Основная информация
| Дата опубликования: | 20 сентября 2017г. |
| Номер документа: | RU93000201701072 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Республика Крым |
| Принявший орган: | Министерство промышленной политики Республики Крым |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ПРОМЫШЛЕННОЙ ПОЛИТИКИ
РЕСПУБЛИКИ КРЫМ
ПРИКАЗ
г. Симферополь
20.09.2017 № 3286
«Об организации работы по вопросам,
связанным с обработкой персональных данных
в Министерстве промышленной политики
Республики Крым»
Во исполнение требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:
Утвердить прилагаемый перечень документов:
- Политика в отношении обработки персональных данных в Министерстве промышленной политики Республики Крым согласно приложению № 1 к настоящему приказу;
- Инструкция администратора информационной безопасности информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 2 к настоящему приказу;
- Инструкция администратора информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 3 к настоящему приказу;
- Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 4 к настоящему приказу;
- Инструкция по действиям пользователей информационных систем персональных данных Министерства промышленной политики РК в нештатных ситуациях согласно приложению № 5 к настоящему приказу;
- Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 6 к настоящему приказу;
- Инструкция по организации антивирусной защиты информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 7 к настоящему приказу;
- Инструкция по резервному копированию защищаемой информации в информационных системах персональных данных Министерства промышленной политики Республики Крым согласно приложению № 8 к настоящему приказу;
- Инструкция по порядку проведения проверок состояния защиты персональных данных Министерства промышленной политики Республики Крым согласно приложению № 9 к настоящему приказу;
- Инструкция пользователя информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 10 к настоящему приказу;
- Порядок парольной защиты в информационных системах персональных данных Министерства промышленной политики Республики Крым согласно приложению № 11 к настоящему приказу;
- Порядок организации учета, хранения, выдачи и уничтожения съемных носителей, содержащих персональные данные Министерства промышленной политики Республики Крым согласно приложению № 12 к настоящему приказу;
- Форма журнала регистрации письменных запросов граждан на доступ к своим персональным данным в Министерстве промышленной политики Республики Крым согласно приложению № 13 к настоящему приказу;
- Форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов Министерство промышленной политики Республики Крым согласно приложению № 14 к настоящему приказу;
- Форма журнала учета съемных носителей персональных данных Министерства промышленной политики Республики Крым согласно приложению № 15 к настоящему приказу;
- Форма журнала учета технических средств, участвующих в обработке персональных данных Министерства промышленной политики Республики Крым согласно приложению № 16 к настоящему приказу;
- Регламент учета средств защиты персональных данных Министерства промышленной политики Республики Крым согласно приложению № 17 к настоящему приказу;
- Перечень мест хранения материальных носителей персональных данных и лиц, ответственных за их сохранность согласно приложению № 18 к настоящему приказу;
- Перечень персональных данных обрабатываемых в Министерство промышленной политики Республики Крым согласно приложению № 19 к настоящему приказу.
2. В целях обеспечения безопасности персональных данных при работе с материальными носителями персональных данных в Министерстве промышленной политики Республики Крым и в соответствии с требованиями положения об особенностях обработки персональных данных субъектов, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687:
2.1. Утвердить места хранения материальных (бумажных) носителей персональных данных сотрудников Министерства промышленной политики Республики Крым, в соответствии с Приложением №18.
2.2. Соблюдать при хранении материальных носителей условия, обеспечивающие сохранность персональных данных, исключить возможность неконтролируемого пребывания в помещениях, где хранятся материальные носители персональных данных посторонних лиц.
2.3. В структурных подразделениях, участвующих в обработке персональных данных, назначить ответственных лиц за обеспечение сохранности материальных носителей персональных данных в соответствии с Приложением №18.
2.4. Исключить возможность неконтролируемого проникновения или пребывания в помещениях Министерства промышленной политики Республики Крым посторонних лиц.
2.5. К обработке персональных данных допустить государственных гражданских служащих, сотрудников министерства, в рамках, возложенных на них обязанностей.
2.6. Возложить на государственных гражданских служащих, сотрудников министерства ответственность за сохранность носителей персональных данных и средств защиты информации, которые им выданы.
3. Контроль за исполнением приказа оставляю за собой.
Министр А. Васюта
Приложение № 1
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ПОЛИТИКА
в отношении обработки персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
1. Общие положения
1.1. Настоящий документ (далее – Политика) разработан в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. Основные термины и определения, применяемые в настоящей Политике:
1.4.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем персональных данных, обрабатываемых в Министерстве промышленной политики Республики Крым (далее - Министерство), настоящим Положением и локальными актами Министерства.
1.4.2. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.4.3. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.4.4. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.4.5. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.4.6. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.4.7. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.4.8. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.4.9. Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
1.4.10. Конфиденциальность персональных данных – обязательное для соблюдения Министерством, или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Обеспечения конфиденциальности персональных данных не требуется:
в случае обезличивания персональных данных;
в отношении общедоступных персональных данных.
1.4.11. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные данным субъектом.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта или по решению Руководителя Министерства, либо по решению суда или иных уполномоченных государственных органов.
1.4.12. Трансграничная передача персональных данных – передача персональных данных через Государственную границу Российской Федерации органу власти иностранного государства, физическому лицу или юридическому лицу иностранного государства.
1.4.13. Государственный гражданский служащий - гражданин, осуществляющий профессиональную служебную деятельность на должности государственной гражданской службы и получающий денежное содержание (вознаграждение) за счет средств федерального бюджета Российской Федерации.
Работник – лицо, имеющее трудовые отношения с Министерством, либо кандидат на вакантную должность, вступивший в отношения по поводу приема на работу.
1.4.14. Оператор – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
1.5. К субъектам персональных данных (далее – субъекты) относятся лица – носители персональных данных, персональные данные которых переданы Министерству, (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для обработки (в том числе передачи), в том числе:
Государственные гражданские служащие, а также работники Министерства, включая совместителей, а также лица, выполняющие работы по договорам гражданско-правового характера;
иные лица, предоставляющие персональные данные Министерства.
2. Принципы обработки персональных данных
2.1. Обработка персональных данных в Министерстве осуществляется на основе следующих принципов:
законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Министерства;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.
2.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи Министерству своих персональных данных.
2.4. Держателем персональных данных является Министерство, которой субъект персональных данных передает во владение свои персональные данные. Министерство выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
2.5. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику и (или) держателю персональных данных за получением необходимых сведений и пользующиеся ими с соблюдением требований по обеспечению безопасности персональных данных.
3. Понятие и состав персональных данных
3.1. Под персональными данными субъектов персональных данных понимается информация, необходимая Министерству в связи со служебными отношениями и касающаяся конкретного субъекта персональных данных (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное и имущественное положение, образование, профессия, доходы, другая информация), а также сведения о фактах, событиях и обстоятельствах жизни субъекта, позволяющие идентифицировать его личность. К персональным данным относятся следующие сведения:
анкетные и биографические данные;
сведения об образовании;
сведения о трудовом и общем стаже;
сведения о предыдущем месте работы;
сведения о составе семьи;
паспортные данные;
сведения о воинском учете;
сведения о заработной плате государственного гражданского служащего, работника, иных выплатах субъектам персональных данных (включая стипендии);
сведения о социальных льготах;
специальность;
занимаемая должность;
наличие судимостей;
адрес места жительства (пребывания), номер домашнего телефона;
место работы или учебы членов семьи и родственников;
содержание трудового договора (контракта);
состав декларируемых сведений о доходах, об имуществе и обязательствах имущественного характера;
любые сведения о состоянии здоровья;
рекомендации, характеристики;
фотографии;
копии отчетов, направляемые в органы статистики;
другая информация.
3.2. Документы, содержащие персональные данные, являются конфиденциальными.
4. Цели обработки персональных данных.
Обработка персональных данных осуществляется в целях:
Исполнения государственных функций по контролю и надзору в области соблюдения трудового законодательства, в целях рассмотрения обращений граждан.
Выполнение требований действующего законодательства в сфере труда, налогообложения физических лиц, обязательного медицинского и пенсионного страхования.
5. Обработка персональных данных
5.1. Обработка персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества.
5.2. Условием обработки персональных данных субъекта персональных данных является его письменное согласие.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в соответствии с положением статьи 6 Федерального закона «О персональных данных».
5.3. Обработка персональных данных, осуществляются уполномоченными должностными лицами Министерства, определенными приказом Руководителя Министерства, которые действуют на основании инструкций, предусматривающих выполнение комплекса мероприятий по обеспечению безопасности персональных данных.
5.4. Персональные данные обрабатываются Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, с фиксацией персональных данных на материальном носителе (бумажные документы).
5.4. Ответственность за контроль соблюдения требований по обработке персональных данных структурными подразделениями, контроль соблюдения структурными подразделениями прав и свобод субъектов персональных данных возлагается на Руководителя Министерства.
6. Обеспечение защиты персональных данных при их обработке Оператором
6.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
К таким мерам могут, в частности, относиться:
– назначение Оператором ответственного за организацию обработки персональных данных;
– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам оператора;
– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
– ознакомление государственных гражданских служащих, работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных лиц.
6.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7. Права субъекта персональных данных
Субъект персональных данных имеет право:
на получение сведений о Министерстве, о месте ее нахождения, о наличии у Министерства персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц;
на свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;
получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
а) подтверждение факта обработки персональных данных Министерством, а также цель такой обработки;
б) способы обработки персональных данных, применяемые оператором;
в) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
г) перечень обрабатываемых персональных данных и источник их получения;
д) сроки обработки персональных данных, в том числе сроки их хранения;
е) сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных.
требовать от Министерства исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
при отказе оператора исключить или исправить персональные данные субъекта заявить в письменной форме оператору (Министерству) о своем несогласии с соответствующим обоснованием такого несогласия, при отклонении оператором указанного обращения (несогласия), обжаловать действия оператора в порядке, предусмотренном законодательством России.
Доступ к своим персональным данным предоставляется субъекту или его законному представителю при личном обращении либо при получении запроса.
Сведения о персональных данных должны быть предоставлены субъекту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
8. Доступ к персональным данным субъекта и их передача
8.1. Внутренний доступ (доступ внутри Министерства) к персональным данным субъектов имеют сотрудники подразделений Министерства, которым эти данные необходимы для выполнения должностных обязанностей.
8.2. Внешний доступ к персональным данным субъектов имеют массовые потребители персональных данных и контрольно-надзорные органы.
8.2.1. К числу массовых потребителей персональных данных вне Министерства относятся следующие государственные и негосударственные структуры:
налоговые органы;
правоохранительные органы;
органы лицензирования и сертификации;
органы прокуратуры и ФСБ;
органы статистики;
страховые агентства;
военные комиссариаты;
органы социального страхования;
пенсионные фонды;
подразделения государственных и муниципальных органов управления.
8.2.2. Надзорно-контрольные органы имеют доступ к информации исключительно в сфере своей компетенции.
8.3. Внешний доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.
8.4. Министерство обязано сообщать персональные данные субъекта по надлежащим оформленным запросам суда, прокуратуры иных правоохранительных органов.
8.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только на основании письменного запроса на бланке организации, с приложением копии заявления субъекта.
8.6. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
Приложение № 2
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
администратора информационной безопасности информационных систем персональных данных
Министерства промышленной политики Республики Крым
г. Симферополь
2017 г.
СОДЕРЖАНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. ОБЯЗАННОСТИ АДМИНИСТРАТОРА ИБ ИСПДн
3. ПРАВА АДМИНИСТРАТОРА ИБ ИСПДн
4. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА ИБ ИСПДн
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
6. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Приложение 1. Карточка Инструктажа
приложение 2. ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Администратор информационной безопасности (ИБ) информационной системы персональных данных (ИСПДн) назначается приказом руководителя Министерства промышленной политики Республики Крым (далее –Министерство) и функционально подчиняется начальнику подразделения, в штате которого он состоит. Он руководствуется требованиями нормативных документов Российской Федерации, нормативных актов Министерства, настоящей Инструкцией, а также другими распорядительными документами в части его касающейся.
Администратор ИБ ИСПДн в пределах своих функциональных обязанностей обеспечивает работоспособность ИСПДн, безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники (СВТ) в ИСПДн Министерства.
Должностные лица Министерства, задействованные в обеспечении функционирования ИСПДн, могут быть ознакомлены с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
В случае увольнения администратор ИБ ИСПДн Министерства обязан передать начальнику подразделения, в штате которого он состоит все носители защищаемой информации Министерства (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), которые находились в его распоряжении в связи с выполнением им служебных обязанностей во время работы в Министерстве.
2. ОБЯЗАННОСТИ АДМИНИСТРАТОРА ИБ ИСПДн
Администратор ИБ ИСПДн обязан:
- знать перечень установленных в подразделении СВТ и перечень задач, решаемых с их использованием;
- обеспечивать работоспособность СВТ ИСПДн Министерства, проводить организационно-технические мероприятия по их обслуживанию;
- устанавливать и настраивать элементы ИСПДн и средства защиты информации, а также выполнять другие возложенные на него работы в соответствии с распорядительными, инструктивными и методическими материалами в части, его касающейся;
- рассматривать целесообразность применения новых технологий для повышения эффективности функционирования ИСПДн Министерства;
- выполнять своевременное обновление программного обеспечения элементов ИСПДн и средств защиты персональных данных (СЗПДн) по мере появления таких обновлений;
- выполнять резервное копирование и восстановление данных;
- обеспечивать контроль за выполнением пользователями требований «Инструкции пользователю ИСПДн»;
- осуществлять контроль за работой пользователей автоматизированных систем, выявление попыток НСД к защищаемым информационным ресурсам и техническим средствам ИСПДн Министерства;
- осуществлять настройку средств защиты, выполнять другие действия по изменению элементов ИСПДн;
- осуществлять учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в специальный журнал (учетную карточку). Учтенные носители информации выдавать пользователям под роспись;
- осуществлять текущий и периодический контроль работы средств и систем защиты информации;
- осуществлять текущий контроль технологического процесса обработки защищаемой информации;
- периодически осуществлять тестирование всех функций системы защиты с помощью тестовых программ, имитирующих попытки НСД, при изменении программной среды и персонала ИСПДн;
- в случае возникновения нештатных ситуаций (сбоев в работе СЗПДн) немедленно докладывать ответственному за обеспечение безопасности ПДн;
- участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;
- участвовать в проведении работ по восстановлению работоспособности средств и систем защиты информации;
- вести «Журнал учета нештатных ситуаций», учитывать факты вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств ПЭВМ. Форма журнала приведена в «Инструкции по действиям пользователей информационных систем персональных данных Министерства промышленной политики Республики Крым в нештатных ситуациях»;
- проводить обучение персонала и пользователей вычислительной техники правилам работы с СВТ и средствами защиты информации с отметкой в карточке инструктажа (Приложение 2);
- участвовать в разработке нормативных и методических материалов, связанных с функционированием СВТ и применением средств защиты информации, выполнением мероприятий по обеспечению защиты информации;
- регулярно анализировать работу любых элементов АС, электронных системных журналов средств защиты для выявления и устранения неисправностей, а также для оптимизации ее функционирования.
3. ПРАВА АДМИНИСТРАТОРА ИБ ИСПДн
Администратор ИБ ИСПДн имеет право:
- отключать любые элементы СЗПДн при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей в установленном порядке;
- в установленном порядке изменять конфигурацию элементов ИСПДн и СЗПДн;
- требовать от сотрудников Министерства соблюдения правил работы в ИСПДн, приведенных в «Инструкции пользователя информационных систем персональных данных Министерства промышленной политики Республики Крым»;
- требовать от пользователей безусловного соблюдения установленной технологии обработки защищаемой информации и выполнения требований внутренних документов Министерства, регламентирующих вопросы обеспечения безопасности и защиты информации;
- обращаться к ответственному за организацию обработки ПДн с требованием о прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации;
- вносить свои предложения по совершенствованию функционирования ИСПДн Министерства;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности в ИСПДн Министерства.
4. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА ИБ ИСПДн
Администратор ИБ ИСПДн несет ответственность:
- за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими инструктивными документами в соответствии с действующим трудовым законодательством Российской Федерации, за полноту и качество проводимых им работ по обеспечению защиты информации;
- за правонарушения, совершенные в процессе своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
- за разглашение сведений конфиденциального характера и другой защищаемой информации Министерства в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
- на администратора ИБ ИСПДн возлагается персональная ответственность за работоспособность и надлежащее функционирование средств обработки ПДн в ИСПДн и средств защиты персональных данных Министерства.
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Полный пересмотр данного документа проводится ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Форма регистрации изменений в Инструкции представлена в Приложении 3.
Вносимые изменения не должны противоречить другим положениям Инструкции.
6. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственным за контроль выполнения требований данной Инструкции является ответственный за обеспечение безопасности ПДн.
Приложение 1. Карточка Инструктажа
КАРТОЧКА № ____
ПРОВЕДЕНИЯ ИНСТРУКТАЖА
ПО ВОПРОСАМ ЗАЩИТЫ ИНФОРМАЦИИ
Подразделение
Дата
Фамилия, инициалы
инструктируемого
Должность
Роспись
Вид инструктажа (в связи с чем проводится)
Краткое содержание инструктажа
Инструктаж провел Администратор ИБ ИСПДн:
Примечание: Заполненная карточка хранится у Администратора ИБ ИСПДн.
приложение 2. ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, номер и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с инструкцией администратора информационной безопасности информационных систем персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 3
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
администратора информационных систем
персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
СПИСОК СОКРАЩЕНИЙ
ИДн
Информационная система персональных данных
ОдИ
Общедоступная информация
СЗИ
Система защиты информации
АИБ
Администратор информационной безопасности
СОДЕРЖАНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. ОБЯЗАННОСТИ АДМИНИСТРАТОРА ИСПДН
3. ПРАВА АДМИНИСТРАТОРА ИСПДН
4. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА ИСПДн
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
6. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1 ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ определяет основные обязанности, права и ответственность администратора автоматизированных систем (далее ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство).
1.2. Администратор ИСПДн назначается приказом руководителя Министерства и функционально подчиняется начальнику подразделения, в штате которого он состоит.
1.3. Администратор ИСПДн руководствуется положениями федеральных законов и нормативных актов органов государственной власти и Министерства, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся.
1.4. Должностные лица Министерства, задействованные в обеспечении функционирования ИСПДн Министерства, ознакамливаются с основными положениями и приложениями Инструкции по мере необходимости.
1.5. Ознакомление с требованиями Инструкции администраторов ИСПДн Министерства осуществляется под роспись с выдачей электронных копий Инструкции непосредственно для повседневного использования в работе.
1.6. Администратор ИСПДн Министерства обязан в случае увольнения, все носители защищаемой информации Министерства (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), которые находились в его распоряжении, в связи с выполнением им служебных обязанностей во время работы в Министерства, передать начальнику подразделения, в штате которого он состоит.
2. ОБЯЗАННОСТИ АДМИНИСТРАТОРА ИСПДН
Администратор ИСПДн:
2.1. Обеспечивает работоспособность средств вычислительной техники ИСПДн Министерства, проводит организационно-технические мероприятия по их обслуживанию.
2.2. Устанавливает и настраивает элементы ИСПДн и средства защиты информации, а также выполняет другие возложенные на него работы в соответствии с:
- техническими проектами на системы и подсистемы ИСПДн Министерства;
- Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИСПДн Министерства;
- Порядком парольной защиты в ИСПДн Министерства;
- Инструкцией по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДн Министерства;
- Инструкцией по организации антивирусной защиты ИСПДн Министерства;
- Инструкцией по действиям персонала в нештатных ситуациях Министерства;
- а также другими инструктивными и методическими материалами.
2.3. Рассматривает целесообразность применения новых технологий для повышения эффективности функционирования ИСПДн Министерства.
2.4. Подготавливает обоснования и спецификации для закупки, заказывает новые элементы ИСПДн и расходные материалы; поддерживает резерв расходных материалов; изучает рынок программных средств и предоставляет рекомендации по приобретению и внедрению системного и прикладного программного обеспечения.
2.5. Выполняет своевременное обновление программного обеспечения элементов ИСПДн и системы защиты информации (в пределах его компетенции) по мере появления новых версий.
2.6. Выполняет резервное копирование и восстановление данных.
2.7. Проводит инструктаж пользователей по внедряемым и используемым технологиям или прикладному программному обеспечению, если это требует от пользователей дополнительных навыков и знаний. Возможен инструктаж не только в устной форме, но и в письменной, либо в электронном виде путем создания инструкций, файлов справок, описаний, руководств пользователя и прочее, с последующим обязательным доведением до каждого пользователя.
2.8. Совместно с АИБ обеспечивает контроль выполнения пользователями положений «Инструкции пользователя ИСПДн Министерства».
2.9. Предоставляет АИБ любую затребованную им информацию о настройках, конфигурации, составу и структуре ИСПДн и механизмов защиты информации ИСПДн.
2.10. Выполняет действия по изменению элементов ИСПДн, необходимость в которых определяется согласованным решением начальника отдела автоматизированной обработки информации и начальником отдела информационной безопасности.
2.11. Участвует совместно с АИБ в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации.
2.12. Планирует дальнейшее развитие структуры и функциональности ИСПДн, а также вносит предложения о совершенствовании работы и повышении эффективности функционирования средств вычислительной техники ИСПДн и системы защиты информации ИСПДн.
3. ПРАВА АДМИНИСТРАТОРА ИСПДН
3.1. Анализировать работу любых элементов ИСПДн для выявления и устранения неисправностей, а также для оптимизации ее функционирования.
3.2. Отключать любые элементы ИСПДн при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей после согласования и заблаговременного предупреждения пользователей ИСПДн.
3.3. Отключать элементы СЗИ ИСПДн при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей в установленном порядке после согласования с АИБ.
3.4. В установленном порядке изменять конфигурацию элементов ИСПДн.
3.5. Требовать от сотрудников Министерства соблюдения правил работы в ИСПДн, приведенных в «Инструкции пользователя ИСПДн».
3.6. Вносить свои предложения по совершенствованию функционирования ИСПДн Министерства.
4. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА ИСПДн
4.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими инструктивными документами администратор ИСПДн несет ответственность в соответствии с действующим трудовым законодательством РФ.
4.2. За правонарушения, совершенные в процессе своей деятельности администратор ИСПДн несет ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.
4.3. За разглашение сведений конфиденциального характера и другой защищаемой информации Министерства администратор ИСПДн несет ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.
4.4. На администратора ИСПДН возлагается персональная ответственность за работоспособность и надлежащее функционирование всех элементов ИСПДн Министерства.
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
6.1. Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
6.2. Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится начальником отдела автоматизированной обработки информации.
6.3. Полный пересмотр данного документа проводится начальником отдела автоматизированной обработки информации с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
6.4. Форма регистрации изменений в Инструкции представлена в ПРИЛОЖЕНИИ 1.
6.5. Вносимые изменения не должны противоречить другим положениям Инструкции.
6. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственным за контроль выполнения требований данной Инструкции является начальник подразделения, в штате которого состоит администратор ИСПДн Министерства.
ПРИЛОЖЕНИЕ 1 ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с инструкцией Администратора информационных систем персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия И.О. сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 4
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
СОДЕРЖАНИЕ
1.ОБЩИЕ ПОЛОЖЕНИЯ
2. ПОРЯДОК ИСПОЛЬЗОВАНИЯ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ
3. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПОЛЬЗОВАТЕЛЯМ ПРАВ ДОСТУПА К ИСПДн
4.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
5. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Приложение 1. ЗАЯВКА НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ В СПИСКИ ПОЛЬЗОВАТЕЛЕЙ
ПРИЛОЖЕНИЕ 2. Лист регистрации изменений
1. ОБЩИЕ ПОЛОЖЕНИЯ
Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных (ИСПДн) Министерство промышленной политики Республики Крым (далее – Министерство) устанавливает порядок изменения списка пользователей и порядок изменения их прав в информационных системах персональных данных.
Должностные лица Министерства, задействованные в обеспечении функционирования ИСПДн, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
Ознакомление с требованиями Инструкции пользователей ИСПДн осуществляет администратор информационной безопасности (ИБ) ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.
Непосредственное исполнение настоящей Инструкции определяется администратором ИБ ИСПДн, по согласованию с ответственным за обеспечение безопасности персональных данных (ПДн) Министерства.
2. ПОРЯДОК ИСПОЛЬЗОВАНИЯ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ
С целью соблюдения принципа персональной ответственности за свои действия, каждому сотруднику, допущенному к работе с ИСПДн должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в системе.
В случае производственной необходимости, некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей).
Использование несколькими сотрудниками при самостоятельной работе в ИСПДн одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.
Использование сотрудником имени пользователя, сопоставленного с другим сотрудником (учетной записи другого сотрудника), при работе в ИСПДн ЗАПРЕЩЕНО.
3. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПОЛЬЗОВАТЕЛЯМ ПРАВ ДОСТУПА К ИСПДн
Процедура регистрации (создания учетной записи) пользователя и предоставления (изменения) ему прав доступа к ресурсам ИСПДн инициируется приказом о допуске сотрудника к работам в ИСПДн или заявкой руководителя подразделения, в котором числится данный сотрудник. Заявка согласовывается с ответственным за обеспечение безопасности ПДн, после чего администратором ИБ ИСПДн создается учетная запись. Форма заявки приведена в Приложении 1.
На основании приказа либо при получении заявки на предоставление (изменение) прав доступа пользователя к ресурсам ИСПДн администратор ИБ ИСПДн в зависимости от характера заявки:
создает учетную запись;
производит изменение прав доступа учетной записи;
осуществляет блокирование учетной записи.
При предоставлении сотруднику прав доступа к ресурсам производится необходимо руководствоваться принципом предоставления минимальных прав для решения требуемых задач.
Начальники структурных подразделений несут ответственность за минимальную достаточность прав доступа имеющихся у пользователей их структурных подразделений. В случае наличия у пользователей избыточных для работы прав доступа начальники структурных подразделений ставят об этом в известность администратора ИБ ИСПДн, который вносит необходимые изменения в соответствии с настоящей Инструкцией.
При выдаче пользователю персонального идентификатора, факт выдачи должен фиксироваться в соответствующем журнале.
Целесообразно документирование прав доступа в электронном виде, для чего создается специальная база данных, в которой указываются следующие данные:
фамилия, имя, отчество пользователя;
структурное подразделение;
учетная запись;
контролируемый ресурс;
права доступа;
отметка об удалении учетной записи при увольнении.
Изменения в конфигурации механизмов защиты информации производятся только администратором ИБ ИСПДн и только в соответствии с документацией на средства защиты информации ПДн.
При изменении статуса пользователя (увольнение, перевод на другую должность и т.п.) начальник структурного подразделения, в котором числится данный пользователь, подает заявку об изменении прав доступа пользователя (Приложение 1).
4. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Полный пересмотр данного документа проводится ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Форма регистрации изменений в Инструкции представлена в Приложении 3.
Вносимые изменения не должны противоречить другим положениям Инструкции.
5. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственность за соблюдение требований настоящей Инструкции пользователями возлагается на всех сотрудников, работающих в ИСПДн Министерства.
Ответственность за организацию контрольных и проверочных мероприятий по вопросам управления правами пользователей возлагается на Администратора ИБ ИСПДн.
Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
Приложение 1. ЗАЯВКА НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ В СПИСКИ ПОЛЬЗОВАТЕЛЕЙ
Министру промышленной политики
Республики Крым
(резолюция)
ЗАЯВКА
на внесение изменений в списки пользователей
_________________________________________________________________
__________________________________________________________________
(наименование автоматизированной системы, ПЭВМ)
и наделение пользователя полномочиями доступа к ресурсам системы
Прошу зарегистрировать пользователем ИСПДн
(исключить из списка пользователей ИСПДн, изменить полномочия пользователя)
(ненужное зачеркнуть)
__________________________________________________________________
(должность с указанием подразделения)
__________________________________________________________________,
(фамилия имя и отчество сотрудника)
предоставив ему полномочия (лишив его полномочий), необходимые (-х) для решения задач: (ненужное зачеркнуть)
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Начальник
_____________________________________________________ (наименование подразделения)
«___» __________ 201__ г.
_____________________
(подпись)
___________________
(фамилия, инициалы)
Оборотная сторона заявки
Пользователь ______________________________
зарегистрирован (исключен из списка пользователей, изменены полномочия пользователя)
(ненужное зачеркнуть)
Персональный идентификатор номер _____________________ выдан (изъят)
(ненужное зачеркнуть)
Внесены следующие изменения: ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Администратор ИБ ИСПДн
«___» __________ 201__ г.
_____________________
(подпись)
___________________
(фамилия, инициалы)
Учетное имя, персональный идентификатор и начальные значения (при отсутствии зачеркнуть)
паролей получил, о порядке смены пароля при первом входе в систему проинструктирован
Пользователь
______________________________
(подпись, фамилия, инициалы)
«___» ____________ 201__ г.
ПРИЛОЖЕНИЕ 2. Лист регистрации изменений
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с Инструкцией по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных
Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 5
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
по действиям пользователей информационных систем персональных данных Министерства промышленной политики Республики Крым в нештатных ситуациях
г. Симферополь
2017 г.
Содержание
1.Общие положения
2.Порядок действий при обнаружении нештатных ситуаций
3.ПроВЕДЕНИЕ расследований
4. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
5.Порядок замещения ответственных лиц
6.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1. СРЕДСТВА ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ
ПРИЛОЖЕНИЕ 2. ПЛАН ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ
ПРИЛОЖЕНИЕ 3. ЖУРНАЛ УЧЕТА НЕШТАТНЫХ СИТУАЦИЙ
ПРИЛОЖЕНИЕ 4. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
1. Общие положения
Настоящая Инструкция предназначена для определения порядка действий пользователей информационной системы персональных данных (ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство) при возникновении нештатных ситуаций.
Нештатными ситуациям являются:
1) разглашение информации ограниченного доступа, не составляющей государственную тайну (далее защищаемая информация), сотрудниками Министерства, имеющими к ней право доступа, в том числе:
разглашение информации лицам, не имеющим права доступа к защищаемой информации;
передача защищаемой информации по открытым линиям связи;
обработка защищаемой информации на незащищенных технических средствах обработки информации;
опубликование защищаемой информации в открытой печати и других средствах массовой информации;
передача носителя информации лицу, не имеющему права доступа к ней;
утрата носителя с защищаемой информацией;
2) неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации:
несанкционированное изменение защищаемой информации;
несанкционированное копирование защищаемой информации.
3) Несанкционированный доступ к защищаемой информации:
подключение технических средств к средствам и системам объекта информатизации;
использование закладочных устройств;
маскировка под зарегистрированного пользователя;
использование дефектов программного обеспечения объекта информатизации (ОИ);
использование программных закладок;
применение программных вирусов;
хищение носителя защищаемой информации;
нарушение функционирования технических средств (ТС) обработки информации;
блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку;
4) дефекты, сбои, отказы, аварии ТС и систем ОИ;
5) дефекты, сбои и отказы программного обеспечения ОИ;
6) сбои, отказы и аварии систем обеспечения ОИ;
7) природные явления, стихийные бедствия:
термические, климатические факторы (пожары, наводнения и т.д.);
механические факторы (землетрясения и т.д.);
электромагнитные факторы (грозовые разряды и т.д.).
В случае возникновения нештатной ситуации, порядок действий при которой не регламентирован настоящей инструкцией администратором информационной безопасности (ИБ) ИСПДн, ответственным за обеспечение безопасности персональных данных (ПДн) Министерства вырабатывается конкретный план действий с учетом текущей ситуации.
Резервируемые в Министерстве информационные ресурсы и способы их резервирования представлены в Приложении 1 к настоящей Инструкции.
Порядок оповещения должностных лиц и сроки выполнения мероприятий при нештатных ситуациях определены в Приложении 2 к настоящей Инструкции.
Для эффективной реализации мероприятий по реагированию в случае нештатных ситуаций должны проводиться регулярные тренировки по различным нештатным ситуациям. По результатам тренировки в случае необходимости проводится уточнение настоящей Инструкции.
Должностные лица Министерства знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
Ознакомление с требованиями Инструкции сотрудников Министерства осуществляет администратор ИБ ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.
2. Порядок действий при обнаружении нештатных ситуаций
2.1. Классификация нештатных ситуаций
Нештатные ситуации классифицируются в соответствии с оценками, представленными в таблице 3.1.
Таблица 3.1. Оценки нештатных ситуаций
Нештатная ситуация
Оценка ситуации
(раздел Инструкции)
Разглашение защищаемой информации сотрудниками, имеющими к ней право доступа
(2.2)
Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации
Несанкционированное копирование защищаемой информации
Обнаружился случившийся факт (2.2)
Производится в текущий момент (2.3)
Несанкционированное изменение защищаемой информации
Обнаружился случившийся факт (2.2)
Производится в текущий момент (2.3)
Несанкционированный доступ к защищаемой информации
Подключение технических средств к средствам и системам объекта информатизации (ОИ)
Обнаружился случившийся факт (2.2)
Производится в текущий момент (2.4)
Установка закладочных устройств
Обнаружение установленных (2.2)
Устанавливаются в настоящий момент (2.5)
Маскировка под зарегистрированного пользователя
Внешним злоумышленником в текущий момент (2.6)
Внутренним злоумышленником, либо производилась в прошлом (2.2)
Использование дефектов программного обеспечения ОИ
Внешним злоумышленником в текущий момент (2.7)
Внутренним злоумышленником, либо производилось в прошлом (2.2)
Использование программных закладок
Внешним злоумышленником в текущий момент (2.8)
Внутренним злоумышленником, либо производилось в прошлом (2.2)
Обнаружение программных вирусов
(2.9)
Хищение носителя защищаемой информации
(2.2)
Нарушение функционирования ТС обработки информации злоумышленником
Производится в текущий момент (2.10)
Обнаружился случившийся факт (2.11)
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку
Производится в текущий момент внешним злоумышленником (2.12)
Производится в текущий момент внутренним злоумышленником (2.13)
Обнаружился случившийся факт (2.14)
Ошибки пользователей системы при эксплуатации программных средств, ТС, средств и систем защиты информации
Ошибка повлекла утерю или повреждение защищаемой информации (2.15)
Ошибка привела к нарушению работоспособности ТС и ПО (2.16)
Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ
(2.17)
Сбои, отказы и аварии систем обеспечения ОИ
(2.18)
Природные явления, стихийные бедствия
Несущие угрозу жизни человека
(2.19)
Не несущие угрозу жизни человека
(2.20)
2.2. Нештатные ситуации, которые повлекли утечку или повреждение защищаемой информации, либо созданы внутренним злоумышленником
При обнаружении нештатных ситуаций, которые повлекли утечку или повреждение защищаемой информации, либо созданы внутренним злоумышленником, создается комиссия.
В первую очередь администратором ИБ ИСПДн предпринимаются действия по сбору и обеспечению сохранности улик незаметно для злоумышленника при нештатных ситуациях, связанных с:
разглашением защищаемой информации;
обнаружением несанкционированно скопированной или измененной защищаемой информации;
обнаружением подключения технических средств к средствам и системам объекта информатизации;
обнаружением закладочных устройств;
маскировкой под зарегистрированного пользователя внутренним злоумышленником или обнаружением факта маскировки в прошлом (как внутренним, так и внешним злоумышленником);
использованием дефектов программного обеспечения ОИ внутренним злоумышленником или обнаружением факта их использования в прошлом (как внутренним, так и внешним злоумышленником);
использованием программных закладок внутренним злоумышленником или обнаружением факта их использования в прошлом (как внутренним, так и внешним злоумышленником);
хищением носителя защищаемой информации.
Комиссия, дополнительно к общему порядку действий (в соответствии с разделом 3), должна:
если это возможно, определить организации, в которые произошла утечка защищаемой информации;
определить возможные контрмеры, призванные уменьшить ущерб от утечки информации.
2.3. Несанкционированное копирование или изменение конфиденциальной информации в текущий момент времени со стороны лиц, имеющих право доступа к ней
В случае обнаружения злоумышленника неправомерно копирующего, либо изменяющего защищаемую информацию выполняются следующие действия.
2.3.1. Первоочередные действия
Администратор ИБ ИСПДн прерывает несанкционированный процесс.
Администратор ИБ ИСПДн блокирует доступ к ИСПДн Министерства для злоумышленника.
Администратор ИБ ИСПДн совместно с ответственным за обеспечение безопасности ПДн Министерства удаляют нарушителя от средств ИСПДн.
Ответственным за обеспечение безопасности ПДн совместно с администратором ИБ ИСПДн предпринимаются действия по сбору и обеспечению сохранности улик.
2.3.2. Последующие действия
Создается комиссия для расследования инцидента.
2.4. Подключение технических средств к средствам и системам ОИ в текущий момент времени
В случае обнаружения злоумышленника, производящего подключение к техническим средствам и системам ОИ в текущий момент времени, выполняются следующие действия.
2.4.1. Первоочередные действия
Администратор ИБ ИСПДн прерывает процесс работы нарушителя.
В случае если нарушитель – пользователь ИСПДн, администратор ИБ ИСПДн блокирует доступ в ИСПДн Министерства для нарушителя.
2.4.2. Последующие действия
Создается комиссия для расследования инцидента.
2.5. Установка закладочных устройств злоумышленником в текущий момент времени
В случае обнаружения злоумышленника, устанавливающего закладочные устройства, выполняются следующие действия.
2.5.1. Первоочередные действия
Администратор ИБ ИСПДн принимает меры к задержанию злоумышленника.
2.5.2. Последующие действия
Создается комиссия для расследования инцидента.
2.6. Маскировка под зарегистрированного пользователя внешним злоумышленником в текущий момент времени
В случае обнаружения внешнего злоумышленника, маскирующегося под зарегистрированного пользователя, выполняются следующие действия.
2.6.1. Первоочередные действия
Администратор ИБ ИСПДн блокирует доступ к ИСПДн Министерства для злоумышленника.
2.6.2. Последующие действия
Создается комиссия для расследования инцидента.
2.7. Использование дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени
В случае обнаружения использования дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени выполняются следующие действия.
2.7.1. Первоочередные действия
Администратор ИБ ИСПДн блокирует доступ из внешних сетей к оборудованию, на котором используется уязвимое ПО.
2.7.2. Последующие действия
Создается комиссия для расследования инцидента.
2.8. Использование программных закладок внешним нарушителем в текущий момент времени
В случае обнаружения использования программной закладки внешним нарушителем в текущий момент времени выполняются следующие действия.
2.8.1. Первоочередные действия
Администратор ИБ ИСПДн блокирует доступ из внешних сетей к оборудованию, на котором установлена программная закладка.
2.8.2. Последующие действия
Администратор ИБ ИСПДн определяет возможный ущерб, нанесенный программной закладкой.
Администратор ИБ ИСПДн проводит мероприятия по обнаружению внедренных программных закладок и их нейтрализации, планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента.
Составляется акт об инциденте.
2.9. Обнаружение программных вирусов
В случае обнаружения программных вирусов выполняются действия, предусмотренные Инструкцией по антивирусной защите.
2.10. Нарушение функционирования ТС обработки информации в текущий момент времени злоумышленником
В случае обнаружения злоумышленника, нарушающего функционирование ТС обработки информации в текущий момент времени, выполняются следующие действия.
2.10.1. Первоочередные действия
Администратор ИБ ИСПДн принимает меры по немедленному удалению злоумышленника от средств вычислительной техники.
В случае если злоумышленник является пользователем системы, Администратор ИБ ИСПДн блокирует доступ к ИСПДн Министерства для злоумышленника.
2.10.2. Последующие действия
В случае наличия повреждений Администратор ИБ ИСПДн определяет ущерб, нанесенный ТС и информации.
Администратор ИБ ИСПДн производит восстановление работоспособности системы.
Создается комиссия для расследования инцидента.
2.11. Обнаружение нарушения функционирования ТС обработки информации, произведенного злоумышленником
В случае обнаружения нарушений в функционировании ТС обработки информации, выполняются следующие действия.
Администратор ИБ ИСПДн определяет возможный круг лиц, причастных к нарушению функционирования ТС, определяет объем повреждений техническим и информационным ресурсам.
Администратор ИБ ИСПДн производит восстановление работоспособности системы.
Создается комиссия для расследования инцидента.
2.12. Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внешним злоумышленником в текущий момент времени
В случае обнаружения внешней атаки, направленной на блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку в текущий момент времени, выполняются следующие действия.
2.12.1. Первоочередные действия
Администратор ИБ ИСПДн выявляет источник ложных заявок.
Администратор ИБ ИСПДн вырабатывает решение по блокированию потока ложных заявок и реализует выбранное решение.
2.12.2. Последующие действия
Администратор ИБ ИСПДн уведомляет провайдера, от которого идут ложные заявки, планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента.
Администратор ИБ ИСПДн составляет акт об инциденте.
2.13. Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внутренним злоумышленником в текущий момент времени
В случае обнаружения внутренней атаки, направленной на блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку в текущий момент времени, выполняются следующие действия:
Администратор ИБ ИСПДн выявляет источник ложных заявок и блокирует доступ к ИСПДн Министерства для злоумышленника.
Создается комиссия для расследования инцидента.
2.14. Блокировка доступа к защищаемой информации, произошедшая в прошлом
При обнаружении факта блокировки доступа к защищаемой информации, произошедшей в прошлом, выполняются следующие действия.
Администратор ИБ ИСПДн выявляет источник ложных заявок.
В случае если злоумышленник является внешним, администратор ИБ ИСПДн уведомляет провайдера, от которого идут ложные заявки. Планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента.
В случае если злоумышленник является внешним, администратор ИБ ИСПДн составляет акт об инциденте.
Создается комиссия для расследования инцидента.
2.15. Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации
В случае обнаружения ошибок пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации, выполняются следующие действия.
2.15.1. Первоочередные действия
Администратор ИБ ИСПДн проводит анализ и идентификацию причин инцидента.
В случае возможности злоумышленных действий выполняется последовательность действий, предусмотренная в соответствующем разделе Инструкции.
Администратор ИБ ИСПДн определяет ущерб, нанесенный нештатной ситуацией.
Администратор ИБ ИСПДн проводит мероприятия по восстановлению работоспособности системы и информации.
2.15.2. Последующие действия
Проводится проверка знаний сотрудника, виновного в инциденте, а в случае необходимости его обучение.
Администратор ИБ ИСПДн составляет акт об инциденте, в случае необходимости выносит предложение Руководителю Министерства о применении дисциплинарной меры в отношении нарушителя.
2.16. Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО
В случае обнаружения ошибок пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО, выполняются следующие действия.
2.16.1. Первоочередные действия
Администратор ИБ ИСПДн проводит анализ и идентификацию причин инцидента.
В случае возможности злоумышленных действий выполняется последовательность действий, предусмотренная в соответствующем разделе Инструкции.
2.16.2. Последующие действия
Администратор ИБ ИСПДн определяет ущерб, нанесенный нештатной ситуацией, восстанавливают работоспособность системы.
Администратор ИБ ИСПДн составляет акт об инциденте, в случае необходимости выносит предложение Руководителю Министерства о применении дисциплинарной меры в отношении нарушителя.
Проводится проверка знаний сотрудника виновного в инциденте, а в случае необходимости его обучение.
2.17. Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ
В случае возникновения дефектов, сбоев, отказов, аварий ТС и систем ОИ выполняются следующие действия.
2.17.1. Первоочередные действия
Администратор ИБ ИСПДн выявляют возможные причины проявления дестабилизирующих факторов.
В случае наличия злоумышленных действий выполняется порядок действий в соответствии с приложением 1.
2.17.2. Последующие действия
Администратор ИБ ИСПДн восстанавливает работоспособность систем.
В случае потери данных администратором ИБ ИСПДн по возможности проводится восстановление их из резервных копий.
Администратором ИБ ИСПДн производится составление акта.
2.18. Сбои, отказы и аварии систем обеспечения ОИ
В случае сбоев, отказов и аварий систем электроснабжения, вентиляции, других обеспечивающих инженерных систем выполняется следующая последовательность действий.
В случае если наблюдается продолжительное отключение электропитания. Администратором ИБ ИСПДн производится отключение ТС до момента истечения резервов системы бесперебойного питания.
Ответственным за материально-техническое обеспечение организуются работы по максимально быстрому восстановлению систем обеспечения.
В случае потери защищаемых данных Администратором ИБ ИСПДн по возможности проводится восстановление их из резервных копий.
Администратором ИБ и ответственным за материально-техническое обеспечение производится составление акта.
2.19. Природные явления, стихийные бедствия, несущие угрозу жизни человека
В случае проявления стихийных бедствий и природных явлений, которые несут угрозу жизни человека, выполняются следующие действия:
Все сотрудники (руководители подразделений в том числе) обязаны личные реквизиты защиты (например, металлические и/или электронные ключи, карты-идентификаторы, ключевые дискеты, печати и пр.) собрать и упаковать в водонепроницаемый пакет (непосредственный руководитель обеспечивает заранее) и лично обеспечивать сохранность этого пакета во время эвакуации.
По «Списку имущества и(или) документов в личном пользовании сотрудника, подлежащего эвакуации в первую очередь» (разрабатываются сотрудниками заранее и постоянно хранятся на рабочем месте) произвести сбор, упаковку, опись (в двух экз. – 1 экз. в тару) документов и технических средств в водонепронецаемую тару (обеспечивает заранее непосредственный руководитель). Упакованное имущество сотрудник передает под роспись (на своем экз. описи) лицам, обеспечивающим доставку имущества на эвакопункт, иначе - лично сопровождает груз во время его транспортировки.
Сотрудник вкладывает в вышеназванный пакет картонную табличку с указанием текущей даты, своих персональных данных (ФИО, наименование организации, номер служебного телефона) и содержащую опись содержимого пакета, заверенную собственноручной подписью.
Руководители обязаны собрать в помещениях подразделения и лично упаковать, (и далее лично хранить, как свои) реквизиты защиты и документы (согласно спискам первой очереди) тех сотрудников, которых на момент эвакуации нет на рабочем месте (болезнь, командировка, учеба, отпуск и т.д.).
Руководители обязаны:
при подготовке к эвакуации проверить обеспеченность (а при отсутствии – обеспечить) сотрудников подразделения и/или администраторов упаковочным материалом, списками документов, дел и имущества, подлежащих эвакуации в первую очередь;
перед выездом в эвакопункт – проконтролировать исполнение задач эвакуации, приняв соответствующие доклады от сотрудников о готовности к эвакуации, провести выборочную проверку готовности (комплектности) документов, дел, имущества подразделения и/или ИСПДн к эвакуации.
2.20. Природные явления, стихийные бедствия, не несущие угрозу жизни человека
В случае проявления стихийных бедствий и природных явлений, которые не несут угрозу жизни и/или человека, выполняются следующие действия:
Сотрудники Министерства выключают свои персональные компьютеры.
Администратор ИБ ИСПДн выключает серверы и сетевое оборудование.
Администратор ИБ ИСПДн принимает меры к эвакуации резервных копий с информацией, системных блоков компьютеров, содержащих особо ценную информацию, документов и другого имущества. В первую очередь эвакуируется имущество по «Списку имущества и(или) документов в личном пользовании сотрудника, подлежащего эвакуации в первую очередь».
В случае локальных пожаров и частичных затоплений Ответственным за материально-техническое обеспечение организуются работы по ликвидации нештатной ситуации и ее последствий.
3. ПроВЕДЕние расследований
Для расследования опасных ситуаций в случаях, предусмотренных настоящей Инструкцией может создаваться комиссия. В состав комиссии должны входить:
председатель;
ответственный за обеспечение безопасности ПДн;
администратор ИБ ИСПДн;
администратор ИСПДн;
юрист;
другие лица по решению председателя комиссии.
Деятельность комиссии должна по возможности происходить в режиме конфиденциальности.
В общем случае комиссия проводит:
анализ и идентификацию причин инцидента, определение виновных;
определение ущерба, нанесенного нештатной ситуацией;
планирование мер для предотвращения повторения, нейтрализации последствий (если это возможно);
анализ и сохранение доказательств, следов инцидента, улик и свидетельств;
определение меры взыскания с виновного;
взаимодействие, при необходимости с правоохранительными органами.
При сохранении улик, если есть возможность, Администратором ИБ ИСПДн производится резервное копирование системной и защищаемой информации технических средств, вовлеченных в инцидент, включая логи (контрольные записи).
По результатам деятельности комиссии составляется акт с описанием ситуации. К акту прилагаются поясняющие материалы (копии экрана, распечатки журнала событий, и др.).
По результатам расследования администраторами организуются мероприятия по реализации предложенных комиссией мер для предотвращения либо уменьшения вероятности проявления, подобных инцидентов в дальнейшем.
При проведении расследований, кроме того, необходимо ответить на следующие вопросы:
можно ли было предупредить нештатную ситуацию?
вызвана ли она слабостью средств защиты и регистрации?
это первая кризисная ситуация такого рода?
достаточно ли имеющегося резерва?
есть ли необходимость пересмотра системы защиты?
есть ли необходимость пересмотра настоящей инструкции?
4. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственными за постоянный контроль выполнения требований данной Инструкции являются:
администратор ИБ ИСПДн в части задач, возложенных на него настоящей инструкцией;
ответственный за обеспечение безопасности ПДн в части общего контроля информационной безопасности;
ответственный за материально-техническое обеспечение, в части задач, возложенных на него настоящей инструкцией.
5. Порядок замещения ответственных лиц
В случае отсутствия кого-либо из ответственных лиц при нештатной ситуации (отпуск, болезнь и т.п.) производится их замещение в соответствии с последовательностями, определенными ниже. Ответственное лицо замещает следующий идущий по списку сотрудник.
Ответственные за информационную безопасность и ИСПДн
Администратор ИБ ИСПДн;
Ответственный за обеспечение безопасности ПДн;
Администратор ИСПДн;
Руководитель Министерства.
Ответственные за материально-техническое обеспечение
Администратор ИБ ИСПДн;
Ответственный за обеспечение безопасности ПДн;
Администратор ИСПДн;
Руководитель Министерства.
6. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении приоритетов угроз безопасности ИСПДн Министерства, кроме того, полный плановый пересмотр данного документа проводится регулярно, не реже одного раза в год, с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Инструкция подлежит частичному пересмотру в следующих случаях:
при изменении местоположения, состава и объема информационных ресурсов, подлежащих резервному копированию;
при определении такой необходимости комиссией по результатам расследования нештатной ситуации;
в целях повышения эффективности мероприятий, определенных в настоящей инструкции;
при изменении состава, обязанностей и полномочий должностных лиц Министерства, которые задействованы в мероприятиях настоящей Инструкции.
Полный пересмотр данного документа проводится администратором ИБ ИСПДн, ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Министерства.
Частичный пересмотр данного документа проводится администратором ИБ ИСПДн. Частичный пересмотр должен проводиться регулярно, не реже одного раза в полгода. При этом могут быть добавлены, удалены или изменены приложения Инструкции с обязательным указанием оснований и внесенных изменений в «Листе регистрации изменений в Инструкции» (Приложение 3) без переутверждения всей Инструкции.
Стр.1
ПРИЛОЖЕНИЕ 1. ПЛАН ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ
Тип кризисной ситуации
Критерии кризисной ситуации
Кому [1]и в какие сроки докладывается
Срок реализации первоочередных действий
Максимальное время для выполнения всех мероприятий
В рабочее время
В нерабочее время
Неправомерные действия со стороны лиц допущенных к защищаемой информации
Разглашение защищаемой информации сотрудниками, имеющими к ней право доступа
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Обнаружение несанкционированно скопированной или измененной конфиденциальной информации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Несанкционированное копирование или изменение конфиденциальной информации в текущий момент времени со стороны лиц имеющих право доступа к ней
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Несанкционированный доступ к информации
Обнаружение подключения технических средств к средствам и системам объекта информатизации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Подключение технических средств к средствам и системам ОИ в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Обнаружение закладочных устройств
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Установка закладочных устройств злоумышленником в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Маскировка под зарегистрированного пользователя внешним злоумышленником в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
5 минут в рабочее время (1 час в нерабочее)
Маскировка под зарегистрированного пользователя внутренним злоумышленником или обнаружением факта маскировки
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Использование дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Использование программных закладок внешним нарушителем в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Использование программных закладок внутренним злоумышленником или обнаружение факта использования
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Обнаружение программных вирусов
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
12 часов
Хищение носителя защищаемой информации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Нарушение функционирования ТС обработки информации в текущий момент времени злоумышленником
Нарушена работа одного пользователя
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
2 дня
Нарушена работа группы пользователей
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
1 день
Обнаружение нарушения функционирования ТС обработки информации произведенного злоумышленником
Нарушена работа одного пользователя
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
2 дня
Нарушена работа группы пользователей
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
1 день
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внешним злоумышленником в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
20 минут в рабочее время (1 час в нерабочее)
7 дней
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внутренним злоумышленником в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
20 минут в рабочее время (1 час в нерабочее)
1 день
Обнаружение произошедшего факта блокировки доступа к защищаемой информации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
1 день
Ошибки пользователей системы
Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
2 часа в рабочее время (12 часов в нерабочее)
1 день
Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО
Нарушена работа одного пользователя
Администратору ИБ ИСПДн сразу после инцидента
Администратору ИБ ИСПДн в первый рабочий день после инцидента
20 минут
2 дня
Нарушена работа группы пользователей
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
20 минут
1 день
Объективные факторы
Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ
Сбой ТС и систем ОИ
Администратору ИБ ИСПДн сразу после инцидента
Администратору ИБ ИСПДн сразу после инцидента
1 час
2 дня
Отказ ТС и систем ОИ, затронувший работу группы пользователей
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
1 час в рабочее время (8 часов в нерабочее)
1 день
Отказ ТС и систем ОИ, затронувший работу одного пользователя
Администратору ИБ ИСПДн сразу после инцидента
Администратору ИБ ИСПДн в первый рабочий день после инцидента
1 час
2 дня
Авария ТС и систем ОИ
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
1 час
1 день
Сбои, отказы и аварии систем обеспечения ОИ
Сбой систем обеспечения ОИ
Ответственному за материально-техническое обеспечение сразу после инцидента
Ответственному за материально-техническое обеспечение в первый рабочий день после инцидента
Отказ систем обеспечения ОИ, затронувший работу группы пользователей
Ответственному за материально-техническое обеспечение и Администратору ИБ ИСПДн сразу после обнаружения инцидента
Ответственному за материально-техническое обеспечение и Администратору ИБ ИСПДн сразу после обнаружения инцидента
1 день
Отказ систем обеспечения ОИ, затронувший работу одного пользователя
Ответственному за материально-техническое обеспечение сразу после инцидента
Ответственному за материально-техническое обеспечение в первый рабочий день после инцидента
2 дня
Авария систем обеспечения ОИ
Ответственному за материально-техническое обеспечение, Администратору ИБ ИСПДн сразу после обнаружения инцидента
Ответственному за материально-техническое обеспечение, Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
1 день
Природные явления, стихийные бедствия, несущие угрозу жизни человека
Руководителю, заместителям Руководителю, которые оповещают всех своих сотрудников сразу после получения информации
Руководителю, заместителям Руководителю, которые оповещают всех своих сотрудников сразу после получения информации
30 минут
Природные явления, стихийные бедствия, не несущие угрозу жизни человека
Руководителю, заместителям Руководителю, Администратору ИБ ИСПДн
Руководителю, заместителям Руководителю, Администратору ИБ ИСПДн
30 минут
Инструкция по действиям персонала в нештатных ситуациях
ПРИЛОЖЕНИЕ 2. ЖУРНАЛ УЧЕТА НЕШТАТНЫХ СИТУАЦИЙ
ЖУРНАЛ
учета нештатных ситуаций
№ п/п
Дата, ИСПДн, ПЭВМ,
описание ситуации, выполненные работы
Подпись исполнителя
Подпись администратора
ПРИЛОЖЕНИЕ 3. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с Инструкцией по действиям пользователей информационных систем персональных данных Министерства промышленной политики Республики Крым в нештатных ситуациях
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 6
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
Инструкция
по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
Содержание
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. Порядок проведения работ
3. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
4. ОТВЕТСТВЕННЫЕ ЗА Организацию и контроль ВЫПОЛНЕНИя ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1. ЗАЯВКА НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ
ПРИЛОЖЕНИЕ 2. АКТ ЗАТИРАНИЯ ИНФОРМАЦИИ
ПРИЛОЖЕНИЕ 3. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных (ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство), включает в себя описание комплекса организационно-технических мер по проведению работ по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИСПДн.
Требования настоящей Инструкции распространяются на всех должностных лиц и сотрудников подразделений Министерства, использующих в работе ИСПДн, в которых осуществляется обработка информации ограниченного доступа, не составляющей государственной тайны.
Должностные лица Министерства, задействованные в обеспечении функционирования ИСПДн Министерства, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
Ознакомление с требованиями Инструкции пользователей ИСПДн осуществляет администратор информационной безопасности (ИБ) ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.
Непосредственное исполнение настоящей Инструкции определяется администратором (ИБ) ИСПДн по согласованию с ответственным за обеспечение безопасности персональных данных (ПДн) Министерства.
2. Порядок проведения работ
Все изменения конфигурации технических и программных средств рабочих станций Министерства должны производиться только на основании заявок руководителей структурных подразделений Министерства (Приложение 1), согласованных с Руководителем Министерства. Производственная необходимость проведения указанных в заявке изменений подтверждается подписью руководителя структурного подразделения.
В заявке указываются наименование персональной электронной вычислительной машины (ПЭВМ) и ответственный за нее сотрудник. После чего заявка передается администратору ИБ ИСПДн для исполнения работ по внесению изменений в конфигурацию ПЭВМ ИСПДн Министерства.
Право внесения изменений в конфигурацию аппаратно-программных средств рабочих станций ИСПДн Министерства предоставляется администратору ИБ ИСПДн, а также ответственному за обеспечение безопасности ПДн. Изменение конфигурации аппаратно-программных средств рабочих станций и серверов кем-либо без согласования с администратором ИБ ИСПДн и/или ответственным за обеспечение безопасности ПДн, ЗАПРЕЩЕНО.
Установка и настройка программного средства осуществляется администратором ИБ ИСПДн согласно эксплуатационной документации.
Запрещается установка и использование на ПЭВМ (серверах) программного обеспечения (ПО), не входящего в перечень программного обеспечения, разрешенного к использованию в Министерства.
Руководители структурных подразделений осуществляют контроль за отсутствием на ПЭВМ сотрудников подразделения программного обеспечения и данных, не связанных с выполнением должностных обязанностей.
Установка (обновление) ПО (системного, тестового и т.п.) на средствах вычислительной техники производится с эталонных копий программных средств, хранящихся у администратора ИСПДн. Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также отсутствие вредоносного программного кода в соответствии с «Инструкцией по организации антивирусной защиты ИСПДн Министерства».
После установки (обновления) ПО администратор ИБ ИСПДн должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства) в соответствии с требованиями к системе защиты информации и, совместно с пользователем ПЭВМ, проверить правильность настройки средств защиты.
В случае обнаружения недекларированных (не описанных в документации) возможностей программного средства, сотрудники немедленно докладывают руководителю своего подразделения и администратору ИБ ИСПДн. Использование программного средства до получения специальных указаний ЗАПРЕЩАЕТСЯ.
После завершения работ по внесению изменений в состав аппаратных средств, защищенных ПЭВМ системный блок должен быть опечатан (опломбирован, защищен специальной наклейкой) администратором ИБ ИСПДн.
При изъятии ПЭВМ из состава рабочих станций, обрабатывающих защищаемую информацию, ее передача на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после того, как администратор ИБ ИСПДн снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания (уничтожения) защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора ИСПДн. Форма Акта приведена в Приложении 2.
Допуск новых пользователей к решению задач с использованием вновь развернутого ПО (либо изменение их полномочий доступа) осуществляется согласно «Инструкции по внесению изменений в списки пользователей системы и наделению пользователей полномочиями доступа к ресурсам ИСПДн Министерства».
Оригиналы заявок (документов), на основании которых производились изменения в составе технических или программных средств ПЭВМ с отметками о внесении изменений в состав аппаратно-программных средств должны храниться у администратора ИБ ИСПДн.
3. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Полный пересмотр данного документа проводится ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Форма регистрации изменений в Инструкции представлена в Приложении 3.
Вносимые изменения не должны противоречить другим положениям Инструкции.
4. ОТВЕТСТВЕННЫЕ ЗА Организацию и контроль ВЫПОЛНЕНИя ИНСТРУКЦИИ
Ответственность за организацию контрольных и проверочных мероприятий по вопросам установки, модификации технических и программных средств возлагается на администратора ИБ ИСПДн.
Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1. ЗАЯВКА НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ
Министру промышленной политики
Республики Крым
(резолюция)
ЗАЯВКА
на внесение изменений в состав программного (аппаратного) обеспечения
(ненужное зачеркнуть)
_____________________________________________________________________________
(Наименование ПЭВМ)
Прошу дать указания ответственным сотрудникам для организации установки (изменения настроек)
(ненужное зачеркнуть)
(перечень ПО (аппаратных средств) и необходимых настроек)
для решения задач:
следующим пользователям:
(фамилия, имя, отчество)
Начальник
______________________________________________________ (наименование структурного подразделения)
«___» __________ 201__ г.
_____________________
(подпись)
____________________(Фамилия, инициалы)
Оборотная сторона заявки
Изменения на ПЭВМ ИСПДн произведены (не произведены) по следующей причине: (ненужное зачеркнуть)
Выполнены следующие работы:
Выполнены следующие изменения в настройках средств защиты:
Администратор ИБ ИСПДн
«___» __________ 201__ г.
_________________________
(подпись)
______________________
(фамилия, инициалы)
ПРИЛОЖЕНИЕ 2. АКТ ЗАТИРАНИЯ ИНФОРМАЦИИ
АКТ
затирания остаточной информации, хранившейся на диске компьютера
Все файлы, содержащие подлежащую защите информацию, находившиеся на НЖМД
____________________________________________________________________________________, (модель, серийный номер)
передаваемого
(с какой целью)
(кому: должность, Ф.И.О.)
ПЭВМ:
(наименование ПЭВМ)
уничтожены (затерты) посредством программы ________________________________.
Администратор ИБ ИСПДн
«___» __________ 201__ г.
_________________________
(подпись)
______________________
(фамилия, инициалы)
ПРИЛОЖЕНИЕ 3. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных
средств информационных систем персональных данных
Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 7
к приказу Министерства промышленной
политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
Инструкция
по организации антивирусной защиты информационных систем персональных данных Министерства промышленной политики Республики Крым
г. Симферополь
2017 г.
Список сокращений
ИСПДн
Информационная система персональных данных
ИБ
Информационная безопасность
ПДн
Персональные данные
ПО
Программное обеспечение
ПЭВМ
Персональная электронная вычислительная машина
САЗ
Система антивирусной защиты
СВТ
Средства вычислительной техники
Содержание
1. ОБЩИЕ ПОЛОЖЕНИЯ
2.Применение средств антивирусной защиты
3.Функции Администратора ИСПДн по обеспечению антивирусной безопасности
4.Функции пользователей
5.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
6.ОТВЕТСТВЕННЫЕ ЗА Организацию и контроль ВЫПОЛНЕНИя ИНСТРУКЦИ
ПРИЛОЖЕНИЕ 1 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Инструкция по организации антивирусной защиты информационных систем персональных данных Министерства промышленной политики Республики Крым (далее – Министерство) определяет требования к организации защиты информационных систем персональных данных (далее ИСПДн) от разрушающего воздействия компьютерных вирусов и другого вредоносного программного обеспечения (ПО) и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих ИСПДн, за их выполнение.
1.2. Требования настоящей Инструкции распространяются на всех должностных лиц и сотрудников подразделений Министерства, использующих в работе ИСПДн Министерства.
1.3. В целях закрепления знаний по вопросам практического исполнения требований Инструкции, разъяснения возникающих вопросов, проводятся организуемые администратором информационной безопасности (ИБ) ИСПДн семинары и персональные инструктажи (при необходимости) пользователей ИСПДн Министерства.
1.4. Доведение Инструкции до сотрудников Министерства в части их касающейся осуществляется администратором ИБ ИСПДн под роспись в журнале или на самом документе.
2. Применение средств антивирусной защиты
2.1. Антивирусный контроль дисков и файлов ИСПДн после загрузки компьютера должен проводиться в автоматическом режиме (периодическое сканирование или мониторинг).
2.2. Периодически, не реже одного раза в неделю, должен проводиться полный антивирусный контроль всех дисков и файлов ИСПДн (сканирование).
2.3. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая информация по телекоммуникационным каналам связи, на съемных носителях (магнитных дисках, CD-ROM и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема. Контроль исходящей информации необходимо проводить непосредственно перед отправкой (записью на съемный носитель).
2.4. Установка (обновление и изменение) системного и прикладного программного обеспечения осуществляется в соответствии с «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИСПДн Министерства».
2.5. Обновление антивирусных баз должно проводиться регулярно, но не реже, чем 1 раз в неделю.
3. Функции Администратора ИСПДн по обеспечению антивирусной безопасности
Администратор ИБ ИСПДн обязан:
3.1. При необходимости проводить инструктажи пользователей ИСПДн по вопросам применения средств антивирусной защиты.
3.2. Настраивать параметры средств антивирусного контроля в соответствии с руководствами по применению конкретных антивирусных средств.
3.3. Предварительно проверять устанавливаемое (обновляемое) программное обеспечение на отсутствие вирусов.
3.4. При необходимости производить обновление антивирусных программных средств.
3.5. Производить получение и рассылку (при необходимости) обновлений антивирусных баз.
3.6. При необходимости разрабатывать инструкции по работе пользователей с программными средствами САЗ.
3.7. Проводить работы по обнаружению и обезвреживанию вирусов.
3.8. Участвовать в работе комиссии по расследованию причин заражения ПЭВМ и серверов.
3.9. Хранить эталонные копии антивирусных программных средств.
3.10. Осуществлять периодический контроль за соблюдением пользователями ПЭВМ требований настоящей Инструкции;
3.11. Разрабатывать инструкции по работе пользователей с системой антивирусной защиты информации.
3.12. Проводить периодический контроль работы программных средств системы антивирусной защиты информации на ПЭВМ (серверах).
4. Функции пользователей
Пользователи ИСПДн:
4.1. Получают по ЛВС или от администратора ИБ ИСПДн носители с обновлениями антивирусных баз (в случае отсутствия механизмов централизованного распространения антивирусных баз).
4.2. Проводят обновления антивирусных баз на ПЭВМ (в случае отсутствия механизмов централизованного распространения антивирусных баз).
4.3. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник подразделения самостоятельно или вместе с администратором ИБ ИСПДн должен провести внеочередной антивирусный контроль ПЭВМ. При необходимости он должен привлечь администратора ИБ ИСПДн для определения факта наличия или отсутствия компьютерного вируса.
4.4. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники подразделений обязаны:
приостановить работу;
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя подразделения и администратора ИБ ИСПДн, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь администратора ИБ ИСПДн);
в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, передать зараженный вирусом файл на съемном носителе администратору ИБ ИСПДн для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку;
по факту обнаружения зараженных вирусом файлов составить служебную записку администратору ИБ ИСПДн, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации и выполненные антивирусные мероприятия.
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
5.1. Инструкция подлежит полному пересмотру в случае приобретения Министерством новых средств защиты, существенно изменяющих порядок работы с ними.
5.2. В остальных случаях Инструкция подлежит частичному пересмотру.
5.3. Полный пересмотр данной Инструкции проводится с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Министерства.
5.4. Изменения в Инструкции (сведения о них) фиксируется в листе регистрации изменений (Приложение 2).
5.5. Вносимые изменения не должны противоречить другим положениям Инструкции. При получении изменений к данному Инструкции, руководители подразделений Министерства в течение трех рабочих дней вносят свои предложения и/или замечания к поступившим изменениям.
6. ОТВЕТСТВЕННЫЕ ЗА Организацию и контроль ВЫПОЛНЕНИя ИНСТРУКЦИИ
6.1. Ответственность за организацию контрольных и проверочных мероприятий по вопросам антивирусной защиты возлагается на администратора ИБ ИСПДн.
6.2. Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
ЛИСТ № _____ регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
Лист ознакомления
с Инструкцией по организации антивирусной защиты информационных систем персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия И.О. сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 8
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
по резервному копированию защищаемой информации в информационных системах персональных данных Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
СОДЕРЖАНИЕ
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.ПЕРИОДИЧНОСТЬ И СХЕМА РЕЗЕРВНОГО КОПИРОВАНИ
3.ПОРЯДОК РЕЗЕРВНОГО КОПИРОВАНИЯ
4.ХРАНЕНИЕ РЕЗЕРВНЫХ КОПИЙ
5.ВОССТАНОВЛЕНИЕ ПОСЛЕ СБОЯ
6.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
7.ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1 ФОРМА РЕГЛАМЕНТА РЕЗЕРВНОГО КОПИРОВАНИЯ
ПРИЛОЖЕНИЕ 2 ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий документ определяет порядок осуществления резервного копирования информационных ресурсов информационных систем персональных данных (ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство).
Процесс резервного копирования обеспечивает сохранение на резервных носителях информации, с целью ее восстановления при потере или порче на основном носителе, и является ключевым элементом защиты от умышленной и неумышленной потери данных.
Конкретные информационные ресурсы, подлежащие резервному копированию, порядок их копирования приводится в «Регламенте резервного копирования» (далее – Регламент), являющимся приложением к настоящей инструкции.
Регламент составляется администратором информационной безопасности (ИБ) ИСПДн Министерства в соответствии с положениями данной Инструкции.
Регламент должен содержать перечень информационных ресурсов, подлежащих резервному копированию, и график осуществления резервного копирования, составленный с учетом требований начальников структурных подразделений и администратора ИБ ИСПДн.
Форма Регламента представлена в Приложении 1.
Резервное копирование осуществляется администратором ИБ ИСПДн и контролируется ответственным за обеспечение безопасности персональных данных (ПДн) Министерства.
Должностные лица Министерства, задействованные в осуществлении резервного копирования информационных ресурсов ИСПДн Министерства, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
2. ПЕРИОДИЧНОСТЬ И СХЕМА РЕЗЕРВНОГО КОПИРОВАНИЯ
При осуществлении резервного копирования используется два типа копирования: полное резервное копирование и инкрементальное резервное копирование.
Резервное копирование информационных ресурсов ИСПДн Министерства осуществляется по трехуровневой схеме ротации.
В соответствии с трехуровневой схемой ротации:
- полное резервное копирование информационных ресурсов выполняется 15-16 числа каждого месяца (архив хранится в течение года и является архивом Уровня 1);
- полное резервное копирование информационных ресурсов выполняется в конце каждой недели (в пятницу) (архив хранится в течение календарного месяца и является архивом Уровня 2);
- полное резервное копирование информационных ресурсов выполняется в начале каждой недели (в ночь с воскресенья на понедельник), затем ежедневно на эту копию выполняется инкрементальное копирование (архив хранится в течение недели и является архивом Уровня 3).
3. ПОРЯДОК РЕЗЕРВНОГО КОПИРОВАНИЯ
Администратор ИБ ИСПДн настраивает задания для ПО, осуществляющего резервное копирование, на автоматическое выполнение в соответствии с перечнем информационных ресурсов, подлежащих резервному копированию и графиком резервного копирования.
Перед выполнением задания резервного копирования администратор ИБ ИСПДн проверяет доступность резервного носителя, а также наличие на нем свободного места для записи данных.
4. ХРАНЕНИЕ РЕЗЕРВНЫХ КОПИЙ
Хранение резервных копий должно быть организовано в помещении, оснащенном соответствующими системами вентиляции, кондиционирования и отопления для поддержки требуемых параметров температуры, влажности и т.п.
Доступ к хранилищу резервных копий должны иметь только администратор ИБ ИСПДн, администратор ИСПДн и ответственный за обеспечение безопасности ПДн.
5. ВОССТАНОВЛЕНИЕ ПОСЛЕ СБОЯ
В случае потери данных на основном носителе из хранилища извлекается резервная копия информационных ресурсов, нуждающихся в восстановлении, от последнего произведенного резервного копирования.
В зависимости от характера и уровня повреждения информационных ресурсов, администратор ИБ ИСПДн восстанавливает либо весь массив резервных данных, либо отдельные поврежденные или уничтоженные файлы и папки.
6. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Полный плановый пересмотр данного документа также проводится регулярно, раз в год, с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Частичный пересмотр данного документа проводится по письменному предложению администратора ИБ ИСПДн. Форма регистрации изменений в Инструкции представлена в Приложении 2.
Вносимые изменения не должны противоречить другим положениям Инструкции.
7. ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственность за выполнение резервного копирования и восстановление данных из резервных копий, а также за соблюдение периодичности и порядка выполнения резервного копирования возлагается на администратора ИБ ИСПДн, а в случае его отсутствия на администратора ИСПДн.
Ответственным за постоянный контроль выполнения требований данной Инструкции является ответственный за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1 ФОРМА РЕГЛАМЕНТА РЕЗЕРВНОГО КОПИРОВАНИЯ
Инф. ресурсы
Уровень копирования
Тип резервного носителя
Средства копирования
Время копирования
Форма отчетности
Место хранения копии
Ресурс 1
Уровень 1
Уровень 2
Уровень 3
Ресурс 2
Уровень 1
Уровень 2
Уровень 3
Ресурс 3
Уровень 1
Уровень 2
Уровень 3
ПРИЛОЖЕНИЕ 2 ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
Лист ознакомления с Инструкцией по резервному копированию защищаемой информации в информационных системах персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 9
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
по порядку проведения проверок состояния защиты персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ определяет порядок проведения проверок состояния защиты персональных данных (ПДн) Министерства промышленной политики Республики Крым (далее – Министерство).
1.2. Проведение проверок состояния защиты ПДн осуществляется в целях выявления нарушений требований нормативной документации, установление причин нарушений, разработка плана корректирующих действий, направленных на устранение и предотвращение нарушений.
1.3. Проверки осуществляются администратором информационной безопасности (ИБ) информационных систем персональных данных (ИСПДн), ответственным за обеспечение безопасности ПДн, а также руководителями структурных подразделений в непосредственно подчиненных им подразделениях.
1.4. Должностные лица Министерства, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
2. Порядок проведения Внутрених проверок
2.1. При проведении внутренней проверки производиться:
– проверка соблюдения требований по обработке и защите персональных данных;
– проверка соблюдения условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
– проверка эффективности средств защиты ПДн.
2.2. Приказом назначается рабочая группа (комиссия) по проведению проверок состояния защиты ПДн.
2.3. Внутренние проверки проводятся в соответствии с планом внутренних проверок состояния защиты ПДн (далее План). План формируется в конце текущего года на последующий. Форма Плана представлена в Приложении 1.
2.4. План составляется администратором информационной безопасности (ИБ) ИСПДн Министерства в соответствии с положениями данной Инструкции.
2.5. План должен содержать перечень мероприятий по проверке, перечень проверяемых подразделений и сроки проведения проверок, составленные с учетом требований начальников структурных подразделений, ответственного за обеспечение безопасности ПДн и администратора ИБ ИСПДн.
2.6. Внеплановые проверки могут проводиться в случаях получения жалоб, выявления нарушений системы защиты и подготовки к контролю со стороны уполномоченных федеральных органов, регулирующих деятельность в сфере обработки персональных данных.
2.7. На основании утвержденного плана внутренних проверок администратором ИБ ИСПДн составляется приказ о проведении проверки деятельности структурного подразделения Министерства. Приказ издается не позднее, чем за десять дней до даты проверки.
2.8. В ходе работы в проверяемых подразделениях должна быть получена объективная и полная информация по состоянию защиты ПДн.
2.9. Проверяющие имеют право, осматривать помещения, где производится обработка ПДн, получать доступ к техническим средствам, участвующим в обработке ПДн, просматривать настройки СЗИ, а также проводить беседы и консультации с работниками структурных подразделений. Требовать предоставления письменных объяснений, справок, отчетов по вопросам, относящимся к предмету проверки.
2.10. При проведении проверок в общем случае должно проверяться:
наличие установленных средств защиты информации;
корректность настроек средств защиты информации;
выполнение пользователями и администраторами требований инструктивных материалов по защите ПДн;
исполнение требований к процедурам обработки ПДн (уничтожению ПДн, сбору согласий, допуску персонала к ПДн и т.п.);
правильность организации работы с носителями ПДн;
соответствие системы защиты ПДн реальному положению дел в Министерстве и т.п
Для проверки эффективности системы защиты персональных данных должны использоваться средства выявления уязвимостей информационной безопасности
2.11. По результатам проверок составляется акт о результатах внутренней проверки (Приложение 2), выявленных недостатков и нарушений, предложений по их устранению. Руководство проверяемого структурного подразделения должно быть поставлено в известность о выявленных несоответствиях в течение трех дней после проведенной проверки.
3. Корректирующие мероприятия и контроль за их исполнением
3.1. Руководитель проверяемого структурного подразделения анализирует акт о результатах внутренней проверки и в трехдневный срок определяет перечень мероприятий, необходимых для устранения нарушений и их причин.
3.2. Если корректирующие мероприятия касаются других подразделений, то к анализу привлекаются специалисты соответствующих подразделений.
3.3. Выполнение корректирующих мероприятий и их достаточность определяется ответственным за обеспечение безопасности ПДн и администратором ИБ ИСПДн.
3.4. Внутренняя проверка считается оконченной после выполнения всех корректирующих мероприятий и устранения выявленных нарушений.
4. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
4.1. Полный плановый пересмотр данного документа также проводится регулярно, раз в год, с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
4.2. Частичный пересмотр данного документа проводится по письменному предложению администратора ИБ ИСПДн. Форма регистрации изменений в Инструкции представлена в Приложении 3.
4.3. Вносимые изменения не должны противоречить другим положениям Инструкции.
5. ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИе ИНСТРУКЦИИ
Ответственным за выполнения требований данной Инструкции является:
– администратор ИБ ИСПДн в части задач, возложенных на него настоящей инструкцией.
– ответственный за обеспечение безопасности ПДн в части общего контроля информационной безопасности.
Приложение 1 ФОРМА плана внутренних проверок состояния защиты ПДн
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
План внутренних проверок состояния защиты персональных данных на 201_ год
№ п/п
Наименование мероприятия
Наименование подразделения
Период проведения проверки
Отметка о выполнении (№ акта проверки)
Отметка о выполнении корректирующих мероприятий
Примечание
Приложение 2 ФОРМА акта внутренней проверки
АКТ
о результатах внутренней проверки ___________________________________________________
наименование структурного подразделения
№_______ от ___________
Цель проверки_____________________________________________________________
Основание: _______________________________________________________________
Время проведения проверки__________________________________________________
Результаты проверки________________________________________________________
______________________________________________________________________________________________________________________________________________________________________________________________________________________________
Рекомендации по устранению нарушений______________________________________
______________________________________________________________________________________________________________________________________________________________________________________________________________________________
Члены рабочей группы:
Лист ознакомления Инструкцией по порядку проведения проверок состояния защиты персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия И.О. сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 10
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
пользователя информационных систем персональных данных
Министерства промышленной политики Республики Крым
г. Симферополь
2017 г.
СОДЕРЖАНИЕ
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.ФУНКЦИИ И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ
3.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
4. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1. Форма РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Ознакомление сотрудников с требованиями настоящей Инструкции проводит администратор информационной безопасности (ИБ) информационной системы персональных данных (ИСПДн) под роспись с выдачей электронных копий Инструкции непосредственно для повседневного использования в работе.
2. ФУНКЦИИ И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ
Каждый сотрудник Министерства, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению и данным информационных систем персональных данных, несет персональную ответственность за свои действия и обязан:
- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
- выполнять свои функциональные обязанности строго в рамках прав доступа к внутренним и внешним информационным ресурсам, техническим средствам, полученным в установленном порядке;
- знать и строго выполнять правила работы со средствами защиты информации, установленными в ИСПДн;
- хранить в тайне свой пароль (пароли);
- исполнять требования «Порядка парольной защиты в автоматизированных системах», «Инструкции по организации антивирусной защиты ИСПДн», а также других документов, регламентирующих вопросы работы в ИСПДн и обеспечение безопасности информации в части, его касающейся;
- немедленно ставить в известность администратора ИБ ИСПДн и руководителя подразделения в случае утери личных реквизитов доступа, при компрометации личных паролей, подозрении на совершение попыток несанкционированного доступа (НСД) к персональным электронно-вычислительным машинам (ПЭВМ), обнаружении несанкционированных изменений в конфигурации программных или аппаратных средств ИСПДн;
- немедленно ставить в известность администратора ИСПДн при обнаружении отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ИСПДн, выхода из строя или неустойчивого функционирования устройств ПЭВМ (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных технических средств защиты информации;
- при обработке на ПЭВМ защищаемой информации присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним ПЭВМ в подразделении;
- при обработке на ПЭВМ защищаемой информации и необходимости использовать носители информации, применять только учтенные носители.
2.1. Сотрудникам ЗАПРЕЩАЕТСЯ:
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;
- хранить и обрабатывать личную информацию на ПЭВМ и серверах ИСПДн;
- при работе в сети Интернет:
использовать информационные ресурсы сети Интернет, содержание которых нарушает действующее законодательство Российской Федерации;
использовать информационные ресурсы сети Интернет для целей, не связанных с областью производственной деятельности пользователя;
использовать информационные ресурсы сети Интернет в личных целях;
вносить изменения в состав и/или процесс работы внешних информационных ресурсов, если такие изменения не санкционированы собственником (владельцем) соответствующего ресурса;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства;
- оставлять без присмотра включенную ПЭВМ, не активизировав средства защиты от НСД;
- оставлять без личного присмотра на рабочем месте или где бы то ни было свои персональные реквизиты доступа;
- оставлять без личного присмотра в легкодоступном месте на рабочем месте или где бы то ни было свои машинные носители и распечатки, содержащие сведения ограниченного распространения;
- использовать в работе неучтенные носители информации для обработки защищаемой информации;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, об обнаружении такого рода ошибок – ставить в известность администратора ИБ ИСПДн и руководителя своего подразделения.
3. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности персональных данных (ПДн) Министерства.
Полный пересмотр данного документа проводится ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Форма регистрации изменений в Инструкции представлена в Приложении 1.
Вносимые изменения не должны противоречить другим положениям Инструкции.
4. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственность за соблюдение требований настоящей Инструкции пользователями возлагается на всех сотрудников Министерства, участвующих в обработке ПДн.
Ответственность за организацию контрольных и проверочных мероприятий возлагается на администратора ИБ ИСПДн.
Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1. Форма РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
Лист ознакомления
с Инструкцией пользователя информационных систем персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 11
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ПОРЯДОК
Парольной защиты в информационных системах персональных данных
Министерство промышленной политики
Республики Крым
г. Симферополь
2017 г.
СПИСОК СОКРАЩЕНИЙ
АМ
Автоматизированное рабочее место
ИСПДн
Информационная система персональных данных
ЛВС
Локально-вычислительная сеть
ПДн
Персональные данные
ПЭВМ
Персональная электронная вычислительная машина
СВТ
Средства вычислительной техники
ФИО
Фамилия имя отчество
СОДЕРЖАНИЕ
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.ФУНКЦИИ СОТРУДНИКОВ
3.КАЧЕСТВО И ОБРАЩЕНИЕ ПАРОЛЬНОЙ ИНФОРМАЦИИ
4.ОБРАЩЕНИЕ ДОПОЛНИТЕЛЬНЫХ ИДЕНТИФИКАТОРОВ
5.ПЕРЕСМОТР ПОРЯДКА
6.ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ПОРЯДКА
ПРИЛОЖЕНИЕ 1. ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Порядок парольной защиты (далее – Порядок) включает в себя взаимоувязанный комплекс организационно-технических мер, регламентирующих генерацию и/или выбор, использование, хранение, уничтожение парольной информации в информационных системах персональных данных Министерства промышленной политики Республики Крым (далее - Министерство).
1.1. Требования настоящего Порядка являются неотъемлемой частью комплекса мер безопасности и защиты информации в Министерстве.
1.2. Требования настоящего Порядка распространяются на всех должностных лиц и сотрудников подразделений Министерства, использующих в работе ИСПДн, а также всех видов программного обеспечения (ПО), эксплуатируемого в Министерстве.
1.3. Ознакомление сотрудников Министерства с требованиями Порядка проводит Администратор безопасности ИСПДн под роспись в журнале или на самом документе.
1.4. В целях закрепления знаний по вопросам практического исполнения требований Порядка, разъяснения возникающих вопросов, проводятся (при необходимости) персональные инструктажи пользователей ИСПДн Министерства.
2. ФУНКЦИИ СОТРУДНИКОВ
2.1. Непосредственное исполнение, организация и контроль исполнения требований настоящего Порядка в Министерстве осуществляется всеми пользователями ИСПДн, а именно:
Пользователь ИСПДн:
регулярная (с частотой, установленной настоящим Порядком) смена используемой в работе парольной информации;
выбор парольной информации с качеством, установленным настоящим Порядком;
Администратор информационной безопасности (ИБ) ИСПДн:
организационно-методическое обеспечение процессов генерации, смены и удаления паролей в ИСПДн Министерства;
разработка всех необходимых инструкций по вопросам парольной защиты ИСПДн Министерства;
организация доведения до пользователей ИСПДн Министерства требований по парольной защите;
организация периодического и выборочного контроля исполнения сотрудниками Министерства требований настоящего Порядка;
согласование выдачи управляющих учетных записей к ИСПДн;
текущий контроль действий персонала Министерства по работе с паролями (автоматизированный контроль качества паролей – при наличии программно-технических средств);
техническое обеспечение (при наличии программно-технических средств) процессов генерации/выбора, смены и удаления паролей, соответствующая конфигурация ИСПДн.
3. КАЧЕСТВО И ОБРАЩЕНИЕ ПАРОЛЬНОЙ ИНФОРМАЦИИ
3.1. Пароли доступа к аппаратно-программным вычислительным средствам, информационным ресурсам Министерства формируются (выбираются) пользователями этих ресурсов с учетом следующих требований к качеству парольной информации:
№ п/п
Параметр качества пароля
Администратор
Пользователь
Минимальная длина пароля в символах
10
8[2]
Максимальная длина пароля в символах
32
16
Содержание в пароле букв верхнего и нижнего регистра
да
да
Содержание в пароле специальных символов (@, #, $, &, * и т.п.) и цифр
обязательно
рекомендуется
Содержание в пароле личных имен, фамилий, кличек домашних животных, № телефонов, дат рождения, географических названий, именований АРМ и т.п.
нет
нет
Содержание в пароле общепринятых сокращений (ПЭВМ, ЛВС, USER, SYSOP и т.д.)
нет
нет
Минимальное отличие нового пароля от предыдущего (в позициях)
3
3
Максимальный срок действия пароля
30 дней
60 дней
Минимальный срок действия пароля
нет
нет
Дополнительный (типа TM, eToken[3] или другие электронные ключи) идентификатор
рекомендуется
рекомендуется
Пароль на заставку монитора
да
да
3.2. Хранение сотрудником (администратором, пользователем) личных паролей допускается только в личном сейфе (запираемом шкафу, ящике), либо в сейфе (запираемом шкафу, ящике) администратора, либо в сейфе (запираемом шкафу, ящике) руководителя подразделения. При этом бумажный носитель должен быть упакован в отдельный опечатанный конверт.
3.3. Личные пароли и/или дополнительные идентификаторы (электронные ключи) пользователи и администраторы никому не имеют права сообщать и(или) передавать[4];
3.4. Внеплановая смена/удаление пароля (и при возможности учетной записи) пользователя или администратора ИБ ИСПДн в случае прекращения его полномочий должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.
3.5. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий администратора ИБ ИСПДн, других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению ИСПДн, либо полномочия по управлению подсистемой защиты информации ИСПДн[5].
3.6. В случае компрометации пароля доступа в ИСПДн администратором ИБ ИСПДн должны быть немедленно предприняты меры в зависимости от полномочий владельца скомпрометированного пароля и обстоятельств компрометации.
3.7. Все пользователи ИСПДн Министерства обязаны по первому требованию администратора ИБ ИСПДн предъявить значения действующего личного пароля для контроля соответствия установленным требованиям, а после проверки провести немедленную его смену.
3.8. Администратор ИБ ИСПДн, по согласованию с ответственным за обеспечение безопасности ПДн проводит ежеквартальный выборочный контроль выполнения сотрудниками Министерства требований Порядка с отметками в отдельном журнале. О фактах несоответствия качества паролей и/или условий обеспечения их сохранности администратор ИБ ИСПДн докладывает ответственному за обеспечение безопасности ПДн.
4. ОБРАЩЕНИЕ ДОПОЛНИТЕЛЬНЫХ ИДЕНТИФИКАТОРОВ
4.1. В целях усиления процедур идентификации и аутентификации в ИСПДн Министерства, пользователи ИСПДн могут использовать дополнительные индивидуальные электронные идентификаторы (смарт-карты, eToken и т.д.) совместно с личным паролем доступа.
4.2. Дополнительные идентификаторы выдаются и учитываются в соответствии с «Инструкцией по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных»:
сотрудники получают дополнительные идентификаторы под роспись;
администратор ИБ ИСПДн, по обращению к нему сотрудников, регистрирует дополнительные идентификаторы в ИСПДн Министерства и инструктирует сотрудников с учетом требований настоящего порядка и правил эксплуатации для дополнительных идентификаторов.
4.3. Сотрудники Министерства, получившие в пользование дополнительные идентификаторы, лично обеспечивают надежное круглосуточное безопасное хранение и использование идентификаторов. Оставление идентификатора без присмотра запрещается.
4.4. В случае утери дополнительного идентификатора сотрудники немедленно ставят об этом в известность администратора ИБ ИСПДн и своего непосредственного руководителя. Администраторы организуют немедленную блокировку утерянных ключей в автоматизированных системах.
5. ПЕРЕСМОТР ПОРЯДКА
5.1. Порядок подлежит полному пересмотру в случае приобретения Министерством новых (дополнительных к имеющимся штатным) автоматизированных средств управления парольной защитой и(или) генерации/выбора паролей.
5.2. В остальных случаях Порядок подлежит частичному пересмотру.
5.3. Полный пересмотр данного Порядка проводится с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Министерства.
5.4. Изменения в Порядке (сведения о них) фиксируется в листе регистрации изменений (Приложение 1).
5.5. Вносимые изменения не должны противоречить другим положениям Порядка. При получении изменений к данному Порядку, руководители подразделений Министерства в течение трех рабочих дней вносят свои предложения и/или замечания к поступившим изменениям.
6. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ПОРЯДКА
6.1. Ответственность за соблюдение требований настоящего Порядка возлагается на всех сотрудников Министерства, участвующих в обработке ПДн.
6.2. Ответственность за организацию контрольных и проверочных мероприятий по вопросам парольной защиты возлагается на администратора ИБ ИСПДн.
6.3. Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1. ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ № _____ регистрации изменений в Порядке
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
Лист ознакомления
с Порядком парольной защиты в информационных системах персональных данных
Министерство промышленной политики Республики Крым.
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 12
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ПОРЯДОК
организации учета, хранения, выдачи и уничтожения
съемных носителей, содержащих персональные данные
Настоящий Порядок организации учета, хранения, выдачи и уничтожения съемных носителей, содержащих персональные данные, в целях обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, разработан с учетом Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в соответствии с Федеральным законом 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", методическими рекомендациями ФСТЭК России от 15.02.2008, утвержденные приказом ФСТЭК России от 05.02.2010 № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", и устанавливает порядок использования съемных носителей информации, используемых в информационных системах персональных данных (далее – ИСПДн) Министерства промышленной политики Республики Крым.
Учет, хранение, выдачу и уничтожение съемных носителей персональных данных осуществляет администратор информационной безопасности ИСПДн.
Организация учета съемных носителей персональных данных.
Все находящиеся на хранении и в обращении съемные носители персональных данных подлежат учёту. Учет всех видов и типов носителей производится в журнале учета съемных носителей, содержащих персональные данные.
Каждый носитель должен иметь этикетку, на которой указывается его уникальный учетный номер. На несъемной части упаковки носителя ПДн указывается:
– учетный номер;
– отметка "Персональные данные";
– дата регистрации (день, месяц, год);
– ФИО, должность, подпись сотрудника, выполнившего учет.
Организация выдачи съемных носителей персональных данных.
Пользователи ИСПДн получают учтенный съемный носитель у администратора информационной безопасности ИСПДн. При получении делаются соответствующие записи в журнале учета съемных носителей, содержащих персональные данные.
Организация хранения съемных носителей персональных данных.
5.1. Хранение носителей осуществляется в служебных помещениях, в условиях, исключающих несанкционированное копирование, изменение или уничтожение информации ограниченного доступа, а также хищение носителей.
5.2. Запрещается хранить съемные носители персональных данных вместе с носителями открытой информации, на рабочих столах, оставлять их без присмотра или передавать на хранение другим лицам, выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, а также использовать носители персональных данных в личных целях.
5.3. В случае утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений, ставится в известность администратор информационной безопасности ИСПДн. Соответствующие отметки вносятся в журнал учета съемных носителей, содержащих персональные данные.
5.4. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с персональными данными осуществляется комиссией по вопросам, связанным с обработкой персональных данных. По результатам уничтожения носителей составляется акт уничтожения съемных носителей персональных данных (приложение №1).
Ответственность.
6.1 Ответственность за выполнение правил эксплуатации съемных носителей персональных данных при выполнении непосредственных работ с носителями несет пользователь ИСПДн.
6.2 Контроль выполнения пользователями установленных правил эксплуатации съемных носителей персональных данных, осуществляет администратор информационной безопасности ИСПДн.
6.3 Сотрудники Министерства промышленной политики Республики Крым, нарушившие требования настоящего порядка, несут ответственность в соответствии с действующим законодательством.
Приложение № 1
АКТ
уничтожения съемных носителей персональных данных
Комиссия в составе:
провела отбор съемных носителей персональных данных, не подлежащих дальнейшему использованию (хранению):
№
п/п
Дата
регистрации
Учетный номер съемного носителя
Примечание
Всего съемных носителей_______________________________________________
(цифрами и прописью)
На съемных носителях уничтожены персональные данные путем стирания ее на устройстве гарантированного уничтожения информации (механического уничтожения, сжигания и т.п.).
Перечисленные съемные носители уничтожены
путем ________________________________________________________________
(разрезания, демонтажа, сжигания, крошения и т.п.)
Председатель комиссии_______________________________________________
Подпись
Члены комиссии _____________________________________________________
Приложение № 13
к приказу Министерства промышленной
политики Республики Крым
от «___»________2017 г. №______
ФОРМА
журнала регистрации письменных запросов граждан
на доступ к своим персональным данным
в Министерстве промышленной политики Республики Крым
На _____ листах
Начат «___»_________2017 г.
Окончен «___»_________20__ г
№
п/п
Вх. № письма
Дата получения запроса
Ф.И.О. гражданина
Сведения о документе, удостоверяющем личность
Отметка о предоставлении доступа к ПДн
(отказе в доступе)
исх. номер и дата письма с ответом
на запрос
Ф.И.О., должность, роспись сотрудника, выдавшего ответ
Примечание
Номер, серия
Дата выдачи
Кем выдан
1
2
3
4
5
6
7
8
9
10
11
Приложение № 14
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №______
ФОРМА
журнала поэкземплярного учета СКЗИ, эксплуатационной и
технической документации к ним, ключевых документов
Министерства промышленной политики Республики Крым
Начат "___"______ 201_ г.
Окончен "___"______20__ г.
№ п/п
Наименование средства защиты, эксплуатационной и технической документации
Регистрационные номера средства защиты, эксплуатационной и технической документации
Отметка о выдаче
Отметка о подключении (установке) средства защиты
Отметка об изъятии средства защиты из аппаратных средств
Ф.И.О. пользователя средства защиты
Дата и расписка в получении
Ф.И.О. пользователя средства защиты, производившего подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены средства защиты
Дата изъятия
Ф.И.О. пользователя средства защиты, производившего изъятие
Расписка об изъятии
1
2
3
4
5
6
7
8
9
10
11
Приложение № 15
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №______
ФОРМА
журнала учета съемных носителей персональных данных
Начат "___" _____ 20__ года на ______ листах
Окончен "___" _____ 20__ года
№
п/п
Регистрационный номер/дата
Тип/ёмкость машинного носителя персональных данных
Номер экземпляра/
количество экземпляров
Место установки (использования)/дата установки
Ответственное должностное лицо (ФИО)
Расписка в получении (ФИО, подпись, дата)
Расписка в обратном приеме (ФИО, подпись, дата)
Место хранения машинного носителя персональных данных
Сведения об уничтожении машинных носителей персональных данных, стирании информации (подпись, дата)
1
2
3
…
Приложение № 16
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №______
ЖУРНАЛ
учета технических средств, участвующих в обработке персональных данных
Министерства промышленной политики Республика Крым
На __ листах
Начат «___»______201_ г.
Окончен «___»______20__ г.
Порядковый (регистрационный) номер
Наименование технического средства, тип машинного носителя информации
Заводской (серийный) номер
Фамилия, инициалы пользователя
Расписка в получении
Дата выдачи
Расписка в обратном приеме
Дата обратного приема
Место установки технического средства (помещение), место хранения машинного носителя информации
Отметка об уничтожении машинных носителей информации (номер акта и дата)
1
2
3
4
5
6
7
8
9
10
Приложение № 17
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
регламент
учета средств защиты персональных данных
Министерства промышленной политики Республика Крым
г. Симферополь
2017 г
Содержание
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.Порядок учета и хранения средств защиты персональных данных
3.ПОРЯДОК ПЕРЕСМОТРА РЕГЛАМЕНТА
4.ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИЕ РЕГЛАМЕНТА
ПРИЛОЖЕНИЕ 1 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В РЕГЛАМЕНТА
1. ОБЩИЕ ПОЛОЖЕНИЯ
Регламент учета средств защиты, документации и электронных носителей персональных данных (далее – Регламент) устанавливает:
порядок учета, ввода в эксплуатацию и изъятия из употребления средств, используемых для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство);
порядок приема, учета, обработки и хранения документов Министерства, содержащих персональные данные;
порядок учета и хранения электронных носителей информации Министерства, содержащих персональные данные (далее носители с ПДн).
Требования Регламента распространяются на всех должностных лиц и сотрудников подразделений Министерства, работающих в ИСПДн Министерства.
Ознакомление с требованиями Регламента начальников структурных подразделений, работающих с ИСПДн, осуществляет администратор ИБ ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Регламента непосредственно для повседневного использования в работе.
Ознакомление сотрудников структурных подразделений, работающих с ИСПДн, с требованиями Регламента проводят начальники этих структурных подразделений под роспись с выдачей электронных копий Регламента непосредственно для повседневного использования в работе.
2. Порядок учета и хранения средств защиты персональных данных
Используемые или хранимые средства защиты персональных данных, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету. При этом программные средства защиты персональных данных должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные средства защиты персональных данных подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие средства защиты персональных данных учитываются также совместно с соответствующими аппаратными средствами.
Все полученные экземпляры средств защиты персональных данных, эксплуатационной и технической документации к ним должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям средств защиты персональных данных, несущим персональную ответственность за их сохранность.
Эксплуатационная и техническая документация, а также электронные носители с инсталляционными файлами средств защиты персональных данных должны содержаться в хранилищах (шкафах, ящиках, сейфах и др.), исключающих бесконтрольных доступ к ним, а также их непреднамеренное уничтожение.
Аппаратные средства, с которыми осуществляется штатное функционирование средств защиты персональных данных, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) должно быть таким, чтобы его можно было визуально контролировать.
Средства защиты персональных данных изымаются из употребления по решению ответственного за обеспечение безопасности персональных данных Министерства. При этом вносятся необходимые изменения в «Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним», Технический паспорт ИСПДн, в составе которой эксплуатировались изъятые из употребления средства защиты персональных данных. Если эксплуатация средств защиты персональных данных, намеченных к изъятию из употребления, происходит в составе аттестованной ИСПДн, о прекращении эксплуатации средств защиты персональных данных необходимо уведомить организацию, производившую аттестацию данной ИСПДн. При этом средства защиты персональных данных считаются изъятыми из употребления, если исполнена предусмотренная эксплуатационной и технической документацией процедура удаления программного обеспечения средств защиты персональных данных, и они полностью отсоединены от аппаратных средств.
3. ПОРЯДОК ПЕРЕСМОТРА РЕГЛАМЕНТА
Регламент подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки ПДн.
Полный пересмотр данного документа проводится ответственным за безопасность с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Министерства.
Частичный пересмотр данного документа проводится в остальных случаях. При этом могут быть добавлены, удалены или изменены приложения Регламента с обязательным указанием оснований и внесенных изменений в «Листе регистрации изменений в Регламенте» (Приложение 1) без переутверждения всего Регламента. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Вносимые изменения не должны противоречить другим положениям Регламента.
4. ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИЕ РЕГЛАМЕНТА
На пользователей ИСПДн, Референта, делопроизводителей возлагается персональная ответственность за выполнение всех обязанностей, возложенных на них в настоящем Регламенте.
За правонарушения, совершенные в процессе своей деятельности пользователи несут ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.
Ответственными за постоянный контроль выполнения требований данной Регламента сотрудниками, Референтом и делопроизводителями являются:
Ответственный за обеспечение безопасности ПДн;
Администратор информационной безопасности информационных систем персональных данных.
ПРИЛОЖЕНИЕ 1 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В РЕГЛАМЕНТА
ЛИСТ
регистрации изменений в Регламенте
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с Регламентом учета средств защиты персональных данных
Министерства промышленной политики Республики Крым
№ п/п
Фамилия И.О. сотрудника
Дата ознакомления
расписка сотрудника в ознакомлении
Приложение №18
к приказу Министерства промышленной политики Республики Крым
от «___» ____2017 г. № ____
Перечень мест
хранения материальных носителей персональных данных
Министерства промышленной политики Республика Крым
и лиц, ответственных за их сохранность
№п/п
Наименование структурного подразделения
Место хранения
(номер помещения)
Ответственное лицо
(ФИО, должность)
Отдел кадровой работы и делопроизводства
Каб.№108 (в)
Звонникова Л.В.
заведующий отделом кадровой работы и делопроизводства
Управление правовой, кадровой работы и делопроизводства
Каб.№108 (а)
Аблаев Э.У.
начальник управления правовой, кадровой работы и делопроизводства
Отдел финансов и бюджетной политики
Каб.№120
Мерега Е.Н.
главный консультант отдела финансов и бюджетной политики
Приложение № 19
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
Перечень персональных данных обрабатываемых в Министерстве промышленной политики Республики Крым
Общие положения
Перечень персональных данных, подлежащих защите в Министерстве промышленной политики Республики Крым (далее – Перечень), разработан в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и документами Министерства промышленной политики Республики Крым (далее – Минпром РК).
Сведения, составляющие персональные данные
Сведениями, составляющими персональные данные, в Минпроме РК является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные в Минпроме РК обрабатываются в рамках технологических процессов, обеспечивающих функционирование и жизнедеятельность Минпрома РК. Перечень процессов и состав обрабатываемых в них персональных данных приведен в Приложении А к данному документу.
Сроки обработки персональных данных
Сроки обработки указанных в Приложении 1 персональных данных определяются в соответствии с деятельностью Минпрома РК, а также сроком действия договора с субъектом ПДн, приказом Министерства Культуры России от 25 августа 2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства.
Исходя из требований законодательства, срок хранения установлен для каждого технологического процесса обработки персональных данных.
1
Приложение 1
№
п/п
Группа персональных данных
Содержание сведений
Цели обработки
Основание для обработки
Технологические процессы обработки персональных данных
Срок хранения
Подбор персонала
1.1
Данные резюме
1.1.1 ФИО
1.1.2 Номер телефона
1.1.3 Информация о профессиональных навыках
Поиск и подбор работников
Конклюдентное согласие субъекта
Подбор персонала
5 лет
Прием на работу и оформление работников
1.2
Данные кадрового учета
1.2.1 ФИО
1.2.2 Дата рождения
1.2.3 Место рождения
1.2.4 Гражданство
1.2.5 Адрес проживания
1.2.6 Адрес регистрации
1.2.7 Паспортные данные
1.2.8 Телефоны
1.2.9 Семейное положение и состав семьи
1.2.10 Номер военного билета
1.2.11 Кем, когда выдан
1.2.12 Военно-учетная специальность
1.2.13 Форма допуска
1.2.14 Данные об образовании
1.2.15 Профессиональный опыт, трудовой стаж
1.2.16 СНИЛС
1.2.17 ИНН
1.2.18 Квалификационные документы
1.2.19 Данные о наградах, поощрениях, почетных званиях
1.2.20 Данные об аттестации работников
1.2.21 Данные о повышении квалификации
1.2.22 Информация о знании иностранных языков
1.2.23 Информация об отпусках
1.2.24 Информация о командировках
1.2.25 Дополнительная информация
Ведение кадрового учета
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Оформление работников
Прием на работу
75 лет
1.3
Паспортные данные
1.3.1 ФИО
1.3.2 Дата рождения
1.3.3 Серия и номер
1.3.4 Кем и когда выдан
1.3.5 Адрес регистрации
Ведение кадрового учета
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Оформление работников
75 лет
Отправка в ФОМС
1.4
Данные застрахованного (ОМС)
1.4.1 ФИО
1.4.2 Дата рождения
1.4.3 Пол
1.4.4 Гражданство
1.4.5 Индекс
1.4.6 Адрес прописки
1.4.7 Дата заключения и номер трудового договора
1.4.8 Место работы
Исполнение ФЗ «О медицинском страховании граждан в Российской Федерации»
ФЗ-1499-1 «Закон о медицинском страховании граждан в РФ»
Отправка в ФОМС
После увольнения работника, до конца отчетного периода
1.5
Паспортные данные
1.5.1 ФИО
1.5.2 Дата рождения
1.5.3 Серия и номер
1.5.4 Кем и когда выдан
1.5.5 Адрес регистрации
Исполнение ФЗ «О медицинском страховании граждан в Российской Федерации»
ФЗ-1499-1 «Закон о медицинском страховании граждан в РФ»
Отправка в ФОМС
После увольнения работника, до конца отчетного периода
Выдача справок (2-НДФЛ)
1.6
Данные о налогоплательщике
1.6.1 ФИО
1.6.2 Дата рождения
1.6.3 Гражданство
1.6.4 Паспортные данные
1.6.5 Адрес регистрации
Выдача справок
Трудовой кодекс. Налоговый кодекс.
Выдача справок (2-НДФЛ)
75 лет
Выплата заработной платы
1.7
Данные о доходах
1.7.1 ФИО
1.7.2 Номер расчетного счета
1.7.3 Информация о денежном содержании
1.7.4 Информация об отпусках
1.7.5 Информация о командировках
Исполнение трудового договора с работниками / Выплата заработной платы
Трудовой договор
Выплата зарплаты
5 лет
Отправка в налоговую
1.8
Данные о доходах физических лиц
1.9.1 ФИО
1.9.2 ИНН
1.9.3 Доход за год
1.9.4 Налоги за год
1.9.5 Паспортные данные
Исполнение Налогового кодекса
Налоговый кодекс
Отправка в налоговую
5 лет
Персонифицированный учет
1.9
Данные застрахованных в ПФР
1.10.1 ФИО
1.10.2 СНИЛС
1.10.3 Стаж
1.10.4 Адрес проживания
1.10.5 Сумма страхового взноса
1.10.6 Сумма накопительного взноса
Исполнение № 27–ФЗ «Об индивидуальном персонифицированном учете в системе государственного пенсионного страхования»
ФЗ-27 «Об индивидуальном персонифицированном учете в системе государственного пенсионного страхования»
Персонифицированный учет
5 лет
Увольнение работников
1.10
Данные об увольнении
1.11.1 ФИО
1.11.2 Табельный номер
1.11.3 Должность
1.11.4 Отдел
1.11.5 Дата увольнения
1.11.6 Причина увольнения
Кадровый учет / Увольнение работника
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Увольнение работников
75 лет
1.11
Данные кадрового учета
ФИО
Дата рождения
Место рождения
Гражданство
Адрес проживания
Адрес регистрации
Паспортные данные
Телефоны
Семейное положение и состав семьи
Номер военного билета
Кем, когда выдан
Военно-учетная специальность
Форма допуска
Данные об образовании
Профессиональный опыт, трудовой стаж
СНИЛС
ИНН
Квалификационные документы
Данные о наградах, поощрениях, почетных званиях
Данные об аттестации работников
Данные о повышении квалификации
Информация о знании иностранных языков
Информация об отпусках
Информация о командировках
Дополнительная информация
Кадровый учет / Увольнение работника
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Увольнение работников
75 лет
1.12
Паспортные данные
1.13.1 ФИО
1.13.2 Дата рождения
1.13.3 Серия и номер
1.13.4 Кем и когда выдан
1.13.5 Адрес регистрации
Кадровый учет / Увольнение работника
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Увольнение работников
75 лет
1.13
Данные кадрового учета
1.13.1 ФИО
1.13.2 Дата рождения
1.13.3 Место рождения
1.13.4 Адрес проживания
1.13.5 Адрес регистрации
1.13.6 Паспортные данные
1.13.7 Семейное положение и состав семьи
1.13.8 СНИЛС
Представление сведений о доходах, расходах, имуществе и обязательствах имущественного характера
Федеральный закон «О государственной гражданской службе Российской Федерации» от 27.07.2004 №79-ФЗ
Федеральный закон «О противодействии коррупции» от 25.12.2008 №273-ФЗ
Анализ сведений о доходах, расходах, имуществе и обязательствах имущественного характера
75 лет
1
1
[1] В случае отсутствия лиц, которые должны оповещаться, их замещают лица, определенные в разделе «Порядок замещения ответственных лиц» настоящей Инструкции. Либо могут быть оповещены непосредственные руководители
[2] При использовании электронных ключей (USB, Touch Memory) не менее 6 символов.
[3] При использовании электронного ключа такого типа требования вышеприведенной таблицы актуальны только по пунктам №1 и №9.
[4] Сотрудники Министерства раскрывают значение своего пароля и/или передают физический идентификатор только своим непосредственным руководителям в случае производственной необходимости и/или при проведении контрольно-проверочных мероприятий. По окончанию производственных и/или контрольно-проверочных работ сотрудники производят немедленную смену значений раскрытых паролей
[5] Смена паролей производится для учетных записей систем, в которых не используется аутентификация посредством дополнительных идентификаторов (Touch Memory, eToken и т.п.)
МИНИСТЕРСТВО ПРОМЫШЛЕННОЙ ПОЛИТИКИ
РЕСПУБЛИКИ КРЫМ
ПРИКАЗ
г. Симферополь
20.09.2017 № 3286
«Об организации работы по вопросам,
связанным с обработкой персональных данных
в Министерстве промышленной политики
Республики Крым»
Во исполнение требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:
Утвердить прилагаемый перечень документов:
- Политика в отношении обработки персональных данных в Министерстве промышленной политики Республики Крым согласно приложению № 1 к настоящему приказу;
- Инструкция администратора информационной безопасности информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 2 к настоящему приказу;
- Инструкция администратора информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 3 к настоящему приказу;
- Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 4 к настоящему приказу;
- Инструкция по действиям пользователей информационных систем персональных данных Министерства промышленной политики РК в нештатных ситуациях согласно приложению № 5 к настоящему приказу;
- Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 6 к настоящему приказу;
- Инструкция по организации антивирусной защиты информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 7 к настоящему приказу;
- Инструкция по резервному копированию защищаемой информации в информационных системах персональных данных Министерства промышленной политики Республики Крым согласно приложению № 8 к настоящему приказу;
- Инструкция по порядку проведения проверок состояния защиты персональных данных Министерства промышленной политики Республики Крым согласно приложению № 9 к настоящему приказу;
- Инструкция пользователя информационных систем персональных данных Министерства промышленной политики Республики Крым согласно приложению № 10 к настоящему приказу;
- Порядок парольной защиты в информационных системах персональных данных Министерства промышленной политики Республики Крым согласно приложению № 11 к настоящему приказу;
- Порядок организации учета, хранения, выдачи и уничтожения съемных носителей, содержащих персональные данные Министерства промышленной политики Республики Крым согласно приложению № 12 к настоящему приказу;
- Форма журнала регистрации письменных запросов граждан на доступ к своим персональным данным в Министерстве промышленной политики Республики Крым согласно приложению № 13 к настоящему приказу;
- Форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов Министерство промышленной политики Республики Крым согласно приложению № 14 к настоящему приказу;
- Форма журнала учета съемных носителей персональных данных Министерства промышленной политики Республики Крым согласно приложению № 15 к настоящему приказу;
- Форма журнала учета технических средств, участвующих в обработке персональных данных Министерства промышленной политики Республики Крым согласно приложению № 16 к настоящему приказу;
- Регламент учета средств защиты персональных данных Министерства промышленной политики Республики Крым согласно приложению № 17 к настоящему приказу;
- Перечень мест хранения материальных носителей персональных данных и лиц, ответственных за их сохранность согласно приложению № 18 к настоящему приказу;
- Перечень персональных данных обрабатываемых в Министерство промышленной политики Республики Крым согласно приложению № 19 к настоящему приказу.
2. В целях обеспечения безопасности персональных данных при работе с материальными носителями персональных данных в Министерстве промышленной политики Республики Крым и в соответствии с требованиями положения об особенностях обработки персональных данных субъектов, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687:
2.1. Утвердить места хранения материальных (бумажных) носителей персональных данных сотрудников Министерства промышленной политики Республики Крым, в соответствии с Приложением №18.
2.2. Соблюдать при хранении материальных носителей условия, обеспечивающие сохранность персональных данных, исключить возможность неконтролируемого пребывания в помещениях, где хранятся материальные носители персональных данных посторонних лиц.
2.3. В структурных подразделениях, участвующих в обработке персональных данных, назначить ответственных лиц за обеспечение сохранности материальных носителей персональных данных в соответствии с Приложением №18.
2.4. Исключить возможность неконтролируемого проникновения или пребывания в помещениях Министерства промышленной политики Республики Крым посторонних лиц.
2.5. К обработке персональных данных допустить государственных гражданских служащих, сотрудников министерства, в рамках, возложенных на них обязанностей.
2.6. Возложить на государственных гражданских служащих, сотрудников министерства ответственность за сохранность носителей персональных данных и средств защиты информации, которые им выданы.
3. Контроль за исполнением приказа оставляю за собой.
Министр А. Васюта
Приложение № 1
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ПОЛИТИКА
в отношении обработки персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
1. Общие положения
1.1. Настоящий документ (далее – Политика) разработан в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. Основные термины и определения, применяемые в настоящей Политике:
1.4.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем персональных данных, обрабатываемых в Министерстве промышленной политики Республики Крым (далее - Министерство), настоящим Положением и локальными актами Министерства.
1.4.2. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.4.3. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.4.4. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.4.5. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.4.6. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.4.7. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.4.8. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.4.9. Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
1.4.10. Конфиденциальность персональных данных – обязательное для соблюдения Министерством, или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Обеспечения конфиденциальности персональных данных не требуется:
в случае обезличивания персональных данных;
в отношении общедоступных персональных данных.
1.4.11. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные данным субъектом.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта или по решению Руководителя Министерства, либо по решению суда или иных уполномоченных государственных органов.
1.4.12. Трансграничная передача персональных данных – передача персональных данных через Государственную границу Российской Федерации органу власти иностранного государства, физическому лицу или юридическому лицу иностранного государства.
1.4.13. Государственный гражданский служащий - гражданин, осуществляющий профессиональную служебную деятельность на должности государственной гражданской службы и получающий денежное содержание (вознаграждение) за счет средств федерального бюджета Российской Федерации.
Работник – лицо, имеющее трудовые отношения с Министерством, либо кандидат на вакантную должность, вступивший в отношения по поводу приема на работу.
1.4.14. Оператор – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
1.5. К субъектам персональных данных (далее – субъекты) относятся лица – носители персональных данных, персональные данные которых переданы Министерству, (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для обработки (в том числе передачи), в том числе:
Государственные гражданские служащие, а также работники Министерства, включая совместителей, а также лица, выполняющие работы по договорам гражданско-правового характера;
иные лица, предоставляющие персональные данные Министерства.
2. Принципы обработки персональных данных
2.1. Обработка персональных данных в Министерстве осуществляется на основе следующих принципов:
законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Министерства;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.
2.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи Министерству своих персональных данных.
2.4. Держателем персональных данных является Министерство, которой субъект персональных данных передает во владение свои персональные данные. Министерство выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
2.5. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику и (или) держателю персональных данных за получением необходимых сведений и пользующиеся ими с соблюдением требований по обеспечению безопасности персональных данных.
3. Понятие и состав персональных данных
3.1. Под персональными данными субъектов персональных данных понимается информация, необходимая Министерству в связи со служебными отношениями и касающаяся конкретного субъекта персональных данных (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное и имущественное положение, образование, профессия, доходы, другая информация), а также сведения о фактах, событиях и обстоятельствах жизни субъекта, позволяющие идентифицировать его личность. К персональным данным относятся следующие сведения:
анкетные и биографические данные;
сведения об образовании;
сведения о трудовом и общем стаже;
сведения о предыдущем месте работы;
сведения о составе семьи;
паспортные данные;
сведения о воинском учете;
сведения о заработной плате государственного гражданского служащего, работника, иных выплатах субъектам персональных данных (включая стипендии);
сведения о социальных льготах;
специальность;
занимаемая должность;
наличие судимостей;
адрес места жительства (пребывания), номер домашнего телефона;
место работы или учебы членов семьи и родственников;
содержание трудового договора (контракта);
состав декларируемых сведений о доходах, об имуществе и обязательствах имущественного характера;
любые сведения о состоянии здоровья;
рекомендации, характеристики;
фотографии;
копии отчетов, направляемые в органы статистики;
другая информация.
3.2. Документы, содержащие персональные данные, являются конфиденциальными.
4. Цели обработки персональных данных.
Обработка персональных данных осуществляется в целях:
Исполнения государственных функций по контролю и надзору в области соблюдения трудового законодательства, в целях рассмотрения обращений граждан.
Выполнение требований действующего законодательства в сфере труда, налогообложения физических лиц, обязательного медицинского и пенсионного страхования.
5. Обработка персональных данных
5.1. Обработка персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества.
5.2. Условием обработки персональных данных субъекта персональных данных является его письменное согласие.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в соответствии с положением статьи 6 Федерального закона «О персональных данных».
5.3. Обработка персональных данных, осуществляются уполномоченными должностными лицами Министерства, определенными приказом Руководителя Министерства, которые действуют на основании инструкций, предусматривающих выполнение комплекса мероприятий по обеспечению безопасности персональных данных.
5.4. Персональные данные обрабатываются Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, с фиксацией персональных данных на материальном носителе (бумажные документы).
5.4. Ответственность за контроль соблюдения требований по обработке персональных данных структурными подразделениями, контроль соблюдения структурными подразделениями прав и свобод субъектов персональных данных возлагается на Руководителя Министерства.
6. Обеспечение защиты персональных данных при их обработке Оператором
6.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
К таким мерам могут, в частности, относиться:
– назначение Оператором ответственного за организацию обработки персональных данных;
– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам оператора;
– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
– ознакомление государственных гражданских служащих, работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных лиц.
6.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7. Права субъекта персональных данных
Субъект персональных данных имеет право:
на получение сведений о Министерстве, о месте ее нахождения, о наличии у Министерства персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц;
на свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;
получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
а) подтверждение факта обработки персональных данных Министерством, а также цель такой обработки;
б) способы обработки персональных данных, применяемые оператором;
в) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
г) перечень обрабатываемых персональных данных и источник их получения;
д) сроки обработки персональных данных, в том числе сроки их хранения;
е) сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных.
требовать от Министерства исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
при отказе оператора исключить или исправить персональные данные субъекта заявить в письменной форме оператору (Министерству) о своем несогласии с соответствующим обоснованием такого несогласия, при отклонении оператором указанного обращения (несогласия), обжаловать действия оператора в порядке, предусмотренном законодательством России.
Доступ к своим персональным данным предоставляется субъекту или его законному представителю при личном обращении либо при получении запроса.
Сведения о персональных данных должны быть предоставлены субъекту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
8. Доступ к персональным данным субъекта и их передача
8.1. Внутренний доступ (доступ внутри Министерства) к персональным данным субъектов имеют сотрудники подразделений Министерства, которым эти данные необходимы для выполнения должностных обязанностей.
8.2. Внешний доступ к персональным данным субъектов имеют массовые потребители персональных данных и контрольно-надзорные органы.
8.2.1. К числу массовых потребителей персональных данных вне Министерства относятся следующие государственные и негосударственные структуры:
налоговые органы;
правоохранительные органы;
органы лицензирования и сертификации;
органы прокуратуры и ФСБ;
органы статистики;
страховые агентства;
военные комиссариаты;
органы социального страхования;
пенсионные фонды;
подразделения государственных и муниципальных органов управления.
8.2.2. Надзорно-контрольные органы имеют доступ к информации исключительно в сфере своей компетенции.
8.3. Внешний доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.
8.4. Министерство обязано сообщать персональные данные субъекта по надлежащим оформленным запросам суда, прокуратуры иных правоохранительных органов.
8.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только на основании письменного запроса на бланке организации, с приложением копии заявления субъекта.
8.6. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
Приложение № 2
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
администратора информационной безопасности информационных систем персональных данных
Министерства промышленной политики Республики Крым
г. Симферополь
2017 г.
СОДЕРЖАНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. ОБЯЗАННОСТИ АДМИНИСТРАТОРА ИБ ИСПДн
3. ПРАВА АДМИНИСТРАТОРА ИБ ИСПДн
4. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА ИБ ИСПДн
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
6. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Приложение 1. Карточка Инструктажа
приложение 2. ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Администратор информационной безопасности (ИБ) информационной системы персональных данных (ИСПДн) назначается приказом руководителя Министерства промышленной политики Республики Крым (далее –Министерство) и функционально подчиняется начальнику подразделения, в штате которого он состоит. Он руководствуется требованиями нормативных документов Российской Федерации, нормативных актов Министерства, настоящей Инструкцией, а также другими распорядительными документами в части его касающейся.
Администратор ИБ ИСПДн в пределах своих функциональных обязанностей обеспечивает работоспособность ИСПДн, безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники (СВТ) в ИСПДн Министерства.
Должностные лица Министерства, задействованные в обеспечении функционирования ИСПДн, могут быть ознакомлены с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
В случае увольнения администратор ИБ ИСПДн Министерства обязан передать начальнику подразделения, в штате которого он состоит все носители защищаемой информации Министерства (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), которые находились в его распоряжении в связи с выполнением им служебных обязанностей во время работы в Министерстве.
2. ОБЯЗАННОСТИ АДМИНИСТРАТОРА ИБ ИСПДн
Администратор ИБ ИСПДн обязан:
- знать перечень установленных в подразделении СВТ и перечень задач, решаемых с их использованием;
- обеспечивать работоспособность СВТ ИСПДн Министерства, проводить организационно-технические мероприятия по их обслуживанию;
- устанавливать и настраивать элементы ИСПДн и средства защиты информации, а также выполнять другие возложенные на него работы в соответствии с распорядительными, инструктивными и методическими материалами в части, его касающейся;
- рассматривать целесообразность применения новых технологий для повышения эффективности функционирования ИСПДн Министерства;
- выполнять своевременное обновление программного обеспечения элементов ИСПДн и средств защиты персональных данных (СЗПДн) по мере появления таких обновлений;
- выполнять резервное копирование и восстановление данных;
- обеспечивать контроль за выполнением пользователями требований «Инструкции пользователю ИСПДн»;
- осуществлять контроль за работой пользователей автоматизированных систем, выявление попыток НСД к защищаемым информационным ресурсам и техническим средствам ИСПДн Министерства;
- осуществлять настройку средств защиты, выполнять другие действия по изменению элементов ИСПДн;
- осуществлять учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в специальный журнал (учетную карточку). Учтенные носители информации выдавать пользователям под роспись;
- осуществлять текущий и периодический контроль работы средств и систем защиты информации;
- осуществлять текущий контроль технологического процесса обработки защищаемой информации;
- периодически осуществлять тестирование всех функций системы защиты с помощью тестовых программ, имитирующих попытки НСД, при изменении программной среды и персонала ИСПДн;
- в случае возникновения нештатных ситуаций (сбоев в работе СЗПДн) немедленно докладывать ответственному за обеспечение безопасности ПДн;
- участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;
- участвовать в проведении работ по восстановлению работоспособности средств и систем защиты информации;
- вести «Журнал учета нештатных ситуаций», учитывать факты вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств ПЭВМ. Форма журнала приведена в «Инструкции по действиям пользователей информационных систем персональных данных Министерства промышленной политики Республики Крым в нештатных ситуациях»;
- проводить обучение персонала и пользователей вычислительной техники правилам работы с СВТ и средствами защиты информации с отметкой в карточке инструктажа (Приложение 2);
- участвовать в разработке нормативных и методических материалов, связанных с функционированием СВТ и применением средств защиты информации, выполнением мероприятий по обеспечению защиты информации;
- регулярно анализировать работу любых элементов АС, электронных системных журналов средств защиты для выявления и устранения неисправностей, а также для оптимизации ее функционирования.
3. ПРАВА АДМИНИСТРАТОРА ИБ ИСПДн
Администратор ИБ ИСПДн имеет право:
- отключать любые элементы СЗПДн при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей в установленном порядке;
- в установленном порядке изменять конфигурацию элементов ИСПДн и СЗПДн;
- требовать от сотрудников Министерства соблюдения правил работы в ИСПДн, приведенных в «Инструкции пользователя информационных систем персональных данных Министерства промышленной политики Республики Крым»;
- требовать от пользователей безусловного соблюдения установленной технологии обработки защищаемой информации и выполнения требований внутренних документов Министерства, регламентирующих вопросы обеспечения безопасности и защиты информации;
- обращаться к ответственному за организацию обработки ПДн с требованием о прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации;
- вносить свои предложения по совершенствованию функционирования ИСПДн Министерства;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности в ИСПДн Министерства.
4. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА ИБ ИСПДн
Администратор ИБ ИСПДн несет ответственность:
- за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими инструктивными документами в соответствии с действующим трудовым законодательством Российской Федерации, за полноту и качество проводимых им работ по обеспечению защиты информации;
- за правонарушения, совершенные в процессе своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
- за разглашение сведений конфиденциального характера и другой защищаемой информации Министерства в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
- на администратора ИБ ИСПДн возлагается персональная ответственность за работоспособность и надлежащее функционирование средств обработки ПДн в ИСПДн и средств защиты персональных данных Министерства.
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Полный пересмотр данного документа проводится ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Форма регистрации изменений в Инструкции представлена в Приложении 3.
Вносимые изменения не должны противоречить другим положениям Инструкции.
6. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственным за контроль выполнения требований данной Инструкции является ответственный за обеспечение безопасности ПДн.
Приложение 1. Карточка Инструктажа
КАРТОЧКА № ____
ПРОВЕДЕНИЯ ИНСТРУКТАЖА
ПО ВОПРОСАМ ЗАЩИТЫ ИНФОРМАЦИИ
Подразделение
Дата
Фамилия, инициалы
инструктируемого
Должность
Роспись
Вид инструктажа (в связи с чем проводится)
Краткое содержание инструктажа
Инструктаж провел Администратор ИБ ИСПДн:
Примечание: Заполненная карточка хранится у Администратора ИБ ИСПДн.
приложение 2. ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, номер и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с инструкцией администратора информационной безопасности информационных систем персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 3
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
администратора информационных систем
персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
СПИСОК СОКРАЩЕНИЙ
ИДн
Информационная система персональных данных
ОдИ
Общедоступная информация
СЗИ
Система защиты информации
АИБ
Администратор информационной безопасности
СОДЕРЖАНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. ОБЯЗАННОСТИ АДМИНИСТРАТОРА ИСПДН
3. ПРАВА АДМИНИСТРАТОРА ИСПДН
4. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА ИСПДн
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
6. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1 ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ определяет основные обязанности, права и ответственность администратора автоматизированных систем (далее ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство).
1.2. Администратор ИСПДн назначается приказом руководителя Министерства и функционально подчиняется начальнику подразделения, в штате которого он состоит.
1.3. Администратор ИСПДн руководствуется положениями федеральных законов и нормативных актов органов государственной власти и Министерства, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся.
1.4. Должностные лица Министерства, задействованные в обеспечении функционирования ИСПДн Министерства, ознакамливаются с основными положениями и приложениями Инструкции по мере необходимости.
1.5. Ознакомление с требованиями Инструкции администраторов ИСПДн Министерства осуществляется под роспись с выдачей электронных копий Инструкции непосредственно для повседневного использования в работе.
1.6. Администратор ИСПДн Министерства обязан в случае увольнения, все носители защищаемой информации Министерства (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), которые находились в его распоряжении, в связи с выполнением им служебных обязанностей во время работы в Министерства, передать начальнику подразделения, в штате которого он состоит.
2. ОБЯЗАННОСТИ АДМИНИСТРАТОРА ИСПДН
Администратор ИСПДн:
2.1. Обеспечивает работоспособность средств вычислительной техники ИСПДн Министерства, проводит организационно-технические мероприятия по их обслуживанию.
2.2. Устанавливает и настраивает элементы ИСПДн и средства защиты информации, а также выполняет другие возложенные на него работы в соответствии с:
- техническими проектами на системы и подсистемы ИСПДн Министерства;
- Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИСПДн Министерства;
- Порядком парольной защиты в ИСПДн Министерства;
- Инструкцией по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДн Министерства;
- Инструкцией по организации антивирусной защиты ИСПДн Министерства;
- Инструкцией по действиям персонала в нештатных ситуациях Министерства;
- а также другими инструктивными и методическими материалами.
2.3. Рассматривает целесообразность применения новых технологий для повышения эффективности функционирования ИСПДн Министерства.
2.4. Подготавливает обоснования и спецификации для закупки, заказывает новые элементы ИСПДн и расходные материалы; поддерживает резерв расходных материалов; изучает рынок программных средств и предоставляет рекомендации по приобретению и внедрению системного и прикладного программного обеспечения.
2.5. Выполняет своевременное обновление программного обеспечения элементов ИСПДн и системы защиты информации (в пределах его компетенции) по мере появления новых версий.
2.6. Выполняет резервное копирование и восстановление данных.
2.7. Проводит инструктаж пользователей по внедряемым и используемым технологиям или прикладному программному обеспечению, если это требует от пользователей дополнительных навыков и знаний. Возможен инструктаж не только в устной форме, но и в письменной, либо в электронном виде путем создания инструкций, файлов справок, описаний, руководств пользователя и прочее, с последующим обязательным доведением до каждого пользователя.
2.8. Совместно с АИБ обеспечивает контроль выполнения пользователями положений «Инструкции пользователя ИСПДн Министерства».
2.9. Предоставляет АИБ любую затребованную им информацию о настройках, конфигурации, составу и структуре ИСПДн и механизмов защиты информации ИСПДн.
2.10. Выполняет действия по изменению элементов ИСПДн, необходимость в которых определяется согласованным решением начальника отдела автоматизированной обработки информации и начальником отдела информационной безопасности.
2.11. Участвует совместно с АИБ в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации.
2.12. Планирует дальнейшее развитие структуры и функциональности ИСПДн, а также вносит предложения о совершенствовании работы и повышении эффективности функционирования средств вычислительной техники ИСПДн и системы защиты информации ИСПДн.
3. ПРАВА АДМИНИСТРАТОРА ИСПДН
3.1. Анализировать работу любых элементов ИСПДн для выявления и устранения неисправностей, а также для оптимизации ее функционирования.
3.2. Отключать любые элементы ИСПДн при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей после согласования и заблаговременного предупреждения пользователей ИСПДн.
3.3. Отключать элементы СЗИ ИСПДн при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей в установленном порядке после согласования с АИБ.
3.4. В установленном порядке изменять конфигурацию элементов ИСПДн.
3.5. Требовать от сотрудников Министерства соблюдения правил работы в ИСПДн, приведенных в «Инструкции пользователя ИСПДн».
3.6. Вносить свои предложения по совершенствованию функционирования ИСПДн Министерства.
4. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА ИСПДн
4.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими инструктивными документами администратор ИСПДн несет ответственность в соответствии с действующим трудовым законодательством РФ.
4.2. За правонарушения, совершенные в процессе своей деятельности администратор ИСПДн несет ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.
4.3. За разглашение сведений конфиденциального характера и другой защищаемой информации Министерства администратор ИСПДн несет ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.
4.4. На администратора ИСПДН возлагается персональная ответственность за работоспособность и надлежащее функционирование всех элементов ИСПДн Министерства.
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
6.1. Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
6.2. Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится начальником отдела автоматизированной обработки информации.
6.3. Полный пересмотр данного документа проводится начальником отдела автоматизированной обработки информации с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
6.4. Форма регистрации изменений в Инструкции представлена в ПРИЛОЖЕНИИ 1.
6.5. Вносимые изменения не должны противоречить другим положениям Инструкции.
6. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственным за контроль выполнения требований данной Инструкции является начальник подразделения, в штате которого состоит администратор ИСПДн Министерства.
ПРИЛОЖЕНИЕ 1 ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с инструкцией Администратора информационных систем персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия И.О. сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 4
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
СОДЕРЖАНИЕ
1.ОБЩИЕ ПОЛОЖЕНИЯ
2. ПОРЯДОК ИСПОЛЬЗОВАНИЯ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ
3. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПОЛЬЗОВАТЕЛЯМ ПРАВ ДОСТУПА К ИСПДн
4.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
5. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Приложение 1. ЗАЯВКА НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ В СПИСКИ ПОЛЬЗОВАТЕЛЕЙ
ПРИЛОЖЕНИЕ 2. Лист регистрации изменений
1. ОБЩИЕ ПОЛОЖЕНИЯ
Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных (ИСПДн) Министерство промышленной политики Республики Крым (далее – Министерство) устанавливает порядок изменения списка пользователей и порядок изменения их прав в информационных системах персональных данных.
Должностные лица Министерства, задействованные в обеспечении функционирования ИСПДн, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
Ознакомление с требованиями Инструкции пользователей ИСПДн осуществляет администратор информационной безопасности (ИБ) ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.
Непосредственное исполнение настоящей Инструкции определяется администратором ИБ ИСПДн, по согласованию с ответственным за обеспечение безопасности персональных данных (ПДн) Министерства.
2. ПОРЯДОК ИСПОЛЬЗОВАНИЯ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ
С целью соблюдения принципа персональной ответственности за свои действия, каждому сотруднику, допущенному к работе с ИСПДн должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в системе.
В случае производственной необходимости, некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей).
Использование несколькими сотрудниками при самостоятельной работе в ИСПДн одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.
Использование сотрудником имени пользователя, сопоставленного с другим сотрудником (учетной записи другого сотрудника), при работе в ИСПДн ЗАПРЕЩЕНО.
3. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПОЛЬЗОВАТЕЛЯМ ПРАВ ДОСТУПА К ИСПДн
Процедура регистрации (создания учетной записи) пользователя и предоставления (изменения) ему прав доступа к ресурсам ИСПДн инициируется приказом о допуске сотрудника к работам в ИСПДн или заявкой руководителя подразделения, в котором числится данный сотрудник. Заявка согласовывается с ответственным за обеспечение безопасности ПДн, после чего администратором ИБ ИСПДн создается учетная запись. Форма заявки приведена в Приложении 1.
На основании приказа либо при получении заявки на предоставление (изменение) прав доступа пользователя к ресурсам ИСПДн администратор ИБ ИСПДн в зависимости от характера заявки:
создает учетную запись;
производит изменение прав доступа учетной записи;
осуществляет блокирование учетной записи.
При предоставлении сотруднику прав доступа к ресурсам производится необходимо руководствоваться принципом предоставления минимальных прав для решения требуемых задач.
Начальники структурных подразделений несут ответственность за минимальную достаточность прав доступа имеющихся у пользователей их структурных подразделений. В случае наличия у пользователей избыточных для работы прав доступа начальники структурных подразделений ставят об этом в известность администратора ИБ ИСПДн, который вносит необходимые изменения в соответствии с настоящей Инструкцией.
При выдаче пользователю персонального идентификатора, факт выдачи должен фиксироваться в соответствующем журнале.
Целесообразно документирование прав доступа в электронном виде, для чего создается специальная база данных, в которой указываются следующие данные:
фамилия, имя, отчество пользователя;
структурное подразделение;
учетная запись;
контролируемый ресурс;
права доступа;
отметка об удалении учетной записи при увольнении.
Изменения в конфигурации механизмов защиты информации производятся только администратором ИБ ИСПДн и только в соответствии с документацией на средства защиты информации ПДн.
При изменении статуса пользователя (увольнение, перевод на другую должность и т.п.) начальник структурного подразделения, в котором числится данный пользователь, подает заявку об изменении прав доступа пользователя (Приложение 1).
4. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Полный пересмотр данного документа проводится ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Форма регистрации изменений в Инструкции представлена в Приложении 3.
Вносимые изменения не должны противоречить другим положениям Инструкции.
5. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственность за соблюдение требований настоящей Инструкции пользователями возлагается на всех сотрудников, работающих в ИСПДн Министерства.
Ответственность за организацию контрольных и проверочных мероприятий по вопросам управления правами пользователей возлагается на Администратора ИБ ИСПДн.
Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
Приложение 1. ЗАЯВКА НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ В СПИСКИ ПОЛЬЗОВАТЕЛЕЙ
Министру промышленной политики
Республики Крым
(резолюция)
ЗАЯВКА
на внесение изменений в списки пользователей
_________________________________________________________________
__________________________________________________________________
(наименование автоматизированной системы, ПЭВМ)
и наделение пользователя полномочиями доступа к ресурсам системы
Прошу зарегистрировать пользователем ИСПДн
(исключить из списка пользователей ИСПДн, изменить полномочия пользователя)
(ненужное зачеркнуть)
__________________________________________________________________
(должность с указанием подразделения)
__________________________________________________________________,
(фамилия имя и отчество сотрудника)
предоставив ему полномочия (лишив его полномочий), необходимые (-х) для решения задач: (ненужное зачеркнуть)
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Начальник
_____________________________________________________ (наименование подразделения)
«___» __________ 201__ г.
_____________________
(подпись)
___________________
(фамилия, инициалы)
Оборотная сторона заявки
Пользователь ______________________________
зарегистрирован (исключен из списка пользователей, изменены полномочия пользователя)
(ненужное зачеркнуть)
Персональный идентификатор номер _____________________ выдан (изъят)
(ненужное зачеркнуть)
Внесены следующие изменения: ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Администратор ИБ ИСПДн
«___» __________ 201__ г.
_____________________
(подпись)
___________________
(фамилия, инициалы)
Учетное имя, персональный идентификатор и начальные значения (при отсутствии зачеркнуть)
паролей получил, о порядке смены пароля при первом входе в систему проинструктирован
Пользователь
______________________________
(подпись, фамилия, инициалы)
«___» ____________ 201__ г.
ПРИЛОЖЕНИЕ 2. Лист регистрации изменений
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с Инструкцией по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных
Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 5
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
по действиям пользователей информационных систем персональных данных Министерства промышленной политики Республики Крым в нештатных ситуациях
г. Симферополь
2017 г.
Содержание
1.Общие положения
2.Порядок действий при обнаружении нештатных ситуаций
3.ПроВЕДЕНИЕ расследований
4. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
5.Порядок замещения ответственных лиц
6.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1. СРЕДСТВА ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ
ПРИЛОЖЕНИЕ 2. ПЛАН ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ
ПРИЛОЖЕНИЕ 3. ЖУРНАЛ УЧЕТА НЕШТАТНЫХ СИТУАЦИЙ
ПРИЛОЖЕНИЕ 4. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
1. Общие положения
Настоящая Инструкция предназначена для определения порядка действий пользователей информационной системы персональных данных (ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство) при возникновении нештатных ситуаций.
Нештатными ситуациям являются:
1) разглашение информации ограниченного доступа, не составляющей государственную тайну (далее защищаемая информация), сотрудниками Министерства, имеющими к ней право доступа, в том числе:
разглашение информации лицам, не имеющим права доступа к защищаемой информации;
передача защищаемой информации по открытым линиям связи;
обработка защищаемой информации на незащищенных технических средствах обработки информации;
опубликование защищаемой информации в открытой печати и других средствах массовой информации;
передача носителя информации лицу, не имеющему права доступа к ней;
утрата носителя с защищаемой информацией;
2) неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации:
несанкционированное изменение защищаемой информации;
несанкционированное копирование защищаемой информации.
3) Несанкционированный доступ к защищаемой информации:
подключение технических средств к средствам и системам объекта информатизации;
использование закладочных устройств;
маскировка под зарегистрированного пользователя;
использование дефектов программного обеспечения объекта информатизации (ОИ);
использование программных закладок;
применение программных вирусов;
хищение носителя защищаемой информации;
нарушение функционирования технических средств (ТС) обработки информации;
блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку;
4) дефекты, сбои, отказы, аварии ТС и систем ОИ;
5) дефекты, сбои и отказы программного обеспечения ОИ;
6) сбои, отказы и аварии систем обеспечения ОИ;
7) природные явления, стихийные бедствия:
термические, климатические факторы (пожары, наводнения и т.д.);
механические факторы (землетрясения и т.д.);
электромагнитные факторы (грозовые разряды и т.д.).
В случае возникновения нештатной ситуации, порядок действий при которой не регламентирован настоящей инструкцией администратором информационной безопасности (ИБ) ИСПДн, ответственным за обеспечение безопасности персональных данных (ПДн) Министерства вырабатывается конкретный план действий с учетом текущей ситуации.
Резервируемые в Министерстве информационные ресурсы и способы их резервирования представлены в Приложении 1 к настоящей Инструкции.
Порядок оповещения должностных лиц и сроки выполнения мероприятий при нештатных ситуациях определены в Приложении 2 к настоящей Инструкции.
Для эффективной реализации мероприятий по реагированию в случае нештатных ситуаций должны проводиться регулярные тренировки по различным нештатным ситуациям. По результатам тренировки в случае необходимости проводится уточнение настоящей Инструкции.
Должностные лица Министерства знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
Ознакомление с требованиями Инструкции сотрудников Министерства осуществляет администратор ИБ ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.
2. Порядок действий при обнаружении нештатных ситуаций
2.1. Классификация нештатных ситуаций
Нештатные ситуации классифицируются в соответствии с оценками, представленными в таблице 3.1.
Таблица 3.1. Оценки нештатных ситуаций
Нештатная ситуация
Оценка ситуации
(раздел Инструкции)
Разглашение защищаемой информации сотрудниками, имеющими к ней право доступа
(2.2)
Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации
Несанкционированное копирование защищаемой информации
Обнаружился случившийся факт (2.2)
Производится в текущий момент (2.3)
Несанкционированное изменение защищаемой информации
Обнаружился случившийся факт (2.2)
Производится в текущий момент (2.3)
Несанкционированный доступ к защищаемой информации
Подключение технических средств к средствам и системам объекта информатизации (ОИ)
Обнаружился случившийся факт (2.2)
Производится в текущий момент (2.4)
Установка закладочных устройств
Обнаружение установленных (2.2)
Устанавливаются в настоящий момент (2.5)
Маскировка под зарегистрированного пользователя
Внешним злоумышленником в текущий момент (2.6)
Внутренним злоумышленником, либо производилась в прошлом (2.2)
Использование дефектов программного обеспечения ОИ
Внешним злоумышленником в текущий момент (2.7)
Внутренним злоумышленником, либо производилось в прошлом (2.2)
Использование программных закладок
Внешним злоумышленником в текущий момент (2.8)
Внутренним злоумышленником, либо производилось в прошлом (2.2)
Обнаружение программных вирусов
(2.9)
Хищение носителя защищаемой информации
(2.2)
Нарушение функционирования ТС обработки информации злоумышленником
Производится в текущий момент (2.10)
Обнаружился случившийся факт (2.11)
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку
Производится в текущий момент внешним злоумышленником (2.12)
Производится в текущий момент внутренним злоумышленником (2.13)
Обнаружился случившийся факт (2.14)
Ошибки пользователей системы при эксплуатации программных средств, ТС, средств и систем защиты информации
Ошибка повлекла утерю или повреждение защищаемой информации (2.15)
Ошибка привела к нарушению работоспособности ТС и ПО (2.16)
Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ
(2.17)
Сбои, отказы и аварии систем обеспечения ОИ
(2.18)
Природные явления, стихийные бедствия
Несущие угрозу жизни человека
(2.19)
Не несущие угрозу жизни человека
(2.20)
2.2. Нештатные ситуации, которые повлекли утечку или повреждение защищаемой информации, либо созданы внутренним злоумышленником
При обнаружении нештатных ситуаций, которые повлекли утечку или повреждение защищаемой информации, либо созданы внутренним злоумышленником, создается комиссия.
В первую очередь администратором ИБ ИСПДн предпринимаются действия по сбору и обеспечению сохранности улик незаметно для злоумышленника при нештатных ситуациях, связанных с:
разглашением защищаемой информации;
обнаружением несанкционированно скопированной или измененной защищаемой информации;
обнаружением подключения технических средств к средствам и системам объекта информатизации;
обнаружением закладочных устройств;
маскировкой под зарегистрированного пользователя внутренним злоумышленником или обнаружением факта маскировки в прошлом (как внутренним, так и внешним злоумышленником);
использованием дефектов программного обеспечения ОИ внутренним злоумышленником или обнаружением факта их использования в прошлом (как внутренним, так и внешним злоумышленником);
использованием программных закладок внутренним злоумышленником или обнаружением факта их использования в прошлом (как внутренним, так и внешним злоумышленником);
хищением носителя защищаемой информации.
Комиссия, дополнительно к общему порядку действий (в соответствии с разделом 3), должна:
если это возможно, определить организации, в которые произошла утечка защищаемой информации;
определить возможные контрмеры, призванные уменьшить ущерб от утечки информации.
2.3. Несанкционированное копирование или изменение конфиденциальной информации в текущий момент времени со стороны лиц, имеющих право доступа к ней
В случае обнаружения злоумышленника неправомерно копирующего, либо изменяющего защищаемую информацию выполняются следующие действия.
2.3.1. Первоочередные действия
Администратор ИБ ИСПДн прерывает несанкционированный процесс.
Администратор ИБ ИСПДн блокирует доступ к ИСПДн Министерства для злоумышленника.
Администратор ИБ ИСПДн совместно с ответственным за обеспечение безопасности ПДн Министерства удаляют нарушителя от средств ИСПДн.
Ответственным за обеспечение безопасности ПДн совместно с администратором ИБ ИСПДн предпринимаются действия по сбору и обеспечению сохранности улик.
2.3.2. Последующие действия
Создается комиссия для расследования инцидента.
2.4. Подключение технических средств к средствам и системам ОИ в текущий момент времени
В случае обнаружения злоумышленника, производящего подключение к техническим средствам и системам ОИ в текущий момент времени, выполняются следующие действия.
2.4.1. Первоочередные действия
Администратор ИБ ИСПДн прерывает процесс работы нарушителя.
В случае если нарушитель – пользователь ИСПДн, администратор ИБ ИСПДн блокирует доступ в ИСПДн Министерства для нарушителя.
2.4.2. Последующие действия
Создается комиссия для расследования инцидента.
2.5. Установка закладочных устройств злоумышленником в текущий момент времени
В случае обнаружения злоумышленника, устанавливающего закладочные устройства, выполняются следующие действия.
2.5.1. Первоочередные действия
Администратор ИБ ИСПДн принимает меры к задержанию злоумышленника.
2.5.2. Последующие действия
Создается комиссия для расследования инцидента.
2.6. Маскировка под зарегистрированного пользователя внешним злоумышленником в текущий момент времени
В случае обнаружения внешнего злоумышленника, маскирующегося под зарегистрированного пользователя, выполняются следующие действия.
2.6.1. Первоочередные действия
Администратор ИБ ИСПДн блокирует доступ к ИСПДн Министерства для злоумышленника.
2.6.2. Последующие действия
Создается комиссия для расследования инцидента.
2.7. Использование дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени
В случае обнаружения использования дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени выполняются следующие действия.
2.7.1. Первоочередные действия
Администратор ИБ ИСПДн блокирует доступ из внешних сетей к оборудованию, на котором используется уязвимое ПО.
2.7.2. Последующие действия
Создается комиссия для расследования инцидента.
2.8. Использование программных закладок внешним нарушителем в текущий момент времени
В случае обнаружения использования программной закладки внешним нарушителем в текущий момент времени выполняются следующие действия.
2.8.1. Первоочередные действия
Администратор ИБ ИСПДн блокирует доступ из внешних сетей к оборудованию, на котором установлена программная закладка.
2.8.2. Последующие действия
Администратор ИБ ИСПДн определяет возможный ущерб, нанесенный программной закладкой.
Администратор ИБ ИСПДн проводит мероприятия по обнаружению внедренных программных закладок и их нейтрализации, планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента.
Составляется акт об инциденте.
2.9. Обнаружение программных вирусов
В случае обнаружения программных вирусов выполняются действия, предусмотренные Инструкцией по антивирусной защите.
2.10. Нарушение функционирования ТС обработки информации в текущий момент времени злоумышленником
В случае обнаружения злоумышленника, нарушающего функционирование ТС обработки информации в текущий момент времени, выполняются следующие действия.
2.10.1. Первоочередные действия
Администратор ИБ ИСПДн принимает меры по немедленному удалению злоумышленника от средств вычислительной техники.
В случае если злоумышленник является пользователем системы, Администратор ИБ ИСПДн блокирует доступ к ИСПДн Министерства для злоумышленника.
2.10.2. Последующие действия
В случае наличия повреждений Администратор ИБ ИСПДн определяет ущерб, нанесенный ТС и информации.
Администратор ИБ ИСПДн производит восстановление работоспособности системы.
Создается комиссия для расследования инцидента.
2.11. Обнаружение нарушения функционирования ТС обработки информации, произведенного злоумышленником
В случае обнаружения нарушений в функционировании ТС обработки информации, выполняются следующие действия.
Администратор ИБ ИСПДн определяет возможный круг лиц, причастных к нарушению функционирования ТС, определяет объем повреждений техническим и информационным ресурсам.
Администратор ИБ ИСПДн производит восстановление работоспособности системы.
Создается комиссия для расследования инцидента.
2.12. Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внешним злоумышленником в текущий момент времени
В случае обнаружения внешней атаки, направленной на блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку в текущий момент времени, выполняются следующие действия.
2.12.1. Первоочередные действия
Администратор ИБ ИСПДн выявляет источник ложных заявок.
Администратор ИБ ИСПДн вырабатывает решение по блокированию потока ложных заявок и реализует выбранное решение.
2.12.2. Последующие действия
Администратор ИБ ИСПДн уведомляет провайдера, от которого идут ложные заявки, планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента.
Администратор ИБ ИСПДн составляет акт об инциденте.
2.13. Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внутренним злоумышленником в текущий момент времени
В случае обнаружения внутренней атаки, направленной на блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку в текущий момент времени, выполняются следующие действия:
Администратор ИБ ИСПДн выявляет источник ложных заявок и блокирует доступ к ИСПДн Министерства для злоумышленника.
Создается комиссия для расследования инцидента.
2.14. Блокировка доступа к защищаемой информации, произошедшая в прошлом
При обнаружении факта блокировки доступа к защищаемой информации, произошедшей в прошлом, выполняются следующие действия.
Администратор ИБ ИСПДн выявляет источник ложных заявок.
В случае если злоумышленник является внешним, администратор ИБ ИСПДн уведомляет провайдера, от которого идут ложные заявки. Планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента.
В случае если злоумышленник является внешним, администратор ИБ ИСПДн составляет акт об инциденте.
Создается комиссия для расследования инцидента.
2.15. Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации
В случае обнаружения ошибок пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации, выполняются следующие действия.
2.15.1. Первоочередные действия
Администратор ИБ ИСПДн проводит анализ и идентификацию причин инцидента.
В случае возможности злоумышленных действий выполняется последовательность действий, предусмотренная в соответствующем разделе Инструкции.
Администратор ИБ ИСПДн определяет ущерб, нанесенный нештатной ситуацией.
Администратор ИБ ИСПДн проводит мероприятия по восстановлению работоспособности системы и информации.
2.15.2. Последующие действия
Проводится проверка знаний сотрудника, виновного в инциденте, а в случае необходимости его обучение.
Администратор ИБ ИСПДн составляет акт об инциденте, в случае необходимости выносит предложение Руководителю Министерства о применении дисциплинарной меры в отношении нарушителя.
2.16. Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО
В случае обнаружения ошибок пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО, выполняются следующие действия.
2.16.1. Первоочередные действия
Администратор ИБ ИСПДн проводит анализ и идентификацию причин инцидента.
В случае возможности злоумышленных действий выполняется последовательность действий, предусмотренная в соответствующем разделе Инструкции.
2.16.2. Последующие действия
Администратор ИБ ИСПДн определяет ущерб, нанесенный нештатной ситуацией, восстанавливают работоспособность системы.
Администратор ИБ ИСПДн составляет акт об инциденте, в случае необходимости выносит предложение Руководителю Министерства о применении дисциплинарной меры в отношении нарушителя.
Проводится проверка знаний сотрудника виновного в инциденте, а в случае необходимости его обучение.
2.17. Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ
В случае возникновения дефектов, сбоев, отказов, аварий ТС и систем ОИ выполняются следующие действия.
2.17.1. Первоочередные действия
Администратор ИБ ИСПДн выявляют возможные причины проявления дестабилизирующих факторов.
В случае наличия злоумышленных действий выполняется порядок действий в соответствии с приложением 1.
2.17.2. Последующие действия
Администратор ИБ ИСПДн восстанавливает работоспособность систем.
В случае потери данных администратором ИБ ИСПДн по возможности проводится восстановление их из резервных копий.
Администратором ИБ ИСПДн производится составление акта.
2.18. Сбои, отказы и аварии систем обеспечения ОИ
В случае сбоев, отказов и аварий систем электроснабжения, вентиляции, других обеспечивающих инженерных систем выполняется следующая последовательность действий.
В случае если наблюдается продолжительное отключение электропитания. Администратором ИБ ИСПДн производится отключение ТС до момента истечения резервов системы бесперебойного питания.
Ответственным за материально-техническое обеспечение организуются работы по максимально быстрому восстановлению систем обеспечения.
В случае потери защищаемых данных Администратором ИБ ИСПДн по возможности проводится восстановление их из резервных копий.
Администратором ИБ и ответственным за материально-техническое обеспечение производится составление акта.
2.19. Природные явления, стихийные бедствия, несущие угрозу жизни человека
В случае проявления стихийных бедствий и природных явлений, которые несут угрозу жизни человека, выполняются следующие действия:
Все сотрудники (руководители подразделений в том числе) обязаны личные реквизиты защиты (например, металлические и/или электронные ключи, карты-идентификаторы, ключевые дискеты, печати и пр.) собрать и упаковать в водонепроницаемый пакет (непосредственный руководитель обеспечивает заранее) и лично обеспечивать сохранность этого пакета во время эвакуации.
По «Списку имущества и(или) документов в личном пользовании сотрудника, подлежащего эвакуации в первую очередь» (разрабатываются сотрудниками заранее и постоянно хранятся на рабочем месте) произвести сбор, упаковку, опись (в двух экз. – 1 экз. в тару) документов и технических средств в водонепронецаемую тару (обеспечивает заранее непосредственный руководитель). Упакованное имущество сотрудник передает под роспись (на своем экз. описи) лицам, обеспечивающим доставку имущества на эвакопункт, иначе - лично сопровождает груз во время его транспортировки.
Сотрудник вкладывает в вышеназванный пакет картонную табличку с указанием текущей даты, своих персональных данных (ФИО, наименование организации, номер служебного телефона) и содержащую опись содержимого пакета, заверенную собственноручной подписью.
Руководители обязаны собрать в помещениях подразделения и лично упаковать, (и далее лично хранить, как свои) реквизиты защиты и документы (согласно спискам первой очереди) тех сотрудников, которых на момент эвакуации нет на рабочем месте (болезнь, командировка, учеба, отпуск и т.д.).
Руководители обязаны:
при подготовке к эвакуации проверить обеспеченность (а при отсутствии – обеспечить) сотрудников подразделения и/или администраторов упаковочным материалом, списками документов, дел и имущества, подлежащих эвакуации в первую очередь;
перед выездом в эвакопункт – проконтролировать исполнение задач эвакуации, приняв соответствующие доклады от сотрудников о готовности к эвакуации, провести выборочную проверку готовности (комплектности) документов, дел, имущества подразделения и/или ИСПДн к эвакуации.
2.20. Природные явления, стихийные бедствия, не несущие угрозу жизни человека
В случае проявления стихийных бедствий и природных явлений, которые не несут угрозу жизни и/или человека, выполняются следующие действия:
Сотрудники Министерства выключают свои персональные компьютеры.
Администратор ИБ ИСПДн выключает серверы и сетевое оборудование.
Администратор ИБ ИСПДн принимает меры к эвакуации резервных копий с информацией, системных блоков компьютеров, содержащих особо ценную информацию, документов и другого имущества. В первую очередь эвакуируется имущество по «Списку имущества и(или) документов в личном пользовании сотрудника, подлежащего эвакуации в первую очередь».
В случае локальных пожаров и частичных затоплений Ответственным за материально-техническое обеспечение организуются работы по ликвидации нештатной ситуации и ее последствий.
3. ПроВЕДЕние расследований
Для расследования опасных ситуаций в случаях, предусмотренных настоящей Инструкцией может создаваться комиссия. В состав комиссии должны входить:
председатель;
ответственный за обеспечение безопасности ПДн;
администратор ИБ ИСПДн;
администратор ИСПДн;
юрист;
другие лица по решению председателя комиссии.
Деятельность комиссии должна по возможности происходить в режиме конфиденциальности.
В общем случае комиссия проводит:
анализ и идентификацию причин инцидента, определение виновных;
определение ущерба, нанесенного нештатной ситуацией;
планирование мер для предотвращения повторения, нейтрализации последствий (если это возможно);
анализ и сохранение доказательств, следов инцидента, улик и свидетельств;
определение меры взыскания с виновного;
взаимодействие, при необходимости с правоохранительными органами.
При сохранении улик, если есть возможность, Администратором ИБ ИСПДн производится резервное копирование системной и защищаемой информации технических средств, вовлеченных в инцидент, включая логи (контрольные записи).
По результатам деятельности комиссии составляется акт с описанием ситуации. К акту прилагаются поясняющие материалы (копии экрана, распечатки журнала событий, и др.).
По результатам расследования администраторами организуются мероприятия по реализации предложенных комиссией мер для предотвращения либо уменьшения вероятности проявления, подобных инцидентов в дальнейшем.
При проведении расследований, кроме того, необходимо ответить на следующие вопросы:
можно ли было предупредить нештатную ситуацию?
вызвана ли она слабостью средств защиты и регистрации?
это первая кризисная ситуация такого рода?
достаточно ли имеющегося резерва?
есть ли необходимость пересмотра системы защиты?
есть ли необходимость пересмотра настоящей инструкции?
4. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственными за постоянный контроль выполнения требований данной Инструкции являются:
администратор ИБ ИСПДн в части задач, возложенных на него настоящей инструкцией;
ответственный за обеспечение безопасности ПДн в части общего контроля информационной безопасности;
ответственный за материально-техническое обеспечение, в части задач, возложенных на него настоящей инструкцией.
5. Порядок замещения ответственных лиц
В случае отсутствия кого-либо из ответственных лиц при нештатной ситуации (отпуск, болезнь и т.п.) производится их замещение в соответствии с последовательностями, определенными ниже. Ответственное лицо замещает следующий идущий по списку сотрудник.
Ответственные за информационную безопасность и ИСПДн
Администратор ИБ ИСПДн;
Ответственный за обеспечение безопасности ПДн;
Администратор ИСПДн;
Руководитель Министерства.
Ответственные за материально-техническое обеспечение
Администратор ИБ ИСПДн;
Ответственный за обеспечение безопасности ПДн;
Администратор ИСПДн;
Руководитель Министерства.
6. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении приоритетов угроз безопасности ИСПДн Министерства, кроме того, полный плановый пересмотр данного документа проводится регулярно, не реже одного раза в год, с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Инструкция подлежит частичному пересмотру в следующих случаях:
при изменении местоположения, состава и объема информационных ресурсов, подлежащих резервному копированию;
при определении такой необходимости комиссией по результатам расследования нештатной ситуации;
в целях повышения эффективности мероприятий, определенных в настоящей инструкции;
при изменении состава, обязанностей и полномочий должностных лиц Министерства, которые задействованы в мероприятиях настоящей Инструкции.
Полный пересмотр данного документа проводится администратором ИБ ИСПДн, ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Министерства.
Частичный пересмотр данного документа проводится администратором ИБ ИСПДн. Частичный пересмотр должен проводиться регулярно, не реже одного раза в полгода. При этом могут быть добавлены, удалены или изменены приложения Инструкции с обязательным указанием оснований и внесенных изменений в «Листе регистрации изменений в Инструкции» (Приложение 3) без переутверждения всей Инструкции.
Стр.1
ПРИЛОЖЕНИЕ 1. ПЛАН ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ
Тип кризисной ситуации
Критерии кризисной ситуации
Кому [1]и в какие сроки докладывается
Срок реализации первоочередных действий
Максимальное время для выполнения всех мероприятий
В рабочее время
В нерабочее время
Неправомерные действия со стороны лиц допущенных к защищаемой информации
Разглашение защищаемой информации сотрудниками, имеющими к ней право доступа
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Обнаружение несанкционированно скопированной или измененной конфиденциальной информации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Несанкционированное копирование или изменение конфиденциальной информации в текущий момент времени со стороны лиц имеющих право доступа к ней
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Несанкционированный доступ к информации
Обнаружение подключения технических средств к средствам и системам объекта информатизации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Подключение технических средств к средствам и системам ОИ в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Обнаружение закладочных устройств
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Установка закладочных устройств злоумышленником в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Маскировка под зарегистрированного пользователя внешним злоумышленником в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
5 минут в рабочее время (1 час в нерабочее)
Маскировка под зарегистрированного пользователя внутренним злоумышленником или обнаружением факта маскировки
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Использование дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Использование программных закладок внешним нарушителем в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
Использование программных закладок внутренним злоумышленником или обнаружение факта использования
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Обнаружение программных вирусов
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
12 часов
Хищение носителя защищаемой информации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
Нарушение функционирования ТС обработки информации в текущий момент времени злоумышленником
Нарушена работа одного пользователя
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
2 дня
Нарушена работа группы пользователей
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
10 минут в рабочее время (1 час в нерабочее)
1 день
Обнаружение нарушения функционирования ТС обработки информации произведенного злоумышленником
Нарушена работа одного пользователя
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
2 дня
Нарушена работа группы пользователей
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
1 день
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внешним злоумышленником в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
20 минут в рабочее время (1 час в нерабочее)
7 дней
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внутренним злоумышленником в текущий момент времени
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
20 минут в рабочее время (1 час в нерабочее)
1 день
Обнаружение произошедшего факта блокировки доступа к защищаемой информации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
1 день
Ошибки пользователей системы
Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
2 часа в рабочее время (12 часов в нерабочее)
1 день
Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО
Нарушена работа одного пользователя
Администратору ИБ ИСПДн сразу после инцидента
Администратору ИБ ИСПДн в первый рабочий день после инцидента
20 минут
2 дня
Нарушена работа группы пользователей
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн сразу после обнаружения инцидента
20 минут
1 день
Объективные факторы
Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ
Сбой ТС и систем ОИ
Администратору ИБ ИСПДн сразу после инцидента
Администратору ИБ ИСПДн сразу после инцидента
1 час
2 дня
Отказ ТС и систем ОИ, затронувший работу группы пользователей
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
1 час в рабочее время (8 часов в нерабочее)
1 день
Отказ ТС и систем ОИ, затронувший работу одного пользователя
Администратору ИБ ИСПДн сразу после инцидента
Администратору ИБ ИСПДн в первый рабочий день после инцидента
1 час
2 дня
Авария ТС и систем ОИ
Администратору ИБ ИСПДн сразу после обнаружения инцидента
Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
1 час
1 день
Сбои, отказы и аварии систем обеспечения ОИ
Сбой систем обеспечения ОИ
Ответственному за материально-техническое обеспечение сразу после инцидента
Ответственному за материально-техническое обеспечение в первый рабочий день после инцидента
Отказ систем обеспечения ОИ, затронувший работу группы пользователей
Ответственному за материально-техническое обеспечение и Администратору ИБ ИСПДн сразу после обнаружения инцидента
Ответственному за материально-техническое обеспечение и Администратору ИБ ИСПДн сразу после обнаружения инцидента
1 день
Отказ систем обеспечения ОИ, затронувший работу одного пользователя
Ответственному за материально-техническое обеспечение сразу после инцидента
Ответственному за материально-техническое обеспечение в первый рабочий день после инцидента
2 дня
Авария систем обеспечения ОИ
Ответственному за материально-техническое обеспечение, Администратору ИБ ИСПДн сразу после обнаружения инцидента
Ответственному за материально-техническое обеспечение, Администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента
1 день
Природные явления, стихийные бедствия, несущие угрозу жизни человека
Руководителю, заместителям Руководителю, которые оповещают всех своих сотрудников сразу после получения информации
Руководителю, заместителям Руководителю, которые оповещают всех своих сотрудников сразу после получения информации
30 минут
Природные явления, стихийные бедствия, не несущие угрозу жизни человека
Руководителю, заместителям Руководителю, Администратору ИБ ИСПДн
Руководителю, заместителям Руководителю, Администратору ИБ ИСПДн
30 минут
Инструкция по действиям персонала в нештатных ситуациях
ПРИЛОЖЕНИЕ 2. ЖУРНАЛ УЧЕТА НЕШТАТНЫХ СИТУАЦИЙ
ЖУРНАЛ
учета нештатных ситуаций
№ п/п
Дата, ИСПДн, ПЭВМ,
описание ситуации, выполненные работы
Подпись исполнителя
Подпись администратора
ПРИЛОЖЕНИЕ 3. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с Инструкцией по действиям пользователей информационных систем персональных данных Министерства промышленной политики Республики Крым в нештатных ситуациях
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 6
к приказу Министерства промышленной политики Республики Крым от «___»________2017 г.№______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
Инструкция
по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
Содержание
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. Порядок проведения работ
3. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
4. ОТВЕТСТВЕННЫЕ ЗА Организацию и контроль ВЫПОЛНЕНИя ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1. ЗАЯВКА НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ
ПРИЛОЖЕНИЕ 2. АКТ ЗАТИРАНИЯ ИНФОРМАЦИИ
ПРИЛОЖЕНИЕ 3. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных (ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство), включает в себя описание комплекса организационно-технических мер по проведению работ по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИСПДн.
Требования настоящей Инструкции распространяются на всех должностных лиц и сотрудников подразделений Министерства, использующих в работе ИСПДн, в которых осуществляется обработка информации ограниченного доступа, не составляющей государственной тайны.
Должностные лица Министерства, задействованные в обеспечении функционирования ИСПДн Министерства, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
Ознакомление с требованиями Инструкции пользователей ИСПДн осуществляет администратор информационной безопасности (ИБ) ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.
Непосредственное исполнение настоящей Инструкции определяется администратором (ИБ) ИСПДн по согласованию с ответственным за обеспечение безопасности персональных данных (ПДн) Министерства.
2. Порядок проведения работ
Все изменения конфигурации технических и программных средств рабочих станций Министерства должны производиться только на основании заявок руководителей структурных подразделений Министерства (Приложение 1), согласованных с Руководителем Министерства. Производственная необходимость проведения указанных в заявке изменений подтверждается подписью руководителя структурного подразделения.
В заявке указываются наименование персональной электронной вычислительной машины (ПЭВМ) и ответственный за нее сотрудник. После чего заявка передается администратору ИБ ИСПДн для исполнения работ по внесению изменений в конфигурацию ПЭВМ ИСПДн Министерства.
Право внесения изменений в конфигурацию аппаратно-программных средств рабочих станций ИСПДн Министерства предоставляется администратору ИБ ИСПДн, а также ответственному за обеспечение безопасности ПДн. Изменение конфигурации аппаратно-программных средств рабочих станций и серверов кем-либо без согласования с администратором ИБ ИСПДн и/или ответственным за обеспечение безопасности ПДн, ЗАПРЕЩЕНО.
Установка и настройка программного средства осуществляется администратором ИБ ИСПДн согласно эксплуатационной документации.
Запрещается установка и использование на ПЭВМ (серверах) программного обеспечения (ПО), не входящего в перечень программного обеспечения, разрешенного к использованию в Министерства.
Руководители структурных подразделений осуществляют контроль за отсутствием на ПЭВМ сотрудников подразделения программного обеспечения и данных, не связанных с выполнением должностных обязанностей.
Установка (обновление) ПО (системного, тестового и т.п.) на средствах вычислительной техники производится с эталонных копий программных средств, хранящихся у администратора ИСПДн. Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также отсутствие вредоносного программного кода в соответствии с «Инструкцией по организации антивирусной защиты ИСПДн Министерства».
После установки (обновления) ПО администратор ИБ ИСПДн должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства) в соответствии с требованиями к системе защиты информации и, совместно с пользователем ПЭВМ, проверить правильность настройки средств защиты.
В случае обнаружения недекларированных (не описанных в документации) возможностей программного средства, сотрудники немедленно докладывают руководителю своего подразделения и администратору ИБ ИСПДн. Использование программного средства до получения специальных указаний ЗАПРЕЩАЕТСЯ.
После завершения работ по внесению изменений в состав аппаратных средств, защищенных ПЭВМ системный блок должен быть опечатан (опломбирован, защищен специальной наклейкой) администратором ИБ ИСПДн.
При изъятии ПЭВМ из состава рабочих станций, обрабатывающих защищаемую информацию, ее передача на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после того, как администратор ИБ ИСПДн снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания (уничтожения) защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора ИСПДн. Форма Акта приведена в Приложении 2.
Допуск новых пользователей к решению задач с использованием вновь развернутого ПО (либо изменение их полномочий доступа) осуществляется согласно «Инструкции по внесению изменений в списки пользователей системы и наделению пользователей полномочиями доступа к ресурсам ИСПДн Министерства».
Оригиналы заявок (документов), на основании которых производились изменения в составе технических или программных средств ПЭВМ с отметками о внесении изменений в состав аппаратно-программных средств должны храниться у администратора ИБ ИСПДн.
3. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Полный пересмотр данного документа проводится ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Форма регистрации изменений в Инструкции представлена в Приложении 3.
Вносимые изменения не должны противоречить другим положениям Инструкции.
4. ОТВЕТСТВЕННЫЕ ЗА Организацию и контроль ВЫПОЛНЕНИя ИНСТРУКЦИИ
Ответственность за организацию контрольных и проверочных мероприятий по вопросам установки, модификации технических и программных средств возлагается на администратора ИБ ИСПДн.
Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1. ЗАЯВКА НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ
Министру промышленной политики
Республики Крым
(резолюция)
ЗАЯВКА
на внесение изменений в состав программного (аппаратного) обеспечения
(ненужное зачеркнуть)
_____________________________________________________________________________
(Наименование ПЭВМ)
Прошу дать указания ответственным сотрудникам для организации установки (изменения настроек)
(ненужное зачеркнуть)
(перечень ПО (аппаратных средств) и необходимых настроек)
для решения задач:
следующим пользователям:
(фамилия, имя, отчество)
Начальник
______________________________________________________ (наименование структурного подразделения)
«___» __________ 201__ г.
_____________________
(подпись)
____________________(Фамилия, инициалы)
Оборотная сторона заявки
Изменения на ПЭВМ ИСПДн произведены (не произведены) по следующей причине: (ненужное зачеркнуть)
Выполнены следующие работы:
Выполнены следующие изменения в настройках средств защиты:
Администратор ИБ ИСПДн
«___» __________ 201__ г.
_________________________
(подпись)
______________________
(фамилия, инициалы)
ПРИЛОЖЕНИЕ 2. АКТ ЗАТИРАНИЯ ИНФОРМАЦИИ
АКТ
затирания остаточной информации, хранившейся на диске компьютера
Все файлы, содержащие подлежащую защите информацию, находившиеся на НЖМД
____________________________________________________________________________________, (модель, серийный номер)
передаваемого
(с какой целью)
(кому: должность, Ф.И.О.)
ПЭВМ:
(наименование ПЭВМ)
уничтожены (затерты) посредством программы ________________________________.
Администратор ИБ ИСПДн
«___» __________ 201__ г.
_________________________
(подпись)
______________________
(фамилия, инициалы)
ПРИЛОЖЕНИЕ 3. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных
средств информационных систем персональных данных
Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 7
к приказу Министерства промышленной
политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
Инструкция
по организации антивирусной защиты информационных систем персональных данных Министерства промышленной политики Республики Крым
г. Симферополь
2017 г.
Список сокращений
ИСПДн
Информационная система персональных данных
ИБ
Информационная безопасность
ПДн
Персональные данные
ПО
Программное обеспечение
ПЭВМ
Персональная электронная вычислительная машина
САЗ
Система антивирусной защиты
СВТ
Средства вычислительной техники
Содержание
1. ОБЩИЕ ПОЛОЖЕНИЯ
2.Применение средств антивирусной защиты
3.Функции Администратора ИСПДн по обеспечению антивирусной безопасности
4.Функции пользователей
5.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
6.ОТВЕТСТВЕННЫЕ ЗА Организацию и контроль ВЫПОЛНЕНИя ИНСТРУКЦИ
ПРИЛОЖЕНИЕ 1 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Инструкция по организации антивирусной защиты информационных систем персональных данных Министерства промышленной политики Республики Крым (далее – Министерство) определяет требования к организации защиты информационных систем персональных данных (далее ИСПДн) от разрушающего воздействия компьютерных вирусов и другого вредоносного программного обеспечения (ПО) и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих ИСПДн, за их выполнение.
1.2. Требования настоящей Инструкции распространяются на всех должностных лиц и сотрудников подразделений Министерства, использующих в работе ИСПДн Министерства.
1.3. В целях закрепления знаний по вопросам практического исполнения требований Инструкции, разъяснения возникающих вопросов, проводятся организуемые администратором информационной безопасности (ИБ) ИСПДн семинары и персональные инструктажи (при необходимости) пользователей ИСПДн Министерства.
1.4. Доведение Инструкции до сотрудников Министерства в части их касающейся осуществляется администратором ИБ ИСПДн под роспись в журнале или на самом документе.
2. Применение средств антивирусной защиты
2.1. Антивирусный контроль дисков и файлов ИСПДн после загрузки компьютера должен проводиться в автоматическом режиме (периодическое сканирование или мониторинг).
2.2. Периодически, не реже одного раза в неделю, должен проводиться полный антивирусный контроль всех дисков и файлов ИСПДн (сканирование).
2.3. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая информация по телекоммуникационным каналам связи, на съемных носителях (магнитных дисках, CD-ROM и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема. Контроль исходящей информации необходимо проводить непосредственно перед отправкой (записью на съемный носитель).
2.4. Установка (обновление и изменение) системного и прикладного программного обеспечения осуществляется в соответствии с «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИСПДн Министерства».
2.5. Обновление антивирусных баз должно проводиться регулярно, но не реже, чем 1 раз в неделю.
3. Функции Администратора ИСПДн по обеспечению антивирусной безопасности
Администратор ИБ ИСПДн обязан:
3.1. При необходимости проводить инструктажи пользователей ИСПДн по вопросам применения средств антивирусной защиты.
3.2. Настраивать параметры средств антивирусного контроля в соответствии с руководствами по применению конкретных антивирусных средств.
3.3. Предварительно проверять устанавливаемое (обновляемое) программное обеспечение на отсутствие вирусов.
3.4. При необходимости производить обновление антивирусных программных средств.
3.5. Производить получение и рассылку (при необходимости) обновлений антивирусных баз.
3.6. При необходимости разрабатывать инструкции по работе пользователей с программными средствами САЗ.
3.7. Проводить работы по обнаружению и обезвреживанию вирусов.
3.8. Участвовать в работе комиссии по расследованию причин заражения ПЭВМ и серверов.
3.9. Хранить эталонные копии антивирусных программных средств.
3.10. Осуществлять периодический контроль за соблюдением пользователями ПЭВМ требований настоящей Инструкции;
3.11. Разрабатывать инструкции по работе пользователей с системой антивирусной защиты информации.
3.12. Проводить периодический контроль работы программных средств системы антивирусной защиты информации на ПЭВМ (серверах).
4. Функции пользователей
Пользователи ИСПДн:
4.1. Получают по ЛВС или от администратора ИБ ИСПДн носители с обновлениями антивирусных баз (в случае отсутствия механизмов централизованного распространения антивирусных баз).
4.2. Проводят обновления антивирусных баз на ПЭВМ (в случае отсутствия механизмов централизованного распространения антивирусных баз).
4.3. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник подразделения самостоятельно или вместе с администратором ИБ ИСПДн должен провести внеочередной антивирусный контроль ПЭВМ. При необходимости он должен привлечь администратора ИБ ИСПДн для определения факта наличия или отсутствия компьютерного вируса.
4.4. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники подразделений обязаны:
приостановить работу;
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя подразделения и администратора ИБ ИСПДн, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь администратора ИБ ИСПДн);
в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, передать зараженный вирусом файл на съемном носителе администратору ИБ ИСПДн для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку;
по факту обнаружения зараженных вирусом файлов составить служебную записку администратору ИБ ИСПДн, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации и выполненные антивирусные мероприятия.
5. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
5.1. Инструкция подлежит полному пересмотру в случае приобретения Министерством новых средств защиты, существенно изменяющих порядок работы с ними.
5.2. В остальных случаях Инструкция подлежит частичному пересмотру.
5.3. Полный пересмотр данной Инструкции проводится с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Министерства.
5.4. Изменения в Инструкции (сведения о них) фиксируется в листе регистрации изменений (Приложение 2).
5.5. Вносимые изменения не должны противоречить другим положениям Инструкции. При получении изменений к данному Инструкции, руководители подразделений Министерства в течение трех рабочих дней вносят свои предложения и/или замечания к поступившим изменениям.
6. ОТВЕТСТВЕННЫЕ ЗА Организацию и контроль ВЫПОЛНЕНИя ИНСТРУКЦИИ
6.1. Ответственность за организацию контрольных и проверочных мероприятий по вопросам антивирусной защиты возлагается на администратора ИБ ИСПДн.
6.2. Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
ЛИСТ № _____ регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
Лист ознакомления
с Инструкцией по организации антивирусной защиты информационных систем персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия И.О. сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 8
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
по резервному копированию защищаемой информации в информационных системах персональных данных Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
СОДЕРЖАНИЕ
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.ПЕРИОДИЧНОСТЬ И СХЕМА РЕЗЕРВНОГО КОПИРОВАНИ
3.ПОРЯДОК РЕЗЕРВНОГО КОПИРОВАНИЯ
4.ХРАНЕНИЕ РЕЗЕРВНЫХ КОПИЙ
5.ВОССТАНОВЛЕНИЕ ПОСЛЕ СБОЯ
6.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
7.ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1 ФОРМА РЕГЛАМЕНТА РЕЗЕРВНОГО КОПИРОВАНИЯ
ПРИЛОЖЕНИЕ 2 ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий документ определяет порядок осуществления резервного копирования информационных ресурсов информационных систем персональных данных (ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство).
Процесс резервного копирования обеспечивает сохранение на резервных носителях информации, с целью ее восстановления при потере или порче на основном носителе, и является ключевым элементом защиты от умышленной и неумышленной потери данных.
Конкретные информационные ресурсы, подлежащие резервному копированию, порядок их копирования приводится в «Регламенте резервного копирования» (далее – Регламент), являющимся приложением к настоящей инструкции.
Регламент составляется администратором информационной безопасности (ИБ) ИСПДн Министерства в соответствии с положениями данной Инструкции.
Регламент должен содержать перечень информационных ресурсов, подлежащих резервному копированию, и график осуществления резервного копирования, составленный с учетом требований начальников структурных подразделений и администратора ИБ ИСПДн.
Форма Регламента представлена в Приложении 1.
Резервное копирование осуществляется администратором ИБ ИСПДн и контролируется ответственным за обеспечение безопасности персональных данных (ПДн) Министерства.
Должностные лица Министерства, задействованные в осуществлении резервного копирования информационных ресурсов ИСПДн Министерства, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
2. ПЕРИОДИЧНОСТЬ И СХЕМА РЕЗЕРВНОГО КОПИРОВАНИЯ
При осуществлении резервного копирования используется два типа копирования: полное резервное копирование и инкрементальное резервное копирование.
Резервное копирование информационных ресурсов ИСПДн Министерства осуществляется по трехуровневой схеме ротации.
В соответствии с трехуровневой схемой ротации:
- полное резервное копирование информационных ресурсов выполняется 15-16 числа каждого месяца (архив хранится в течение года и является архивом Уровня 1);
- полное резервное копирование информационных ресурсов выполняется в конце каждой недели (в пятницу) (архив хранится в течение календарного месяца и является архивом Уровня 2);
- полное резервное копирование информационных ресурсов выполняется в начале каждой недели (в ночь с воскресенья на понедельник), затем ежедневно на эту копию выполняется инкрементальное копирование (архив хранится в течение недели и является архивом Уровня 3).
3. ПОРЯДОК РЕЗЕРВНОГО КОПИРОВАНИЯ
Администратор ИБ ИСПДн настраивает задания для ПО, осуществляющего резервное копирование, на автоматическое выполнение в соответствии с перечнем информационных ресурсов, подлежащих резервному копированию и графиком резервного копирования.
Перед выполнением задания резервного копирования администратор ИБ ИСПДн проверяет доступность резервного носителя, а также наличие на нем свободного места для записи данных.
4. ХРАНЕНИЕ РЕЗЕРВНЫХ КОПИЙ
Хранение резервных копий должно быть организовано в помещении, оснащенном соответствующими системами вентиляции, кондиционирования и отопления для поддержки требуемых параметров температуры, влажности и т.п.
Доступ к хранилищу резервных копий должны иметь только администратор ИБ ИСПДн, администратор ИСПДн и ответственный за обеспечение безопасности ПДн.
5. ВОССТАНОВЛЕНИЕ ПОСЛЕ СБОЯ
В случае потери данных на основном носителе из хранилища извлекается резервная копия информационных ресурсов, нуждающихся в восстановлении, от последнего произведенного резервного копирования.
В зависимости от характера и уровня повреждения информационных ресурсов, администратор ИБ ИСПДн восстанавливает либо весь массив резервных данных, либо отдельные поврежденные или уничтоженные файлы и папки.
6. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Полный плановый пересмотр данного документа также проводится регулярно, раз в год, с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Частичный пересмотр данного документа проводится по письменному предложению администратора ИБ ИСПДн. Форма регистрации изменений в Инструкции представлена в Приложении 2.
Вносимые изменения не должны противоречить другим положениям Инструкции.
7. ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственность за выполнение резервного копирования и восстановление данных из резервных копий, а также за соблюдение периодичности и порядка выполнения резервного копирования возлагается на администратора ИБ ИСПДн, а в случае его отсутствия на администратора ИСПДн.
Ответственным за постоянный контроль выполнения требований данной Инструкции является ответственный за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1 ФОРМА РЕГЛАМЕНТА РЕЗЕРВНОГО КОПИРОВАНИЯ
Инф. ресурсы
Уровень копирования
Тип резервного носителя
Средства копирования
Время копирования
Форма отчетности
Место хранения копии
Ресурс 1
Уровень 1
Уровень 2
Уровень 3
Ресурс 2
Уровень 1
Уровень 2
Уровень 3
Ресурс 3
Уровень 1
Уровень 2
Уровень 3
ПРИЛОЖЕНИЕ 2 ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
Лист ознакомления с Инструкцией по резервному копированию защищаемой информации в информационных системах персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 9
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
по порядку проведения проверок состояния защиты персональных данных
Министерства промышленной политики
Республики Крым
г. Симферополь
2017 г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ определяет порядок проведения проверок состояния защиты персональных данных (ПДн) Министерства промышленной политики Республики Крым (далее – Министерство).
1.2. Проведение проверок состояния защиты ПДн осуществляется в целях выявления нарушений требований нормативной документации, установление причин нарушений, разработка плана корректирующих действий, направленных на устранение и предотвращение нарушений.
1.3. Проверки осуществляются администратором информационной безопасности (ИБ) информационных систем персональных данных (ИСПДн), ответственным за обеспечение безопасности ПДн, а также руководителями структурных подразделений в непосредственно подчиненных им подразделениях.
1.4. Должностные лица Министерства, знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
2. Порядок проведения Внутрених проверок
2.1. При проведении внутренней проверки производиться:
– проверка соблюдения требований по обработке и защите персональных данных;
– проверка соблюдения условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;
– проверка эффективности средств защиты ПДн.
2.2. Приказом назначается рабочая группа (комиссия) по проведению проверок состояния защиты ПДн.
2.3. Внутренние проверки проводятся в соответствии с планом внутренних проверок состояния защиты ПДн (далее План). План формируется в конце текущего года на последующий. Форма Плана представлена в Приложении 1.
2.4. План составляется администратором информационной безопасности (ИБ) ИСПДн Министерства в соответствии с положениями данной Инструкции.
2.5. План должен содержать перечень мероприятий по проверке, перечень проверяемых подразделений и сроки проведения проверок, составленные с учетом требований начальников структурных подразделений, ответственного за обеспечение безопасности ПДн и администратора ИБ ИСПДн.
2.6. Внеплановые проверки могут проводиться в случаях получения жалоб, выявления нарушений системы защиты и подготовки к контролю со стороны уполномоченных федеральных органов, регулирующих деятельность в сфере обработки персональных данных.
2.7. На основании утвержденного плана внутренних проверок администратором ИБ ИСПДн составляется приказ о проведении проверки деятельности структурного подразделения Министерства. Приказ издается не позднее, чем за десять дней до даты проверки.
2.8. В ходе работы в проверяемых подразделениях должна быть получена объективная и полная информация по состоянию защиты ПДн.
2.9. Проверяющие имеют право, осматривать помещения, где производится обработка ПДн, получать доступ к техническим средствам, участвующим в обработке ПДн, просматривать настройки СЗИ, а также проводить беседы и консультации с работниками структурных подразделений. Требовать предоставления письменных объяснений, справок, отчетов по вопросам, относящимся к предмету проверки.
2.10. При проведении проверок в общем случае должно проверяться:
наличие установленных средств защиты информации;
корректность настроек средств защиты информации;
выполнение пользователями и администраторами требований инструктивных материалов по защите ПДн;
исполнение требований к процедурам обработки ПДн (уничтожению ПДн, сбору согласий, допуску персонала к ПДн и т.п.);
правильность организации работы с носителями ПДн;
соответствие системы защиты ПДн реальному положению дел в Министерстве и т.п
Для проверки эффективности системы защиты персональных данных должны использоваться средства выявления уязвимостей информационной безопасности
2.11. По результатам проверок составляется акт о результатах внутренней проверки (Приложение 2), выявленных недостатков и нарушений, предложений по их устранению. Руководство проверяемого структурного подразделения должно быть поставлено в известность о выявленных несоответствиях в течение трех дней после проведенной проверки.
3. Корректирующие мероприятия и контроль за их исполнением
3.1. Руководитель проверяемого структурного подразделения анализирует акт о результатах внутренней проверки и в трехдневный срок определяет перечень мероприятий, необходимых для устранения нарушений и их причин.
3.2. Если корректирующие мероприятия касаются других подразделений, то к анализу привлекаются специалисты соответствующих подразделений.
3.3. Выполнение корректирующих мероприятий и их достаточность определяется ответственным за обеспечение безопасности ПДн и администратором ИБ ИСПДн.
3.4. Внутренняя проверка считается оконченной после выполнения всех корректирующих мероприятий и устранения выявленных нарушений.
4. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
4.1. Полный плановый пересмотр данного документа также проводится регулярно, раз в год, с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
4.2. Частичный пересмотр данного документа проводится по письменному предложению администратора ИБ ИСПДн. Форма регистрации изменений в Инструкции представлена в Приложении 3.
4.3. Вносимые изменения не должны противоречить другим положениям Инструкции.
5. ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИе ИНСТРУКЦИИ
Ответственным за выполнения требований данной Инструкции является:
– администратор ИБ ИСПДн в части задач, возложенных на него настоящей инструкцией.
– ответственный за обеспечение безопасности ПДн в части общего контроля информационной безопасности.
Приложение 1 ФОРМА плана внутренних проверок состояния защиты ПДн
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
План внутренних проверок состояния защиты персональных данных на 201_ год
№ п/п
Наименование мероприятия
Наименование подразделения
Период проведения проверки
Отметка о выполнении (№ акта проверки)
Отметка о выполнении корректирующих мероприятий
Примечание
Приложение 2 ФОРМА акта внутренней проверки
АКТ
о результатах внутренней проверки ___________________________________________________
наименование структурного подразделения
№_______ от ___________
Цель проверки_____________________________________________________________
Основание: _______________________________________________________________
Время проведения проверки__________________________________________________
Результаты проверки________________________________________________________
______________________________________________________________________________________________________________________________________________________________________________________________________________________________
Рекомендации по устранению нарушений______________________________________
______________________________________________________________________________________________________________________________________________________________________________________________________________________________
Члены рабочей группы:
Лист ознакомления Инструкцией по порядку проведения проверок состояния защиты персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия И.О. сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 10
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ИНСТРУКЦИЯ
пользователя информационных систем персональных данных
Министерства промышленной политики Республики Крым
г. Симферополь
2017 г.
СОДЕРЖАНИЕ
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.ФУНКЦИИ И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ
3.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
4. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
ПРИЛОЖЕНИЕ 1. Форма РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Ознакомление сотрудников с требованиями настоящей Инструкции проводит администратор информационной безопасности (ИБ) информационной системы персональных данных (ИСПДн) под роспись с выдачей электронных копий Инструкции непосредственно для повседневного использования в работе.
2. ФУНКЦИИ И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ
Каждый сотрудник Министерства, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению и данным информационных систем персональных данных, несет персональную ответственность за свои действия и обязан:
- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
- выполнять свои функциональные обязанности строго в рамках прав доступа к внутренним и внешним информационным ресурсам, техническим средствам, полученным в установленном порядке;
- знать и строго выполнять правила работы со средствами защиты информации, установленными в ИСПДн;
- хранить в тайне свой пароль (пароли);
- исполнять требования «Порядка парольной защиты в автоматизированных системах», «Инструкции по организации антивирусной защиты ИСПДн», а также других документов, регламентирующих вопросы работы в ИСПДн и обеспечение безопасности информации в части, его касающейся;
- немедленно ставить в известность администратора ИБ ИСПДн и руководителя подразделения в случае утери личных реквизитов доступа, при компрометации личных паролей, подозрении на совершение попыток несанкционированного доступа (НСД) к персональным электронно-вычислительным машинам (ПЭВМ), обнаружении несанкционированных изменений в конфигурации программных или аппаратных средств ИСПДн;
- немедленно ставить в известность администратора ИСПДн при обнаружении отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ИСПДн, выхода из строя или неустойчивого функционирования устройств ПЭВМ (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных технических средств защиты информации;
- при обработке на ПЭВМ защищаемой информации присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним ПЭВМ в подразделении;
- при обработке на ПЭВМ защищаемой информации и необходимости использовать носители информации, применять только учтенные носители.
2.1. Сотрудникам ЗАПРЕЩАЕТСЯ:
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;
- хранить и обрабатывать личную информацию на ПЭВМ и серверах ИСПДн;
- при работе в сети Интернет:
использовать информационные ресурсы сети Интернет, содержание которых нарушает действующее законодательство Российской Федерации;
использовать информационные ресурсы сети Интернет для целей, не связанных с областью производственной деятельности пользователя;
использовать информационные ресурсы сети Интернет в личных целях;
вносить изменения в состав и/или процесс работы внешних информационных ресурсов, если такие изменения не санкционированы собственником (владельцем) соответствующего ресурса;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства;
- оставлять без присмотра включенную ПЭВМ, не активизировав средства защиты от НСД;
- оставлять без личного присмотра на рабочем месте или где бы то ни было свои персональные реквизиты доступа;
- оставлять без личного присмотра в легкодоступном месте на рабочем месте или где бы то ни было свои машинные носители и распечатки, содержащие сведения ограниченного распространения;
- использовать в работе неучтенные носители информации для обработки защищаемой информации;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, об обнаружении такого рода ошибок – ставить в известность администратора ИБ ИСПДн и руководителя своего подразделения.
3. ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки информации.
Инструкция подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за обеспечение безопасности персональных данных (ПДн) Министерства.
Полный пересмотр данного документа проводится ответственным за обеспечение безопасности ПДн Министерства с целью проверки соответствия положений данного документа реальным условиям применения их в ИСПДн Министерства.
Форма регистрации изменений в Инструкции представлена в Приложении 1.
Вносимые изменения не должны противоречить другим положениям Инструкции.
4. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственность за соблюдение требований настоящей Инструкции пользователями возлагается на всех сотрудников Министерства, участвующих в обработке ПДн.
Ответственность за организацию контрольных и проверочных мероприятий возлагается на администратора ИБ ИСПДн.
Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1. Форма РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ
регистрации изменений в Инструкции
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
Лист ознакомления
с Инструкцией пользователя информационных систем персональных данных Министерства промышленной политики Республики Крым
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 11
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ПОРЯДОК
Парольной защиты в информационных системах персональных данных
Министерство промышленной политики
Республики Крым
г. Симферополь
2017 г.
СПИСОК СОКРАЩЕНИЙ
АМ
Автоматизированное рабочее место
ИСПДн
Информационная система персональных данных
ЛВС
Локально-вычислительная сеть
ПДн
Персональные данные
ПЭВМ
Персональная электронная вычислительная машина
СВТ
Средства вычислительной техники
ФИО
Фамилия имя отчество
СОДЕРЖАНИЕ
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.ФУНКЦИИ СОТРУДНИКОВ
3.КАЧЕСТВО И ОБРАЩЕНИЕ ПАРОЛЬНОЙ ИНФОРМАЦИИ
4.ОБРАЩЕНИЕ ДОПОЛНИТЕЛЬНЫХ ИДЕНТИФИКАТОРОВ
5.ПЕРЕСМОТР ПОРЯДКА
6.ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ПОРЯДКА
ПРИЛОЖЕНИЕ 1. ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Порядок парольной защиты (далее – Порядок) включает в себя взаимоувязанный комплекс организационно-технических мер, регламентирующих генерацию и/или выбор, использование, хранение, уничтожение парольной информации в информационных системах персональных данных Министерства промышленной политики Республики Крым (далее - Министерство).
1.1. Требования настоящего Порядка являются неотъемлемой частью комплекса мер безопасности и защиты информации в Министерстве.
1.2. Требования настоящего Порядка распространяются на всех должностных лиц и сотрудников подразделений Министерства, использующих в работе ИСПДн, а также всех видов программного обеспечения (ПО), эксплуатируемого в Министерстве.
1.3. Ознакомление сотрудников Министерства с требованиями Порядка проводит Администратор безопасности ИСПДн под роспись в журнале или на самом документе.
1.4. В целях закрепления знаний по вопросам практического исполнения требований Порядка, разъяснения возникающих вопросов, проводятся (при необходимости) персональные инструктажи пользователей ИСПДн Министерства.
2. ФУНКЦИИ СОТРУДНИКОВ
2.1. Непосредственное исполнение, организация и контроль исполнения требований настоящего Порядка в Министерстве осуществляется всеми пользователями ИСПДн, а именно:
Пользователь ИСПДн:
регулярная (с частотой, установленной настоящим Порядком) смена используемой в работе парольной информации;
выбор парольной информации с качеством, установленным настоящим Порядком;
Администратор информационной безопасности (ИБ) ИСПДн:
организационно-методическое обеспечение процессов генерации, смены и удаления паролей в ИСПДн Министерства;
разработка всех необходимых инструкций по вопросам парольной защиты ИСПДн Министерства;
организация доведения до пользователей ИСПДн Министерства требований по парольной защите;
организация периодического и выборочного контроля исполнения сотрудниками Министерства требований настоящего Порядка;
согласование выдачи управляющих учетных записей к ИСПДн;
текущий контроль действий персонала Министерства по работе с паролями (автоматизированный контроль качества паролей – при наличии программно-технических средств);
техническое обеспечение (при наличии программно-технических средств) процессов генерации/выбора, смены и удаления паролей, соответствующая конфигурация ИСПДн.
3. КАЧЕСТВО И ОБРАЩЕНИЕ ПАРОЛЬНОЙ ИНФОРМАЦИИ
3.1. Пароли доступа к аппаратно-программным вычислительным средствам, информационным ресурсам Министерства формируются (выбираются) пользователями этих ресурсов с учетом следующих требований к качеству парольной информации:
№ п/п
Параметр качества пароля
Администратор
Пользователь
Минимальная длина пароля в символах
10
8[2]
Максимальная длина пароля в символах
32
16
Содержание в пароле букв верхнего и нижнего регистра
да
да
Содержание в пароле специальных символов (@, #, $, &, * и т.п.) и цифр
обязательно
рекомендуется
Содержание в пароле личных имен, фамилий, кличек домашних животных, № телефонов, дат рождения, географических названий, именований АРМ и т.п.
нет
нет
Содержание в пароле общепринятых сокращений (ПЭВМ, ЛВС, USER, SYSOP и т.д.)
нет
нет
Минимальное отличие нового пароля от предыдущего (в позициях)
3
3
Максимальный срок действия пароля
30 дней
60 дней
Минимальный срок действия пароля
нет
нет
Дополнительный (типа TM, eToken[3] или другие электронные ключи) идентификатор
рекомендуется
рекомендуется
Пароль на заставку монитора
да
да
3.2. Хранение сотрудником (администратором, пользователем) личных паролей допускается только в личном сейфе (запираемом шкафу, ящике), либо в сейфе (запираемом шкафу, ящике) администратора, либо в сейфе (запираемом шкафу, ящике) руководителя подразделения. При этом бумажный носитель должен быть упакован в отдельный опечатанный конверт.
3.3. Личные пароли и/или дополнительные идентификаторы (электронные ключи) пользователи и администраторы никому не имеют права сообщать и(или) передавать[4];
3.4. Внеплановая смена/удаление пароля (и при возможности учетной записи) пользователя или администратора ИБ ИСПДн в случае прекращения его полномочий должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.
3.5. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий администратора ИБ ИСПДн, других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению ИСПДн, либо полномочия по управлению подсистемой защиты информации ИСПДн[5].
3.6. В случае компрометации пароля доступа в ИСПДн администратором ИБ ИСПДн должны быть немедленно предприняты меры в зависимости от полномочий владельца скомпрометированного пароля и обстоятельств компрометации.
3.7. Все пользователи ИСПДн Министерства обязаны по первому требованию администратора ИБ ИСПДн предъявить значения действующего личного пароля для контроля соответствия установленным требованиям, а после проверки провести немедленную его смену.
3.8. Администратор ИБ ИСПДн, по согласованию с ответственным за обеспечение безопасности ПДн проводит ежеквартальный выборочный контроль выполнения сотрудниками Министерства требований Порядка с отметками в отдельном журнале. О фактах несоответствия качества паролей и/или условий обеспечения их сохранности администратор ИБ ИСПДн докладывает ответственному за обеспечение безопасности ПДн.
4. ОБРАЩЕНИЕ ДОПОЛНИТЕЛЬНЫХ ИДЕНТИФИКАТОРОВ
4.1. В целях усиления процедур идентификации и аутентификации в ИСПДн Министерства, пользователи ИСПДн могут использовать дополнительные индивидуальные электронные идентификаторы (смарт-карты, eToken и т.д.) совместно с личным паролем доступа.
4.2. Дополнительные идентификаторы выдаются и учитываются в соответствии с «Инструкцией по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных»:
сотрудники получают дополнительные идентификаторы под роспись;
администратор ИБ ИСПДн, по обращению к нему сотрудников, регистрирует дополнительные идентификаторы в ИСПДн Министерства и инструктирует сотрудников с учетом требований настоящего порядка и правил эксплуатации для дополнительных идентификаторов.
4.3. Сотрудники Министерства, получившие в пользование дополнительные идентификаторы, лично обеспечивают надежное круглосуточное безопасное хранение и использование идентификаторов. Оставление идентификатора без присмотра запрещается.
4.4. В случае утери дополнительного идентификатора сотрудники немедленно ставят об этом в известность администратора ИБ ИСПДн и своего непосредственного руководителя. Администраторы организуют немедленную блокировку утерянных ключей в автоматизированных системах.
5. ПЕРЕСМОТР ПОРЯДКА
5.1. Порядок подлежит полному пересмотру в случае приобретения Министерством новых (дополнительных к имеющимся штатным) автоматизированных средств управления парольной защитой и(или) генерации/выбора паролей.
5.2. В остальных случаях Порядок подлежит частичному пересмотру.
5.3. Полный пересмотр данного Порядка проводится с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Министерства.
5.4. Изменения в Порядке (сведения о них) фиксируется в листе регистрации изменений (Приложение 1).
5.5. Вносимые изменения не должны противоречить другим положениям Порядка. При получении изменений к данному Порядку, руководители подразделений Министерства в течение трех рабочих дней вносят свои предложения и/или замечания к поступившим изменениям.
6. ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ И КОНТРОЛЬ ВЫПОЛНЕНИЯ ПОРЯДКА
6.1. Ответственность за соблюдение требований настоящего Порядка возлагается на всех сотрудников Министерства, участвующих в обработке ПДн.
6.2. Ответственность за организацию контрольных и проверочных мероприятий по вопросам парольной защиты возлагается на администратора ИБ ИСПДн.
6.3. Ответственность за общий контроль информационной безопасности возлагается на ответственного за обеспечение безопасности ПДн Министерства.
ПРИЛОЖЕНИЕ 1. ФОРМА РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ИНСТРУКЦИИ
ЛИСТ № _____ регистрации изменений в Порядке
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
Лист ознакомления
с Порядком парольной защиты в информационных системах персональных данных
Министерство промышленной политики Республики Крым.
№ п/п
Фамилия, инициалы сотрудника
Дата ознакомления
Расписка сотрудника в ознакомлении
Приложение № 12
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
ПОРЯДОК
организации учета, хранения, выдачи и уничтожения
съемных носителей, содержащих персональные данные
Настоящий Порядок организации учета, хранения, выдачи и уничтожения съемных носителей, содержащих персональные данные, в целях обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, разработан с учетом Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в соответствии с Федеральным законом 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", методическими рекомендациями ФСТЭК России от 15.02.2008, утвержденные приказом ФСТЭК России от 05.02.2010 № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", и устанавливает порядок использования съемных носителей информации, используемых в информационных системах персональных данных (далее – ИСПДн) Министерства промышленной политики Республики Крым.
Учет, хранение, выдачу и уничтожение съемных носителей персональных данных осуществляет администратор информационной безопасности ИСПДн.
Организация учета съемных носителей персональных данных.
Все находящиеся на хранении и в обращении съемные носители персональных данных подлежат учёту. Учет всех видов и типов носителей производится в журнале учета съемных носителей, содержащих персональные данные.
Каждый носитель должен иметь этикетку, на которой указывается его уникальный учетный номер. На несъемной части упаковки носителя ПДн указывается:
– учетный номер;
– отметка "Персональные данные";
– дата регистрации (день, месяц, год);
– ФИО, должность, подпись сотрудника, выполнившего учет.
Организация выдачи съемных носителей персональных данных.
Пользователи ИСПДн получают учтенный съемный носитель у администратора информационной безопасности ИСПДн. При получении делаются соответствующие записи в журнале учета съемных носителей, содержащих персональные данные.
Организация хранения съемных носителей персональных данных.
5.1. Хранение носителей осуществляется в служебных помещениях, в условиях, исключающих несанкционированное копирование, изменение или уничтожение информации ограниченного доступа, а также хищение носителей.
5.2. Запрещается хранить съемные носители персональных данных вместе с носителями открытой информации, на рабочих столах, оставлять их без присмотра или передавать на хранение другим лицам, выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, а также использовать носители персональных данных в личных целях.
5.3. В случае утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений, ставится в известность администратор информационной безопасности ИСПДн. Соответствующие отметки вносятся в журнал учета съемных носителей, содержащих персональные данные.
5.4. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с персональными данными осуществляется комиссией по вопросам, связанным с обработкой персональных данных. По результатам уничтожения носителей составляется акт уничтожения съемных носителей персональных данных (приложение №1).
Ответственность.
6.1 Ответственность за выполнение правил эксплуатации съемных носителей персональных данных при выполнении непосредственных работ с носителями несет пользователь ИСПДн.
6.2 Контроль выполнения пользователями установленных правил эксплуатации съемных носителей персональных данных, осуществляет администратор информационной безопасности ИСПДн.
6.3 Сотрудники Министерства промышленной политики Республики Крым, нарушившие требования настоящего порядка, несут ответственность в соответствии с действующим законодательством.
Приложение № 1
АКТ
уничтожения съемных носителей персональных данных
Комиссия в составе:
провела отбор съемных носителей персональных данных, не подлежащих дальнейшему использованию (хранению):
№
п/п
Дата
регистрации
Учетный номер съемного носителя
Примечание
Всего съемных носителей_______________________________________________
(цифрами и прописью)
На съемных носителях уничтожены персональные данные путем стирания ее на устройстве гарантированного уничтожения информации (механического уничтожения, сжигания и т.п.).
Перечисленные съемные носители уничтожены
путем ________________________________________________________________
(разрезания, демонтажа, сжигания, крошения и т.п.)
Председатель комиссии_______________________________________________
Подпись
Члены комиссии _____________________________________________________
Приложение № 13
к приказу Министерства промышленной
политики Республики Крым
от «___»________2017 г. №______
ФОРМА
журнала регистрации письменных запросов граждан
на доступ к своим персональным данным
в Министерстве промышленной политики Республики Крым
На _____ листах
Начат «___»_________2017 г.
Окончен «___»_________20__ г
№
п/п
Вх. № письма
Дата получения запроса
Ф.И.О. гражданина
Сведения о документе, удостоверяющем личность
Отметка о предоставлении доступа к ПДн
(отказе в доступе)
исх. номер и дата письма с ответом
на запрос
Ф.И.О., должность, роспись сотрудника, выдавшего ответ
Примечание
Номер, серия
Дата выдачи
Кем выдан
1
2
3
4
5
6
7
8
9
10
11
Приложение № 14
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №______
ФОРМА
журнала поэкземплярного учета СКЗИ, эксплуатационной и
технической документации к ним, ключевых документов
Министерства промышленной политики Республики Крым
Начат "___"______ 201_ г.
Окончен "___"______20__ г.
№ п/п
Наименование средства защиты, эксплуатационной и технической документации
Регистрационные номера средства защиты, эксплуатационной и технической документации
Отметка о выдаче
Отметка о подключении (установке) средства защиты
Отметка об изъятии средства защиты из аппаратных средств
Ф.И.О. пользователя средства защиты
Дата и расписка в получении
Ф.И.О. пользователя средства защиты, производившего подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены средства защиты
Дата изъятия
Ф.И.О. пользователя средства защиты, производившего изъятие
Расписка об изъятии
1
2
3
4
5
6
7
8
9
10
11
Приложение № 15
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №______
ФОРМА
журнала учета съемных носителей персональных данных
Начат "___" _____ 20__ года на ______ листах
Окончен "___" _____ 20__ года
№
п/п
Регистрационный номер/дата
Тип/ёмкость машинного носителя персональных данных
Номер экземпляра/
количество экземпляров
Место установки (использования)/дата установки
Ответственное должностное лицо (ФИО)
Расписка в получении (ФИО, подпись, дата)
Расписка в обратном приеме (ФИО, подпись, дата)
Место хранения машинного носителя персональных данных
Сведения об уничтожении машинных носителей персональных данных, стирании информации (подпись, дата)
1
2
3
…
Приложение № 16
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №______
ЖУРНАЛ
учета технических средств, участвующих в обработке персональных данных
Министерства промышленной политики Республика Крым
На __ листах
Начат «___»______201_ г.
Окончен «___»______20__ г.
Порядковый (регистрационный) номер
Наименование технического средства, тип машинного носителя информации
Заводской (серийный) номер
Фамилия, инициалы пользователя
Расписка в получении
Дата выдачи
Расписка в обратном приеме
Дата обратного приема
Место установки технического средства (помещение), место хранения машинного носителя информации
Отметка об уничтожении машинных носителей информации (номер акта и дата)
1
2
3
4
5
6
7
8
9
10
Приложение № 17
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г.№____
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
«_____» _____________ 2017 г.
регламент
учета средств защиты персональных данных
Министерства промышленной политики Республика Крым
г. Симферополь
2017 г
Содержание
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.Порядок учета и хранения средств защиты персональных данных
3.ПОРЯДОК ПЕРЕСМОТРА РЕГЛАМЕНТА
4.ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИЕ РЕГЛАМЕНТА
ПРИЛОЖЕНИЕ 1 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В РЕГЛАМЕНТА
1. ОБЩИЕ ПОЛОЖЕНИЯ
Регламент учета средств защиты, документации и электронных носителей персональных данных (далее – Регламент) устанавливает:
порядок учета, ввода в эксплуатацию и изъятия из употребления средств, используемых для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) Министерства промышленной политики Республики Крым (далее – Министерство);
порядок приема, учета, обработки и хранения документов Министерства, содержащих персональные данные;
порядок учета и хранения электронных носителей информации Министерства, содержащих персональные данные (далее носители с ПДн).
Требования Регламента распространяются на всех должностных лиц и сотрудников подразделений Министерства, работающих в ИСПДн Министерства.
Ознакомление с требованиями Регламента начальников структурных подразделений, работающих с ИСПДн, осуществляет администратор ИБ ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Регламента непосредственно для повседневного использования в работе.
Ознакомление сотрудников структурных подразделений, работающих с ИСПДн, с требованиями Регламента проводят начальники этих структурных подразделений под роспись с выдачей электронных копий Регламента непосредственно для повседневного использования в работе.
2. Порядок учета и хранения средств защиты персональных данных
Используемые или хранимые средства защиты персональных данных, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету. При этом программные средства защиты персональных данных должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные средства защиты персональных данных подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие средства защиты персональных данных учитываются также совместно с соответствующими аппаратными средствами.
Все полученные экземпляры средств защиты персональных данных, эксплуатационной и технической документации к ним должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям средств защиты персональных данных, несущим персональную ответственность за их сохранность.
Эксплуатационная и техническая документация, а также электронные носители с инсталляционными файлами средств защиты персональных данных должны содержаться в хранилищах (шкафах, ящиках, сейфах и др.), исключающих бесконтрольных доступ к ним, а также их непреднамеренное уничтожение.
Аппаратные средства, с которыми осуществляется штатное функционирование средств защиты персональных данных, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) должно быть таким, чтобы его можно было визуально контролировать.
Средства защиты персональных данных изымаются из употребления по решению ответственного за обеспечение безопасности персональных данных Министерства. При этом вносятся необходимые изменения в «Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним», Технический паспорт ИСПДн, в составе которой эксплуатировались изъятые из употребления средства защиты персональных данных. Если эксплуатация средств защиты персональных данных, намеченных к изъятию из употребления, происходит в составе аттестованной ИСПДн, о прекращении эксплуатации средств защиты персональных данных необходимо уведомить организацию, производившую аттестацию данной ИСПДн. При этом средства защиты персональных данных считаются изъятыми из употребления, если исполнена предусмотренная эксплуатационной и технической документацией процедура удаления программного обеспечения средств защиты персональных данных, и они полностью отсоединены от аппаратных средств.
3. ПОРЯДОК ПЕРЕСМОТРА РЕГЛАМЕНТА
Регламент подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИСПДн Министерства, приводящих к существенным изменениям технологии обработки ПДн.
Полный пересмотр данного документа проводится ответственным за безопасность с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Министерства.
Частичный пересмотр данного документа проводится в остальных случаях. При этом могут быть добавлены, удалены или изменены приложения Регламента с обязательным указанием оснований и внесенных изменений в «Листе регистрации изменений в Регламенте» (Приложение 1) без переутверждения всего Регламента. Частичный пересмотр проводится ответственным за обеспечение безопасности ПДн Министерства.
Вносимые изменения не должны противоречить другим положениям Регламента.
4. ОТВЕТСТВЕННЫЕ ЗА ВЫПОЛНЕНИЕ РЕГЛАМЕНТА
На пользователей ИСПДн, Референта, делопроизводителей возлагается персональная ответственность за выполнение всех обязанностей, возложенных на них в настоящем Регламенте.
За правонарушения, совершенные в процессе своей деятельности пользователи несут ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.
Ответственными за постоянный контроль выполнения требований данной Регламента сотрудниками, Референтом и делопроизводителями являются:
Ответственный за обеспечение безопасности ПДн;
Администратор информационной безопасности информационных систем персональных данных.
ПРИЛОЖЕНИЕ 1 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В РЕГЛАМЕНТА
ЛИСТ
регистрации изменений в Регламенте
№ п.п.
Дата
Внесенное изменение
Основание
(наименование, № и дата документа)
Кем внесено изменение (должность, подпись)
ЛИСТ ОЗНАКОМЛЕНИЯ
с Регламентом учета средств защиты персональных данных
Министерства промышленной политики Республики Крым
№ п/п
Фамилия И.О. сотрудника
Дата ознакомления
расписка сотрудника в ознакомлении
Приложение №18
к приказу Министерства промышленной политики Республики Крым
от «___» ____2017 г. № ____
Перечень мест
хранения материальных носителей персональных данных
Министерства промышленной политики Республика Крым
и лиц, ответственных за их сохранность
№п/п
Наименование структурного подразделения
Место хранения
(номер помещения)
Ответственное лицо
(ФИО, должность)
Отдел кадровой работы и делопроизводства
Каб.№108 (в)
Звонникова Л.В.
заведующий отделом кадровой работы и делопроизводства
Управление правовой, кадровой работы и делопроизводства
Каб.№108 (а)
Аблаев Э.У.
начальник управления правовой, кадровой работы и делопроизводства
Отдел финансов и бюджетной политики
Каб.№120
Мерега Е.Н.
главный консультант отдела финансов и бюджетной политики
Приложение № 19
к приказу Министерства промышленной политики Республики Крым
от «___»________2017 г. №______
УТВЕРЖДАЮ
Министр промышленной политики Республики Крым
_____________ / А.Г.Васюта
Перечень персональных данных обрабатываемых в Министерстве промышленной политики Республики Крым
Общие положения
Перечень персональных данных, подлежащих защите в Министерстве промышленной политики Республики Крым (далее – Перечень), разработан в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и документами Министерства промышленной политики Республики Крым (далее – Минпром РК).
Сведения, составляющие персональные данные
Сведениями, составляющими персональные данные, в Минпроме РК является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные в Минпроме РК обрабатываются в рамках технологических процессов, обеспечивающих функционирование и жизнедеятельность Минпрома РК. Перечень процессов и состав обрабатываемых в них персональных данных приведен в Приложении А к данному документу.
Сроки обработки персональных данных
Сроки обработки указанных в Приложении 1 персональных данных определяются в соответствии с деятельностью Минпрома РК, а также сроком действия договора с субъектом ПДн, приказом Министерства Культуры России от 25 августа 2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства.
Исходя из требований законодательства, срок хранения установлен для каждого технологического процесса обработки персональных данных.
1
Приложение 1
№
п/п
Группа персональных данных
Содержание сведений
Цели обработки
Основание для обработки
Технологические процессы обработки персональных данных
Срок хранения
Подбор персонала
1.1
Данные резюме
1.1.1 ФИО
1.1.2 Номер телефона
1.1.3 Информация о профессиональных навыках
Поиск и подбор работников
Конклюдентное согласие субъекта
Подбор персонала
5 лет
Прием на работу и оформление работников
1.2
Данные кадрового учета
1.2.1 ФИО
1.2.2 Дата рождения
1.2.3 Место рождения
1.2.4 Гражданство
1.2.5 Адрес проживания
1.2.6 Адрес регистрации
1.2.7 Паспортные данные
1.2.8 Телефоны
1.2.9 Семейное положение и состав семьи
1.2.10 Номер военного билета
1.2.11 Кем, когда выдан
1.2.12 Военно-учетная специальность
1.2.13 Форма допуска
1.2.14 Данные об образовании
1.2.15 Профессиональный опыт, трудовой стаж
1.2.16 СНИЛС
1.2.17 ИНН
1.2.18 Квалификационные документы
1.2.19 Данные о наградах, поощрениях, почетных званиях
1.2.20 Данные об аттестации работников
1.2.21 Данные о повышении квалификации
1.2.22 Информация о знании иностранных языков
1.2.23 Информация об отпусках
1.2.24 Информация о командировках
1.2.25 Дополнительная информация
Ведение кадрового учета
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Оформление работников
Прием на работу
75 лет
1.3
Паспортные данные
1.3.1 ФИО
1.3.2 Дата рождения
1.3.3 Серия и номер
1.3.4 Кем и когда выдан
1.3.5 Адрес регистрации
Ведение кадрового учета
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Оформление работников
75 лет
Отправка в ФОМС
1.4
Данные застрахованного (ОМС)
1.4.1 ФИО
1.4.2 Дата рождения
1.4.3 Пол
1.4.4 Гражданство
1.4.5 Индекс
1.4.6 Адрес прописки
1.4.7 Дата заключения и номер трудового договора
1.4.8 Место работы
Исполнение ФЗ «О медицинском страховании граждан в Российской Федерации»
ФЗ-1499-1 «Закон о медицинском страховании граждан в РФ»
Отправка в ФОМС
После увольнения работника, до конца отчетного периода
1.5
Паспортные данные
1.5.1 ФИО
1.5.2 Дата рождения
1.5.3 Серия и номер
1.5.4 Кем и когда выдан
1.5.5 Адрес регистрации
Исполнение ФЗ «О медицинском страховании граждан в Российской Федерации»
ФЗ-1499-1 «Закон о медицинском страховании граждан в РФ»
Отправка в ФОМС
После увольнения работника, до конца отчетного периода
Выдача справок (2-НДФЛ)
1.6
Данные о налогоплательщике
1.6.1 ФИО
1.6.2 Дата рождения
1.6.3 Гражданство
1.6.4 Паспортные данные
1.6.5 Адрес регистрации
Выдача справок
Трудовой кодекс. Налоговый кодекс.
Выдача справок (2-НДФЛ)
75 лет
Выплата заработной платы
1.7
Данные о доходах
1.7.1 ФИО
1.7.2 Номер расчетного счета
1.7.3 Информация о денежном содержании
1.7.4 Информация об отпусках
1.7.5 Информация о командировках
Исполнение трудового договора с работниками / Выплата заработной платы
Трудовой договор
Выплата зарплаты
5 лет
Отправка в налоговую
1.8
Данные о доходах физических лиц
1.9.1 ФИО
1.9.2 ИНН
1.9.3 Доход за год
1.9.4 Налоги за год
1.9.5 Паспортные данные
Исполнение Налогового кодекса
Налоговый кодекс
Отправка в налоговую
5 лет
Персонифицированный учет
1.9
Данные застрахованных в ПФР
1.10.1 ФИО
1.10.2 СНИЛС
1.10.3 Стаж
1.10.4 Адрес проживания
1.10.5 Сумма страхового взноса
1.10.6 Сумма накопительного взноса
Исполнение № 27–ФЗ «Об индивидуальном персонифицированном учете в системе государственного пенсионного страхования»
ФЗ-27 «Об индивидуальном персонифицированном учете в системе государственного пенсионного страхования»
Персонифицированный учет
5 лет
Увольнение работников
1.10
Данные об увольнении
1.11.1 ФИО
1.11.2 Табельный номер
1.11.3 Должность
1.11.4 Отдел
1.11.5 Дата увольнения
1.11.6 Причина увольнения
Кадровый учет / Увольнение работника
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Увольнение работников
75 лет
1.11
Данные кадрового учета
ФИО
Дата рождения
Место рождения
Гражданство
Адрес проживания
Адрес регистрации
Паспортные данные
Телефоны
Семейное положение и состав семьи
Номер военного билета
Кем, когда выдан
Военно-учетная специальность
Форма допуска
Данные об образовании
Профессиональный опыт, трудовой стаж
СНИЛС
ИНН
Квалификационные документы
Данные о наградах, поощрениях, почетных званиях
Данные об аттестации работников
Данные о повышении квалификации
Информация о знании иностранных языков
Информация об отпусках
Информация о командировках
Дополнительная информация
Кадровый учет / Увольнение работника
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Увольнение работников
75 лет
1.12
Паспортные данные
1.13.1 ФИО
1.13.2 Дата рождения
1.13.3 Серия и номер
1.13.4 Кем и когда выдан
1.13.5 Адрес регистрации
Кадровый учет / Увольнение работника
Трудовой кодекс, Служебный контракт, №79-ФЗ от 27.07.2004 «О государственной гражданской службе Российской Федерации»
Увольнение работников
75 лет
1.13
Данные кадрового учета
1.13.1 ФИО
1.13.2 Дата рождения
1.13.3 Место рождения
1.13.4 Адрес проживания
1.13.5 Адрес регистрации
1.13.6 Паспортные данные
1.13.7 Семейное положение и состав семьи
1.13.8 СНИЛС
Представление сведений о доходах, расходах, имуществе и обязательствах имущественного характера
Федеральный закон «О государственной гражданской службе Российской Федерации» от 27.07.2004 №79-ФЗ
Федеральный закон «О противодействии коррупции» от 25.12.2008 №273-ФЗ
Анализ сведений о доходах, расходах, имуществе и обязательствах имущественного характера
75 лет
1
1
[1] В случае отсутствия лиц, которые должны оповещаться, их замещают лица, определенные в разделе «Порядок замещения ответственных лиц» настоящей Инструкции. Либо могут быть оповещены непосредственные руководители
[2] При использовании электронных ключей (USB, Touch Memory) не менее 6 символов.
[3] При использовании электронного ключа такого типа требования вышеприведенной таблицы актуальны только по пунктам №1 и №9.
[4] Сотрудники Министерства раскрывают значение своего пароля и/или передают физический идентификатор только своим непосредственным руководителям в случае производственной необходимости и/или при проведении контрольно-проверочных мероприятий. По окончанию производственных и/или контрольно-проверочных работ сотрудники производят немедленную смену значений раскрытых паролей
[5] Смена паролей производится для учетных записей систем, в которых не используется аутентификация посредством дополнительных идентификаторов (Touch Memory, eToken и т.п.)
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 18.08.2019 |
| Рубрики правового классификатора: | 120.030.060 Информация о гражданах (персональные данные) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
