в работе МНИ, не проверенные на предмет отсутствия программ-вирусов.
Каждому пользователю в зависимости от его должностных полномочий и выполняемых им служебных обязанностей назначаются права доступа к информационным ресурсам и техническим средствам ИС.
При необходимости изменения прав доступа пользователь обращается к своему непосредственному руководителю с обоснованием расширения (уменьшения) таких прав.
Для однозначной идентификации пользователей и разграничения прав доступа в целях исключения несанкционированного доступа к информации, для каждого сотрудника Администрации Обоянского района, имеющего доступ к информации, администратором безопасности ИС создается уникальная учетная запись.
Учетная запись включает в себя имя пользователя (логин) и пароль, являющиеся реквизитами доступа.
После регистрации администратор безопасности ИС сообщает пользователю его учетные данные.
При первичном входе в систему, а также в сроки, установленные администратором безопасности ИС, пользователь производит смену пароля, при этом имя (логин) остается неизменным.
Выбор пароля пользователем, а также период его действия должны удовлетворять установленным требованиям.
Запрещается фиксировать учетные данные (логины, пароли, ключи и др.) на носителях информации при их использовании в местах, доступных другим лицам, а также сообщать их кому бы то ни было, кроме самого пользователя.
В случае утери или компрометации пароля пользователь должен немедленно сообщить о случившемся администратору безопасности ИС
СИТАЦИЯХ
Пользователь ИС обязан незамедлительно поставить в известность администратора безопасности ИС при возникновении следующих ситуаций:
нарушены пломбы (наклейки) на корпусе системного блока, входящего в состав автоматизированного рабочего места ИС;
при входе в сеанс система не запрашивает данные аутентификации (логин и пароль);
антивирусное программное обеспечение сигнализирует о вирусной активности или выдает иное сообщение, не являющееся регламентным сообщением работы антивируса;
иные ситуации, вызывающие подозрения и влекущие за собой возможность осуществления несанкционированного доступа к информации.
Приложение № 3
к Основным направлениям политики
информационной безопасности
Администрации Обоянского района
Рекомендации по проведению контроля обеспечения целостности, устойчивости функционирования и безопасности информационных систем, доступных в сети «Интернет»
1.1. Настоящие рекомендации определяют организацию и порядок проведения контроля защищенности информационных систем (далее - ИС), находящихся в эксплуатации.
1.2. Рекомендации распространяются на ИС Администрации Обоянского района, созданные или используемые в целях реализации полномочий Администрации Обоянского района, доступные в сети «Интернет».
1.3. Рекомендации разработаны на основе действующих в Российской Федерации правовых и нормативных документов по защите информации, в том числе приказа ФСБ России, ФСТЭК России от 31 августа 2010 г. № 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования», приказа Минкомсвязи России от 25 августа 2009 г. № 104 «Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования».
1.4. Контроль состояния защиты информации и оценка эффективности средств защиты информации являются неотъемлемой составной частью работ по защите информации при создании и эксплуатации ИС.
1.5. Обладателем информации/оператором ИС является Администрация Обоянского района.
В соответствии с п. 4 ст. 16 Федерального закона от 27 июля 2006 г. № 149 - ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Федеральный закон № 149-ФЗ) обладатель информации, оператор ИС в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
своевременное обнаружение фактов несанкционированного доступа к информации;
предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
постоянный контроль за обеспечением уровня защищенности информации.
1.6. В случае невыполнения данных рекомендаций оператор ИС несет ответственность в соответствии с законодательством Российской Федерации.
1.7. Для пресечения возможности взлома системы (общедоступного ресурса) необходимо обеспечить использование только лицензионного программного обеспечения и проведение его своевременного обновления.
Контроль является одной из составляющих защиты ИС. Помимо контроля необходимо выполнить следующие мероприятия:
сбор информации и формирование перечня ИС, доступных в сети «Интернет», функционирующих (используемых) в Администрации Обоянского района;
утверждение и подпись сформированного перечня ИС Главой Обоянского района;
проверка регистрации ИС в Реестре информационных систем Курской области, в случае отсутствия таковой, произвести соответствующие мероприятия по внесению ИС в Реестр ИС (в соответствии постановлением Губернатора Курской области от 05 августа 2009 г. № 252 «О Положении о реестре и паспортах информационных систем Курской области»);
размещение ИС на хостинге, у которого аппаратные мощности располагаются на территории Российской Федерации, в том числе обязательного заключения договора (соглашения) с хостинг-провайдером, в котором обязанности, установленные п. 4 ст. 16 Федерального закона № 149-ФЗ должны быть возложены на хостинг-провайдера;
разработка инструкции пользователя ИС (в случае отсутствия) при работе с ИС посредством сети «Интернет».
Контроль состояния защиты информации ИС разделяется на внутренний и внешний аудит. Администрация Обоянского района самостоятельно выбирает способ аудита.
Внутренний аудит. Осуществляется ответственным специалистом за защиту информации. Глава Обоянского района должен:
назначить ответственного специалиста за проведение мероприятий по обеспечению защиты информации ИС и контроль ее безопасного функционирования (специалист должен: иметь соответствующее профессиональное образование в сфере защиты информации или информационной безопасности и стаж по специальности не менее 1 года;
получить письменное заключение от уполномоченного органа о возможности работы в сфере защиты информации;
осуществить подбор сертифицированного программного обеспечения для проведения аудита информационной безопасности ИС.
Внешний аудит. Осуществляется организацией, имеющей лицензии на проведение мероприятий по обеспечению информационной безопасности. Администрация Обоянского района должна назначить ответственного за:
составление плана-графика проведения аудита;
контроль выполнения организацией мероприятий данного плана- графика;
составление отчетов для уполномоченного органа.
3.1. Проведение контроля защищенности общедоступных ресурсов не реже 1 раза в квартал.
3.2. Контроль состояния защиты информации, заключается в оценке:
соблюдения требований правовых, организационно-распорядительных и нормативных документов по защите информации;
корректности использования и работоспособности применяемых мер и средств защиты информации в соответствии с их эксплуатационной документацией;
знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
3.3. По результатам контроля разрабатывается план по устранению недостатков в обеспечении информационной безопасности и по совершенствованию СЗИ ИС, в соответствии с которым в организации разрабатываются и проводятся необходимые мероприятия.
3.4. Устранение выявленных уязвимостей:
перечень выявленных уязвимостей направляется хостинг-провайдеру с указанием необходимости их устранения;
если выявленные уязвимости не были устранены, необходимо направить хостинг-провайдеру повторный запрос;
в случае отсутствия исполнения повторного запроса необходимо направить письмо о данной ситуации в комитет информатизации, государственных и муниципальных услуг Курской области с целью совместного решения сложившейся проблемы.
3.5. Информирование комитета информатизации, государственных и муниципальных услуг Курской области:
о проведении аудита, наличии выявленных уязвимостей, принятых мерах и результатах по их устранению;
в случае возникновения трудностей при проведении мероприятий по устранению выявленных уязвимостей;
два раза в год не позднее 1 апреля и 1 октября о внесенных изменениях в перечень ИС, доступных в сети «Интернет» и других изменениях или об отсутствии таких изменений.
Приложение № 4
к Основным направлениям политики
информационной безопасности
Администрации Обоянского района
ПЛАН
проведения контроля состояния систем защиты информации в
Администрации Обоянского района
С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в Администрации Обоянского района проводится контроль состояния защиты информации комитетом информатизации, государственных и муниципальных услуг Курской области, который заключается в:
1) оценке полноты и соответствия требованиям основных руководящих документов в сфере обеспечения безопасности информации, разработанных в Администрации Обоянского района;
2) оценке состояния технической защиты конфиденциальной информации (наличие и настройки необходимых средств защиты информации, установленных на представленных объектах информатизации) с указанием результатов регистрации событий;
3) проверке актуальности ведения журналов;
4) результате контроля, формировании протокола.
1. Изучение и оценка документации, разработанной в целях организации обеспечения безопасности информации в Администрации Обоянского района
Перечень организационно-распорядительной документации, регламентирующей вопросы организации обработки ПДн и обеспечения безопасности ПДн:
19.Инструкция по резервированию и восстановлению работоспособности технических средств и ПО, баз данных и средств защиты информации в ИСПДн.
20. Распоряжение о вводе в эксплуатацию объекта информатизации.
Оценка состояния технической защиты информации представляет собой проверку соответствия наличия и настроек средств защиты информации и программного обеспечения, указанных в аттестационной документации.
При оценке состояния технической защиты конфиденциальной информации указываются:
1) наименование АРМ;
2) заводской (инвентарный) номер системного блока АРМ;
3) адрес размещения АРМ;
4) оценка состояния технической укрепленности помещений;
5) перечень установленных средств защиты информации;
6) контроль сетевых подключений;
7) настройки МЭ;
8) контроль подключения съемных носителей информации к ОИ;
9) контроль разграничения доступа в системе, НСД;
10) проверка целостности конфигурации оборудования и технических средств ОИ и проверка целостности программной среды ОИ;
11) своевременность обновления баз сигнатур антивирусного ПО;
По каждому из пунктов формируется детальное описание.
1 .Журнал приема (сдачи) под охрану кабинетов и ключей от них. 2.Журнал регистрации и учета машинных носителей ПДн.
3Журнал учета сейфов, металлических шкафов, спецхранилищ и ключей от них.
|
|
|
©
2009-2024
Областное государственное унитарное предприятие «Информационный центр «Регион-Курск» Администрация сайта: (4712) 39-51-52, 39-51-53 |
305002, г. Курск, ул. М.Горького, 65 А-3, офис 7 E-mail: icrk@mail.ru |
