- Информация:
-
Автор:
- Категория МАУ "Телесеть"
Муниципальное автономное учреждение по предоставлению комплексных услуг и благоустройству Артыбашского сельского поселения Турочакского района Республики Алтай « Телецкая сеть»
( МАУ « Телесеть»)
ОГРН 1090407000287, ИНН 040700817
ПРИКАЗ
Об утверждении пакета документов по защите информации и персональных данных, обрабатываемых в информационных системах МАУ « Телесеть»
№ 99 от 26 августа 2021 г
В соответствии с требованиями Федерального закона Российской Федерации от 27.07.2005 № 149 –ФЗ «Об информации , информационных технологиях и о защите информации» , Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ
« О персональных данных, постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» .
С 01 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» . Введено новое понятие «персональные данные, разрешение для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Главная цель поправок –ограничить неконтролируемое использование персональных, размещенных на сайтах и в других открытых источников .
На основании вышеизложенного:
ПРИКАЗЫВАЮ :
1. Утвердить перечень должностей, ведущих обработку персональных данных без использования средств автоматизации Приложение № 1 .
2. Создать комиссию по защите информации :
-Утвердить состав комиссии по защите информации согласно Приложению № 2
- Утвердить Положение о комиссии по защите информации согласно
Приложения № 3.
3. Утвердить типовые формы документов по защите информации:
-Обязательство о неразглашении информации, содержащей персональные данные, согласно Приложению № 4.
-Журналы по защите информации согласно Приложению № 5.
-Согласие на распространение персональных данных Приложение № 6.
-Журнал учета ознакомления сотрудников с порядком обработки персональных данных и изменениями в законодательстве в области защиты персональных данных Приложение № 7.
-Протокол заседания комиссии по защите информации согласно Приложению № 8.
-Акт определения уровня защищенности персональных данных при обработке в информационных системах персональных данных и класса защищенности информационных систем согласно Приложению № 9.
-Акт об уничтожении персональных данных субъектов персональных данных согласно Приложению № 10.
4. Утвердить инструкции и правила по защите информации:
- Правила работы лиц, доступ которых к персональным данным в том числе обрабатываемым в системах персональных данных, необходим для выполнения ими служебных (трудовых)обязанностей Приложению № 11.
-Инструкцию ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных согласно Приложению № 12.
-Инструкцию по организации резервного копирования , согласно Приложению № 13.
-Инструкцию по организации парольной защиты, согласно Приложению № 14.
-Инструкцию по организации антивирусной защиты согласно Приложению № 15.
-Инструкцию по проверке электронного журнала обращений к информационной системе персональных данных согласно Приложению № 16.
-Порядок уничтожения персональных данных при достижении целей обработки или наступлении законных оснований, согласно Приложению № 17.
-Инструкцию по обращению с крипто средствами ,согласно Приложению № 18.
- Инструкцию по обработке персональных данных без использования средств автоматизации Приложение № 19.
-Инструкцию по работе с инцидентами информационной безопасности согласно Приложению № 20.
-инструкцию ответственного за эксплуатацию информационных систем персональных данных согласно Приложению № 21.
5.Утвердить план мероприятий по защите информации согласно Приложению № 22.
6. Опубликовать и разместить на официальном сайте МАУ « Телесеть»
7. Контроль за исполнением приказа оставляю за собой.
Директор МАУ « Телесеть» А.Д. Чибиеков.
Приложение № 1
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Перечень
должностей , ведущих обработку персональных данных без использования средств автоматизации.
1.Директор МАУ « Телесеть» - Чибиеков Андрей Данилович;
2.Главный бухгалтер МАУ « Телесеть» -Шишкина Татьяна Равильевна;
3.Кассир-экономист МАУ « Телесеть» –Дьячкова Анвария Хайбрахмановна;
4.Делопроизводитель МАУ « Телесеть» –Олейникова Лилия Анатольевна;
5.Архивист МАУ « Телесеть» - Каплунова Нина Александровна;
6.Системный администратор-Семухин Евгений Юрьевич
Приложение № 2
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Состав комиссии по защите информации.
Председатель комиссии:
Чибиеков Андрей Данилович. Директор МАУ «Телесеть»
Заместитель председателя комиссии:
Шишкина Татьяна Равильевна .Главный бухгалтер МАУ « Телесеть»
Секретарь комиссии:
Олейникова Лилия Анатольевна –делопроизводитель МАУ « Телесеть»
Члены комиссии:
Дьячкова Анвария Хайбрахмановна- кассир –экономист МАУ « Телесеть»
Семухин Евгений Юрьевич-системный администратор
Приложение № 3
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Положение
О комиссии по защите информации.
1.Общие положения.
Настоящее положение определяет основные задачи, порядок формирования , полномочия и ответственность комиссии.
2.Основные задачи комиссии:
Основными задачами комиссии являются:
· Сбор и анализ исходных данных по информационным системам персональных данных работников МАУ « Телесеть»;
· Определение класса защищенности информационных систем персональных данных работников МАУ « Телесеть» на основании собранных данных;
· Определение уровня защищенности персональных данных при их обработке в информационных системах персональных данных.
3.Порядок формирования комиссии:
· Комиссия формируется из числа работников МАУ « Телесеть», участвовавших в процессе обработки персональных данных.
· В состав комиссии входит не менее четырех человек-членов комиссии
в их числе – председатель комиссии.
· Члены комиссии назначаются директором МАУ « Телесеть»
· В случае изменения состава комиссии , в приказ вносятся соответствующие изменения.
4.Полномочия комиссии;
· Для осуществления задач, указанных в разделе 2 настоящего Положения, комиссия имеет право:
- Получать необходимые сведения у всех работников МАУ « Телесеть» ,участвующих в обработке персональных данных.
-Просматривать электронные базы данных и бумажные носители ,содержащие персональные данные , с целью выявления состава обрабатываемых персональных данных.
-Отслеживать технологический процесс обработки персональных данных.
-Выявлять или получать готовые сведения о структуре локальной сети МАУ
« Телесеть»
-Определять или получать готовые сведения о технических и программных средствах обработки персональных данных.
-определять и получать готовые сведения об условиях, местах и способах передачи персональных данных в сторонние организации.
5. Отчетность комиссии:
· Комиссия при выполнении своих задач должна составить протокол заседания комиссии;
· В результате своей деятельности комиссия должна составить Акт(ы) определения уровня защищенности персональных данных и класса защищенности информационных систем персональных данных.
Приложение № 4
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Обязательство
О неразглашении информации , содержащей персональные данные
Я______________________________________________________________________
/Фамилия, Имя ,Отчество/
являясь работником Муниципального автономного учреждения по предоставлению комплексных услуг и благоустройству Артыбашского сельского поселения Турочакского района Республики Алтай « Телецкая сеть» в должности ______________________________________________________________________________,обязуюсь прекратить обработку персональных данных ,ставших известными мне в связи с исполнением должностных обязанностей , в случае расторжения со мной трудового договора.
В соответствии со статьей 7 Федерального закона от 27.07. 2006 № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией, и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных , ставшие известными мне в связи с исполнением должностных обязанностей.
Я предупрежден(а) о том, что в случае нарушения данного обязательства буду привлечен(а) к ответственности в соответствии с законодательством Российской Федерации.
Дата ____________
подпись_________________ расшифровка________________________
Приложение № 5
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Журнал
Учета машинных носителей персональных данных (стационарные носители)
|
№пп
|
Регистрационный
номер
|
Тип
и емкость
|
Дата и место
установки
(использования)
|
Ответственное
Должностное лицо
|
|
|
|
|
|
|
Журнал
Учета машинных носителей персональных данных (съёмные носители)
|
№пп
|
Регистрационный
номер
|
Тип
и емкость
|
Получил
ФИО ,дата
подпись)
|
Сдал
ФИО дата
подпись
|
Место
хранения
|
Ответственный
должностное
лицо
|
|
|
|
|
|
|
|
|
Журнал
Учета средств защиты информации
|
№пп
|
Индекс и
Наименование
Средства
информации
|
Серийный
Заводской
номер
|
Номер
специального
защитного
знака
|
Наименование
Организации
Установившей СИ
|
Место
установки
|
|
|
|
|
|
|
|
Журнал
Учета средств криптографической защиты информации
|
№пп
|
Наименование
Крипто средства. эксплуатационной и технической документации ключевых документов
|
Регистрационные№
СКЗИ номера серий
Ключевых документов
|
Номера
Экземпляров криптографические № ключевых документоов
|
Отчет о получении .
от кого ,дата и № сопроводительного письма
|
Отметка о выдаче ФИО пользователя криптосредств, дата и расписка в получении
|
|
|
|
|
|
|
|
Журнал
Учета согласий субъектов персональных данных
|
№пп
|
Дата и номер
согласия
|
Ф.И.О субъекта персональных данных
|
|
|
|
|
Журнал
Учета ЭП
|
№пп
|
Номера
Экземпляров
Ключевых документов
|
Номера
Криптографических ключей
|
Наименование СКЗИ
|
Отметка о получении от кого получены
(УУД)
дата
|
Отметка ФИО
пользователя
|
|
|
|
|
|
|
|
Журнал
Учета персональных данных и электронных ключей
|
№пп
|
Ф.И.О
|
Получил дата и время
|
Отметка о возврате (подпись)
|
|
|
|
|
|
Журнал
Учета выдачей паролей
|
№пп
|
Ф.И.О
|
Получил дата и время
|
(подпись поучателя
|
|
|
|
|
|
Журнал
Учета антивирусных проверок информационных систем
|
№пп
|
Дата и
время
проверок
|
Наименование ИСПДн
|
Какими средствами проводилась
проверка
|
Результаты
Проверки
Кол-во проверенных
файлов
|
Наименование
Инфицированных
Файлов
Кол-во инфицированных файлов
|
Принятые меры
|
ФИО,
Подпись
Лица
Проводившего
проверку
|
|
|
|
|
|
|
|
|
|
Журнал
Учета выявленных инцидентов информационной безопасности
|
№пп
|
Дата и
время
|
Описание
инцидента
|
Ответственный
За реагирование
На инцидент
|
Отметка об
Устранении инцидента
|
Дата устранения
инцидента
|
Подпись
Ответственного
лица
|
|
|
|
|
|
|
|
|
Журнал
Периодического тестирования средств защиты информации
|
№пп
|
Наименование
Средств защиты
Информации от НСД или криптосредств
|
Регистрационные № СЗИ и НСД или криптосредста
|
Дата
тестирования
|
ФИО подпись ответственного
Пользователя проводившего
тестирование
|
Наименование
теста, используемые
средства проведение
теста
|
Результат
Тестирования
Успешный/неуспешный
|
Дата
Очередного
тестирования
|
|
|
|
|
|
|
|
|
|
Журнал
Уничтожения носителей персональных данных
|
№пп
|
Наименование
ИСПДн,в которой
Уничтожаются персональные данные
|
ФИО субъекта ,персональные
Данные которого
Подлежат уничтожению
|
Обоснование
уничтожения
|
Наименование
Файла и его
месторасположение
|
Дата
уничтожения
|
ФИО и подпись исполнителя
|
|
|
|
|
|
|
|
|
Приложение № 6
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Директору МАУ « Телесеть» Чибиекову А.Д.
От ____________________________________
/Ф.И.О./
Зарегистрированного по адресу ________
____________________________________
Паспорт: серия_____-№ ______________
Выдан _____________________________
___________________________________
Согласие
На распространение персональных данных
Я, _______________________________________________________________________, в соответствии со статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие МАУ « Телесеть»,расположенному по адресу: Республика Алтай, Турочакский район , с Иогач, ул Бийская ,д 13., на распространение моих персональных данных, а именно размещение информации обо мне на официальном сайте МАУ « Телесеть» .
Перечень моих персональных данных ,на распространение которых я даю согласие:
-Фамилия ,Имя, Отчество;
-пол, возраст;
-дата рождения;
--данные документы об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
Настоящее согласие дано мной добровольно и действует со дня его подписания до ___________________ года.
Подпись _______________расшифровка подпись ,дата.
Приложение № 7
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
ЖУРНАЛ
Учета ознакомления сотрудников с порядком обработки персональных данных и изменениями в законодательстве в области защиты персональных данных.
|
№
|
Ф.И.О
|
Должность сотрудника
|
Дата ознакомления
|
Подпись сотрудника
|
|
|
|
|
|
|
|
|
|
|
|
|
Суть ознакомления (обучение сотрудников, изменение в законодательстве)
Ф.И.О ответственного за ознакомление.
Приложение № 8
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Протокол
Заседания комиссии по защите информации
Дата и время проведения____________
Место проведения__________________
Председатель комиссии ___________________Ф.И.О.
Члены комиссии _________________________Ф.И.О.
_________________________Ф.И.О.
Повестка дня:
Определение информационных систем персональных данных ( далее –ИСПДн),принадлежащих «Наименование»
1.Слушали:_________________________________
Доложил(а) исходные данные от ИСПДн «Наименование»
Выступил(а)___________________________________
Предложил(а) утвердить акт определения уровня защищенности персональных данных и класса защищенности ИСПДн «Наименование»
Постановили:
Утвердить акт определения уровня защищенности персональных данных и класса защищенности ИС «Наименование»
Председатель комиссии ___________________Ф.И.О.
Секретарь комиссии ______________________Ф.И.О.
Члены комиссии _________________________Ф.И.О.
_________________________Ф.И.О.
Приложение № 9
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
АКТ
Определения уровня защищенности ПДн при их обработке в ИСПДн «Наименование» и класса защищенности ИС «Наименование»
Председатель комиссии ___________________Ф.И.О.
Члены комиссии _________________________Ф.И.О.
_________________________Ф.И.О.
Рассмотрев исходные данные об информационной системы персональных данных (далее ИСПДн) комиссия определила:
· Категории персональных данных обрабатываемых в ИСПДн: в информационной системе обрабатываются специальные категории персональных данных;
· Категории субъектов: персональные данные субъектов персональных данных, не являющимися сотрудниками оператора;
· Объем обрабатываемых персональных данных : менее 100;
· Тип актуальных угроз: для информационной системы актуальны угрозы 3 го типа;
· Уровень значимости информации : информация имеет низкий уровень значимости УЗ З;
Комиссия решила , в соответствии с Постановлением Правительства Российской Федерации от 01ю11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» на основании анализа исходных данных ,необходимых обеспечить третий уровень защищенности информационной системы (КЗ)
Результат оценки вреда:
Для информационной системы актуальны угрозы 3 го типа;
Председатель комиссии ___________________Ф.И.О.
Члены комиссии _________________________Ф.И.О.
_________________________Ф.И.О.
«____»_________________20___г
Приложение № 10
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
АКТ
Об уничтожении персональных данных субъектов персональных данных
Комиссия в составе :
Председатель комиссии ___________________Ф.И.О.
Члены комиссии _________________________Ф.И.О.
_________________________Ф.И.О.
Ф.И.О Должность
Установили, что на основании достижения цели обработки персональных данных , в соответствии с требованиями Федерльного закона Российской Федерации от 27.07.2006 № 152 –ФЗ « О персональных данных гл 2, ст.5,пункта 7, подлежат уничтожению сведения, составляющие персональные данные.
|
Пп№
|
Сведения
содержащие
персональные данные
|
Место
хранения
|
Кол-во
Единиц
хранения
|
Примечание
|
|
|
|
|
|
|
|
|
|
|
|
|
Указанные персональные данные уничтожены путем __________________________________________________________________________________________________________________________________________
(удаления с помощью средств гарантированного удаления информации, уничтожения носителя и тп.)
Председатель комиссии ___________________Ф.И.О.
Члены комиссии _________________________Ф.И.О.
_________________________Ф.И.О
Приложение № 11
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Правила
работы лиц ,доступ которых к персональным данным, в том числе обрабатываемым в информационных системах персональных данных необходим для выполнения ими служебных (трудовых) обязанностей
Допуск до работы на автоматизированных рабочих местах (далее АРМ),состоящих в составе информационной системы персональных данных (далее ИСПДн ) осуществляется н основании утвержденного перечня лиц, доступ которых к персональным данным, в том числе обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей (далее Пользователи ИСПДн).
Пользователь ИСПДн имеет право решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. При этом для хранения и записи информации содержащей персональные данные (далее ПДн ), разрешается использовать только машинные носители информации, использующихся в ИСПДн для обработки, хранения и транспортировки информации.
Пользователь несет ответственность за правильность включения и выключения АРМ, входа и выхода в систему и за все свои действия при работе в ИСПДн.
Вход пользователя в систему осуществляется по выданному ему электронному идентификатору и по персональному паролю.
При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов и иных вредоносных программ с использованием штатных антивирусных средств, установленных на АРМ.В случае обнаружения вирусов либо вредоносных программ использовать ИСПДН обязан немедленно прекратить их использование и действовать в соответствии с требованиями инструкции по организации антивирусной защиты.
Каждый работник ,участвующий в процессе обработки персональных данных в ИСПДн и имеющий доступ к АРМ, данным ИСПДн, несет персональную ответственность за свои действия и обязан:
-Соблюдать установленные соответствующими инструкциями правила обеспечения безопасности информации в ИСПДн;
-Знать и строго выполнять правила работы по средствам защиты информации, установленные на АРМ;
-хранить в тайне свой пароль (пароли) ,выполнять требования инструкции по организации парольной защиты;
-хранить индивидуальное устройство (ключ) и другие реквизиты в сейфе (металлическом шкафу);
-выполнять требования инструкции по организации антивирусной защиты в полном объеме;
-Немедленно известить ответственного за обеспечение безопасности персональных данных в случае утери электронного идентификатора или при подозрении компрометации личных ключей и пролей, а так же при обнаружении;
· Несанкционированных (произведенных с нарушением установленного порядка)изменений в конфигурации АРМ;
· Отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования компонентов АРМ, а так же перебоев в системе электроснабжения;
· Некорректного функционирования установленных на АРМ технических средств защиты;
Непредусмотренных отводов кабелей и подключенных устройств.
Пользователю АРМ категорически запрещается :
-использовать компоненты программного и аппаратного обеспечения АРМ в личных целях;
-самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства , не программного обеспечения АРМ;
-записывать и хранить конфиденциальную информацию (содержащую персональные данные) на неучтённых машинных носителях информации (гибких магнитных дисках, флеш-накопителях и т.д);
-оставлять включённым без присмотра АРМ, не активировав средства защиты от НСД (временную блокировку экрана клавиатуры);
-оставлять без личного присмотра на рабочем месте или в ином месте свой электронный идентификатор, машинные носители и распечатки, содержащие персональные данные;
-умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты;
-размещать средства ИСПДн так, чтобы с них существовала возможность визуального считывания информации ,содержащей персональные данные .
За нарушение требований настоящей Инструкции виновные лица несут дисциплинарную, либо материальную ответственность , в зависимости от характера нарушения тяжести наступивших отрицательных последствий
Приложение № 12
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
ИНСТРУКЦИЯ
Ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных.
1. Общие положения
Настоящая инструкция определяет права и обязанности лица, ответственного за обеспечение безопасности персональных данные в информационных системах персональных данных(далее – ИСПДн).
Лицо ответственное за обеспечение безопасности персональных данных в ИСПДн-(далее администратор информационной безопасности) это лицо отвечающее за обеспечение заданных характеристик информации, содержащей персональные данные (конфиденциальность, целостности и доступности ) в процессе их обработки в ИСПДн).
Администратор информационной безопасности в ИСПДн- осуществляет контроль за выполнение требований нормативно-правовых и организационно-распорядительных документов по организации обработки и обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием автоматизированных рабочих мест.
2.Обязанности администратора информационной безопасности
Администратор информационной безопасности обязан:
-Знать требования нормативно-правовых и организационно распорядительных документов по обеспечению безопасности персональных данных при их обработке в ИСПДн;
-Знать перечень обрабатываемых персональных данных ,состав, структуру ,назначение и выполняемые задачи ИСПДн , а так же состав информационных технологий и технических средств ,позволяющих осуществлять обработку персональных данных.
-Уметь пользоваться средствами защиты информации и осуществлять их непосредственно администрирование;
- Еженедельно осуществлять резервное копирование информации, содержащей персональные данные(при необходимости);
-Обязан осуществлять периодический контроль за выполнением работниками эксплуатирующими ИСПДн ( пользователями ИСПДн) мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн;
-Участвовать в работе по проведению внутреннего контроля соответствия Обработки персональных данных требованиям по защите информации;
-Обязан анализировать журнал системы защиты информации от несанкционированного доступа (НСД) ,проводить проверки электронного журнала обращений к информационным системам персональных данных;
-Обязан обеспечивать строгое выполнение требований по обеспечению защиты информации при организации технического обслуживания АРМ;
-Обязан вести журнал учета средств защиты информации используемых в ИСПДн;
Обязан присутствовать(учувствовать) в работах по внесению изменений в аппаратно-программную конфигурацию АРМ;
_Обязан проводить мероприятия по организации антивирусной защиты;
-Осуществлять организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действий паролей во всех подсистемах ИСПДн и контроль за действиями пользователей при работе с паролями ,согласно инструкции по организации парольной защиты в информационных системах персональных данных;
-Обязан организовать ведение журнала учета машинных носителей информации, использующихся в ИСПДн для обработки ,хранения и транспортировки информации;
-Обязан немедленно сообщать ответственному за организацию обработки персональных данных ,информацию об имеющих место попытках несанкционированного доступа к информации и техническим средствам АРМ, а так ж принимать необходимые меры по устранению нарушений;
-Установить причины ,по которым стал возможным НСД, установить последствия, к которым приведет НСД, зафиксировать случай НСД в виде документа (акта ,служебной записки) с описанием причин НСД, предполагаемых или установленных нарушителей и последствий;
-Провести проверку настроек средств защиты информации и операционных систем на соответствие требованиям руководящих документов и разрешительной системы доступа пользователей к защищаемым информационным ресурсам и объектам доступа ИСПДн, при необходимости провести настройку;
3.Права администратора информационной безопасности .
Администратор информационной безопасности имеет право:
-Требовать от пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкции о порядке работы пользователей в ИСПДн в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
-Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты ,несанкционированного доступа, утраты, порчи защищаемой информации;
-Обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности ПД к ответственному за организацию обработки персональных данных в ИСПДн или ответственному за эксплуатацию ИСПДн;
4. Ответственность администратора информационной безопасности.
На администратора информационной безопасности возлагается персональная ответственность за качество проводимых им работ по обеспечению безопасности ПДн в ИСПДн;
Администратору информационной безопасности в ИСПДн несет ответственность в соответствии с действующим законодательством Российской Федерации.
Приложение № 13
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
ИНСТРУКЦИЯ
По организации резервного копирования
1.Общие положения.
Настоящая инструкция разработана с целью обеспечения возможности оперативного восстановления персональных данных, модифицированных или уничтоженных в следствии несанкционированного доступа к ним.
Инструкция определяет правила и объемы резервирования , а также порядок восстановления работоспособности информационной системы персональных данных (далее –ИСПДн);
2.Резервируемое программное обеспечение и базы персональных данных
В ИСПДн резервированию подлежит:
-Общее программное обеспечение ( операционная система и программные драйверы устройств (принтера, монитора, видеокарты и т.п) поставляемые с компонентами автоматизированных рабочих мест(далее –АРМ).входящих в состав ИСПДн);
-Прикладное программное обеспечение ,используемое для обработки персональных данных( средств обработки текстов и таблиц, специализированные программы);
-Базы персональных данных (текстовые и табличные файлы) а также файлы баз данных специализированных программ);
-Программное обеспечение средств защиты информации, в том числе средств антивирусной защиты;
3.Порядок резервирования и хранения резервных копий.
-Резервирование общего и прикладного программного обеспечения , а также программное обеспечение средств защиты информации обеспечивается путем хранения у администратора информационной безопасности в ИСПДн машинных носителей информации, содержащих дистрибутивы данного программного обеспечения;
-Машинные носители информации обновлений общего и прикладного программного обеспечения , а так же и программного обеспечения средств защиты информации должны также храниться у администратора информационной безопасности в ИСПДн;
Допускается хранение машинных носителей прикладного обеспечения и машинных носителей с обновлениями к нему в структурных подразделениях, эксплуатирующих ИСПДн;
Резервирование без персональных данных, а так же текстовых и табличных файлов, содержащих персональные данные, допускается только на учтенные установленным порядком машинные носители информации
Резервирование осуществляется ежемесячно.
Резервные носители персональных данных хранятся в структурных подразделениях, эксплуатирующих ИСПДн в порядке ,предусмотренном для носителей информации персональных данных;
К Резервному носителю персональных данных должна быть приложена учетная карточка , в которой делаются отметки о дате резервирования;
Резервные носители персональных данных не могут быть переданы за пределы структурных подразделений ,эксплуатирующих ИСПДн;
Копирование информации с резервных носителей персональных данных ,за исключением случая восстановления работоспособности ИСПДн запрещается;
4.Порядок восстановления работоспособности ИСПДн
Восстановление работоспособности ИСПДн осуществляется в случаях сбоев, отказов и аварий технических средств систем ИСПДн, а также ее программного обеспечения;
Данные работы осуществляются администратором информационной безопасности в ИСПДн в соответствии с эксплуатационной документацией на программное обеспечение до полного восстановления работоспособности;
В случае необходимости привлечения для восстановления работоспособности ИСПДн представителей сторонних организаций ,должна быть обеспечена невозможность их ознакомления с персональными данными. Ответственность за выполнение данного требования возлагается на администратора информационной безопасности в ИСПДн и руководителя структурного подразделения ,обеспечивающего ее эксплуатацию.
Учетная карточка резервного носителя персональных данных
№___________________
|
Дата резервного
копирования
|
Объект копирования
|
Кто производил
копирование
|
Подпись
|
|
|
|
|
|
Приложение № 14
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
ИНСТРУКЦИЯ
По организации парольной защиты
Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, сены и прекращения действия паролей в информационных системах персональных данных (далее-ИСПДн0, а также контроль за действиями пользователей при работе с паролями.
Личные пароли генерируются и распределяются централизованно администратором информационной безопасности.
-Длина пароля должна быть не менее 8 символов;
-В числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры или специальные символы.(@.#.&.* ит.д.)
-Символы паролей должны вводится в режиме латинской раскладки клавиатуры;
-Пароль не должен включать в себя легко вычисляемые сочетания символов(имена, фамилии, наименование АРМ и т.д), а так же общепонятные сокращения (ЭВМ,ЛВС,и т.д);
-При смене пароля новое значение должно отличаться от предыдущих;
-Пользователь не имеет права сообщать личный пароль другим лицам;
Полная плановая смена паролей пользователей ИСПДн должна проводиться регулярно, не реже одного раза в 3 месяца;
Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, и т.п) должна производиться администратором информационной безопасности в ИСПДн немедленно после окончания последнего сеанса работы данного пользователя ИСПДн с системой на основании письменного указания непосредственного руководителя;
Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение и другие обязательства)администратора информационной безопасности в ИСПДн.
В случае компрометации (утеря. передача другому лицу) личного пароля ,Пользователь ИСПДн обязан незамедлительно сообщить об этом администратору информационной безопасности для принятия соответствующих мер.
Приложение № 15
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
ИНСТРУКЦИЯ
по организации антивирусной защиты
1.Общие требования .
Настоящая инструкция определяет требования к организации антивирусной защиты информации систем персональных данных (далее – ИСПДн) от разрушающего воздействия вирусов и вредоносных программ и устанавливает ответственность руководителя и работника структурных подразделений эксплуатирующих и сопровождающих ИСПДн, за их выполнение. Инструкция распространяется на все существующие и вновь разрабатываемые ИСПДн .Для отдельных ИСПДн могут быть разработаны свои инструкции, учитывающие особенности работы.
К использованию в ИСПДн допускаются только лицензированные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств.
Установка и настройка средств антивирусного контроля осуществляется администратором информационной безопасности в ИСПДн или специально назначенным лицом в соответствии с эксплуатационной документацией на антивирусных средств.
2.Применение средств антивирусного контроля.
При загрузке АРМ в автоматическом режиме должен проводиться антивирусный контроль служб операционной системы ,исполняемых приложений находящихся в автозагрузке реестра операционной системы.
Полному антивирусному контролю автоматизированные рабочие места (АРМ) должны подвергаться не реже одного раза в неделю.
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных ,исполняемые файлы) информация на съемных носителях (магнитных дисках, оптических и т.д.).
Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема. Возможно применение другого способа антивирусного контроля входящей информации ,обеспечивающего аналогичный уровень эффективного контроля .Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль .Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов и других вредоносных программ. Непосредственно после установки (изменения) программного обеспечения , администратором информационной безопасности в ИСПДн должна быть выполнена антивирусная проверка на защищаемых серверах и пользовательских АРМ.
При возникновении подозрения на наличие вируса либо вредоносной программы(нетипичная работа программ),появление графических и звуковых искажений данных ,пропадание файлов, частое появление сообщений о системных ошибках и т.п.) работник структурного подразделения самостоятельно или вместе с администратором информационной безопасности в ИСПДн должен провести внеочередной антивирусный контроль своего АРМ. В случае обнаружения при проведении антивирусной проверки зараженных вирусами либо вредоносными программами файлов, необходимо:
-приостановить работу в ИСПДн;
-немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя и администратора информационной безопасности в ИСПДн, владельца зараженных файлов, а также смежные подразделения ,использующие эти файлы в работе;
-совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
-провести лечение или уничтожение зараженных файлов.
3.Ответственность.
Ответственность за проведение мероприятий антивирусного контроля в подразделениях и соблюдение требований настоящей инструкции возлагается на администратора информационной безопасности в ИСПДн и всех работников, являющихся пользователями ИСПДн.
Приложение № 16
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
ИНСТРУКЦИЯ
По проверке электронного журнала обращений к информационной системе персональных данных.
1.Задачи проверки.
Под проверкой понимается отслеживание событий , происходивших на автоматизированных рабочих местах (далее –АРМ) в течении определенного времени.
Общими задачами проверки являются:
-контролирование состояния защищенности системы;
-выявление причин произошедших изменений;
-определение лиц или процессов, деятельность которых привела к изменению состояния защищенности системы или к НСД;
-установление времени изменений.
Проверку средств защиты осуществляет администратор информационной безопасности.
2.Журнал записей о событиях.
События происходящие на АРМ, входящем в состав ИСПД, регистрируются в журналах.
Каждому событию соответствует отдельная запись в журнале, содержащая подробную информацию для анализа события.
В состав используемых в ИСПДн средств защиты информации может входить специальное программное средство для аудита журналов событий , предназначенное для загрузки и просмотра журналов(далее-программа просмотра журналов). В программу просмотров журналов могут быть загружены записи следующих журналов:
-штатные журналы операционной системы Windows;
-журналы событий средств защиты информации.
3.Штатные журналы операционной системы.
В штатных журналах ОС Windows регистрируются только те события, которые имеют отношение к операционной системе. События используемых средств защиты информации в них не регистрируются.
Информация о событиях .происходящих на АРМ под управлением ОС Windows сохраняется в следующих штатных журналах:
-Журнал приложений-содержит сведения об ошибках, предупреждениях и других событиях, возникающих при исполнении приложений;
-Системный журнал –содержит сведения об ошибках. предупреждениях и других событиях, возникающих в операционной системе;
-Журнал безопасности –хранит информацию о попытках регистрации, а также о событиях ,связанных с использованием ресурсов.
Подробно описание содержимого штатных журналов ОС Windows отражено в документации к операционной системе.
Загрузка и просмотр записей штатных журналов может осуществляться как в программе просмотра журналов средства защиты , так и с помощью стандартных средств работы в с журналами ОС Windows- в системе «Просмотр событий» (Eventviewer)
4.Журнал событий средств защиты информации.
Журналы средств защиты информации, далее-СЗИ) хранят информацию о событиях, отслеживаемых средствами самих СЗИ, в этом журнале регистрируются события, заданные параметрами СЗИ для локальной политики безопасности.
5.Аудит.
Сведения содержащиеся в журнале, позволяют отслеживать использование механизмов защиты, которые предоставляют средства защиты информации АРМ(шифрование файлов, полномочное управление, замкнутая программная среда и др) и подробное описание регистрируемых событий указано в соответствующих руководствах к используемых СЗИ.
1. Просмотр событий электронных журналов.
Администратор информационной безопасности в ИСПДН производит проверку электронных журналов.
В случае обнаружения нарушений администратор информационной безопасности докладывает о данном факте ответственному за организацию обработки персональных данных.
Приложение № 17
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
Порядок
Уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований.
Настоящий документ устанавливает порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ЫФЗ № о персональных данных, Постановлением Правительства Российской Федерации от 15.09.2008 № 687 « Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.
Документы, дела, книги и журналы учета, содержащие персональные данные , при достижении целей обработки, или при наступлении иных законных оснований, например утратившие практическое значение , а так же с истекшим сроком хранения) подлежат уничтожению.
Уничтожение документов производится в присутствии ответственного за организацию обработки персональных данных ,который несет персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов(Акт составляется в свободной форме).
Отобранные к уничтожению материалы измельчаются механическим способом до степени ,исключающей возможность прочтения текста или сжигаются.
После уничтожения материальных носителей ответственный за организацию подписывает акт в 2х экземплярах , так же в номенклатурах и описях дел проставляется отметка «Уничтожено Ак №____ (дата).
Уничтожение информации на носителях необходимо осуществлять путем стирания информации с использованием сертифицированного программного обеспечения, установленного на АРМ с гарантированным уничтожением ( в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением.)
Информация ,содержащая персональные данные при достижении целей обработки или при наступлении иных законных оснований (например , утратившие практическое значение, с истекшим сроком хранения) в электронном виде, подлежит уничтожению.
Приложение № 18
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
Инструкция
по обращению с крипто средствами
1.Общие положения
Настоящая инструкция регламентирует порядок обращения с шифровальными (средствами криптографической защиты информации, СКЗИ) предназначенными для защиты информации , не содержащей сведений ,составляющих государственную тайну , в процессе их получения ,транспортировки ,учета ,хранения, уничтожения , встраивания в прикладные системы ,тестирования, передачи клиентам, а также порядок допуска к работам с шифровальными средствами.
Все сотрудники допущенные к работе с СКЗИ, должны ознакомиться с данной инструкцией под подпись и строго выполнять требования настоящей инструкции в части их касающейся, а также строго выполнять требования нормативных правовых актов Российской Федерации ,относящихся к деятельности с СКЗИ, нормативных и методических документов лицензирующего органа.
Разработка и проведение мероприятий по обеспечению безопасности при работе с СКЗИ осуществляется ответственным за эксплуатацию СКЗИ.
Работы с СКЗИ должны проводится с учетом Положения о разработке ,производстве, реализации и эксплуатации шифровальных (криптографических)средств защиты информации (Положение ПКЗ-2005
2.Требования по размещению ,оборудованию и охране помещений.
Размещение ,оборудование ,охрана и режим в помещениях, в которых проводятся работы с СКЗИ (далее –помещения) должны обеспечивать безопасность СКЗИ, сведение к минимуму возможности неконтролируемого доступа лиц. Доступ сотрудников в эти помещения должен быть ограничен в соответствии со служебной необходимостью и определяться перечнем лиц, допущенных в кабинеты.
Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Для предотвращения просмотра извне окна помещения должны быть защищены (жалюзи, шторы и т.п.).
3.Порядок обращения с СКЗИ.
Пользователи крипто средств обязаны:
-не разглашать информацию о ключевых документах;
-не допускать вывод ключевых документов на дисплей (монитор) ПЭВМ;
-принтер;
-не допускать установки ключевых документов в другие ПЭВМ;
Все поступающие СКЗИ, инсталлирующие СКЗИ носители, эксплуатационная и техническая документация ( при наличии) к ним должны браться на поэкземплярный учет в журнале установленной формы( Приложение) ведет журналы администратор информационной безопасности.
Единицей поэкземплярного учета СКЗИ является;
-для аппаратных и программно-аппаратных СКЗИ-конструктивно законченное техническое устройство;
-для программных СКЗИ –инсталлирующий СКЗИ носитель (дискета, компакт-диск и т.п.)
Должны быть приняты организационные меры с целью исключения возможности несанкционированного копирования СКЗИ.
Хранение инсталлирующих СКЗИ носителей допускается в одном хранилище с другими документами при условиях ,исключающих непреднамеренное их уничтожение или иное , не предусмотренное правилами использования СКЗИ применение.
В случае отсутствия у сотрудника индивидуального хранилища инсталлирующие СКЗИ носители по окончании рабочего дня должны сдаваться лицу ,ответственному за их хранение.
В случае утери носителя СКЗИ или вероятном копировании сотрудник обязан немедленно сообщить об этом лицу, ответственному за обеспечение безопасности при обращении с СКЗИ.
Ответственным за эксплуатацию СКЗИ периодически должен проводиться контроль сохранности и работоспособности установленного СКЗИ, а также всего используемого совместно с СКЗИ программного обеспечения для предотвращения внесения программно-аппаратных закладок и вирусов.
4.Ответственность за нарушение требований инструкции.
За нарушение требований настоящей инструкции виновные лица несут дисциплинарную, либо материальную ответственность в зависимости от характера нарушения и тяжести наступивших отрицательных последствий.
Приложение № 19
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
ИНСТРУКЦИЯ
По обработке персональных данных без использования средств автоматизации
1.Общие положения
Персональные данные –любая информация, относящаяся прямо или косвенно к определенному или определяемому гражданину ,обратившемуся в Администрацию МАУ « Телесеть» или сотрудник (далее-объект персональных данных) администрация МАУ « Телесеть»
Обработка персональных данных ,содержащихся в информационной системе персональных данных ,либо извлеченных из такой системы ,считается осуществлённой без использования средств автоматизации (неавтоматизированной),если такие действия с персональными данными ,как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляется при непосредственном участии человека.
Правила обработки персональных данных ,осуществляемой без использования средств автоматизации, установленные настоящим Положением, должны применятся с учетом требований Постановления Правительства Российской Федерации « Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации от 15.09.2008 г № 687 ,а также требований нормативных правовых актов федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации.
2.Особенности организации обработки персональных данных ,осуществляемой без использования средств автоматизации.
Персональные данные при их обработке ,осуществляемые без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее –материальные носители), в специальных разделах на полях форм(бланков).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различный категорий персональных данных, осуществленной без использования средств автоматизации ,для каждой категории персональных данных должен использоваться отдельный материальный носитель.
Лица осуществляющие обработку персональных данных без использования средств автоматизации( в том числе сотрудники МАУ « Телесеть» или лица, осуществляющие такую обработку по договору, с МАУ « Телесеть» ,должны быть проинформированы о факте обработки ими персональных данных ,обработка которых осуществляется МАУ « Телесеть» без использования средств автоматизации, категория обрабатываемых персональных данных , а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации , в также локальными правовыми актами МАУ « Телесеть».
При использовании типовых форм документов ,характер информации в которых предполагает или допускает включение в них персональных данных(далее –типовая форма),должны соблюдаться следующие условия:
-типовая форма или связанные с ней документы должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес учреждения, фамилию, имя отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершать в процессе их обработки, общее описание используемых учреждением способов обработки персональных данных ;
-типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования автоматизации,-при необходимости получение письменного согласия на обработку персональных данных;
-типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных , содержащихся в документе ,имел возможность ознакомиться со своими персональными данными, содержащимися в документе ,не нарушая прав и законных интересов иных субъекта персональных данных.
При ведении журналов( журнала регистрации ,журналов посещений) содержащих персональные данные , необходимые для однократного пропуска субъекта персональных данных в помещения МАУ « Телесеть» или в иных аналогичных целях, должны соблюдаться следующие условия:
-необходимость ведения такого журнала должна быть предусмотрена актом МАУ « Телесеть» ,содержащим сведения о цели обработки персональных данных, без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должности) имеющих доступ к материальным носителям и ответственный за ведение и сохранность журнала( реестра, книги) сроки обработки персональных данных;
-копирование содержащейся в таких журналах информации не допускается;
Персональные данные каждого субъекта персональных данных могут заносится в такой журнал не более одного раза в каждом случае пропуска субъекта персональных данных.
Уничтожение или обезличивание части персональных данных , если это допускается материальным носителем, может производится способом. Исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе(удаление, зачеркивание ,стирание).
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе , а если это не допускается техническими особенностями материального носителя-путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточнением персональными данными.
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц осуществляющих обработку персональных данных либо имеющим к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальные носители) обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия ,обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Приложение № 20
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года
Инструкция
По работе с инцидентами информационной безопасности.
Ответственность за выявление инцидентов ИБ и реагирование на них в МАУ « Телесеть» возлагается на администратора информационной безопасности.
Администратор информационной безопасности имеет полномочия инициировать проведение служебных проверок (ходатайствовать о наложении дисциплинарного взыскания перед руководителем. МАУ « Телесеть» по фактам нарушения установленных требований обеспечения информационной безопасности несанкционированного обеспечения информационной безопасности ,несанкционированного доступа ,утраты, порчи защищаемой информации.
Администратор информационной безопасности обязан вести журнал учета инцидентов ИБ (событий) действий повлекших за собой риски безопасности защищаемой информации и создающих предпосылки к нарушению критериев безопасности информации).Сюда относятся нарушения пользователями положений организационно-распорядительных документов, установленных порядков и технологии работы в ИС, разглашение защищаемой информации и любые действия, направленные на это, не антропогенные инцидентов(сбои ПО) ,стихийные бедствия).
В журнале в свободной форме описывается инцидент с указанием следующих данных:
-даты и время;
-причин( умышленные и неумышленные действия, не антропогенные инциденты и.т.п.) и описания инцидента и задействованных лиц;
-информации о возможных последствиях (экономические убытки( в связи с заменой СЗИ, повторной аттестации, временные и трудозатраты на устранение последствий ,нарушения работы пользователей ,ущерб субъектам ПДн и юридические последствия для МАУ
« Телесеть»
Журнал с данным отчетом об инциденте предоставляется на ознакомление ответственному за организацию обработки персональных данных для принятия мер по предотвращению рецидива ( возникновения повторного инцидента).
В случае возникновения рецидива со стороны пользователя или администратора информационной безопасности , по ходатайству ответственного за организацию обработки персональных данных руководителем МАУ « Телесеть» накладывается дисциплинарное взыскание.
Сокрытие нарушений и инцидентов ИБ, вызванных любыми должностными лицами МАУ « Телесеь» является грубым нарушением трудовой дисциплины. Сокрытие нарушений и инцидентов ИБ, вызванными действиями системного администратора информационной безопасности и ответственным за организацию обработки персональных данных, является грубейшим нарушением дисциплины и при выяснении данного факта должно строго наказываться.
Любой сотрудник должен согласовывать следующие действия с администратором информационной безопасности.:
-замена прикладного оборудования(мышь, клавиатура, принтер, монитор).
-установка дополнительных ПО;
-изменение сетевых настроек рабочего места;
-замена, изменение любой аппаратной части рабочего места;
Ответственный за организацию обработки персональных данных не может требовать от администратора информационной безопасности действий ,направленных на нарушение настоящего руководства и других организационно-распорядительных документов МАУ
« Телесеть», требовать сокрытия инцидентов ИБ, вызванных любыми должностными лицами, требовать сообщения ему паролей на средства защиты информации и нарушения установленного разграничения матрицей доступа к информационными ресурсами ИС.
Приложение № 21
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
ИНСТРУКЦИЯ
Ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных.
1.Общие положения.
Ответственный за эксплуатацию информационной системы персональных данных (далее –ИСПДн) в МАУ « Телесеть» назначается директор учреждения.
Методическое руководство работой ответственного за эксплуатацию ИСПДн осуществляется ответственным за организацию обработки персональных данных в МАУ « Телесеть».
Ответственный за эксплуатацию в своей работе руководствуется положениями ,руководящими и нормативными документами ФСТЭК и ФСБ России по защите информации и организационно распорядительными документами для данной ИСПДн, а также иными нормативными документами в части защиты информации.
Ответственный за эксплуатацию ИСПДн несет ответственность за свои действия и действия сотрудников вверенного структурного подразделения в соответствии с действующим законодательством РФ.
2.Функции ответственного за эксплуатацию ИСПДн.
Осуществление контроля за целевым использованием ИСПДн, всех периферийных устройств и технических средств, входящих в состав ИСПДн.
Контроль за отсутствие в период обработки защищаемой информации в помещении , где осуществляется обработка, посторонних лиц, не допущенных к обрабатыванию информации.
Контроль использования сотрудниками структурных подразделений, эксплуатирующими ИСПДн, средств защиты информации, установленных на АРМ, входящих в состав ИСПДн.
Контроль за правильностью использования и хранения сотрудниками структурных подразделений, эксплуатирующими ИСПДн, машинных носителей информации и документов, содержащих персональные данные.
Представление заявок на пользователей ,допускаемых и защищаемым ресурсам ИСПДн, с целью закрепления за ними носителей информации устройств блокировки, паролей и других средств разграничения доступа к информации , а также прав пользования средствами вычислительной техники.
Организация повышения уровня осведомленности подчиненных должностных лиц по вопросам информационной безопасности.
3 Обязанности ответственного за эксплуатацию ИСПДн.
Четко знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций ,руководств по защите информации и распоряжений ,регламентирующих порядок действий по защите информации.
Обеспечивать функционирование ИСПДн в пределах возложенных на него функций.
Обеспечивать контроль выполнения установленного комплекса мероприятий по обеспечению безопасности ПДн.
Контролировать целостность печатей (пломб) на устройствах ИСПДн.
Обеспечивать строгое выполнение требований по обеспечению безопасности при организации обслуживания технических средств ИСПДн и отправке их в ремонт.
Присутствовать при выполнении обслуживания ИСПДн при установке (модификации) программного обеспечения.
Информировать администратора информационной безопасности о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.
Контролировать соответствие состава ИСПДн техническому паспорту на ИСПДн.
Приложение № 22
К приказу МАУ « Телесеть»
от 26 августа 2021 г № 99
Утверждаю:
Директор МАУ « Телесеть»
А.Д. Чибиеков _______________
26 августа 2021 года.
ПЛАН
Мероприятий по защите информации в МАУ « Телесеть»
1.Общие положения
План мероприятий по обеспечению защиты персональных данных (далее-План мероприятий) содержит необходимый перечень мероприятий для обеспечения защиты персональных данных в информационных системах МАУ « Телесеть» . Выбор конкретных мероприятий осуществляется на основании перечня актуальных угроз безопасности, указанных в Модели угроз безопасности для соответствующей ИСПДн.
В План мероприятий включены следующие категории мероприятий:
-организационные(административные);
-физические;
-технические (аппаратные и программные);
- контролирующие;
В План мероприятий включена следующая информация:
-название мероприятия
-периодичность мероприятия (разовое/периодическое);
-исполнитель мероприятия/ ответственный за исполнение.
План внутренних проверок составляется на все информационные системы персональных данных МАУ « Телесеть»
ПЛАН МЕРПРИЯТИЙ ПО ЗАЩИТЕ ИНФЫОРМАЦИИ
|
Мероприятие
|
Периодичность
|
Исполнитель/ответственный
|
|
ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ
-Обследование информационных систем;
-Определение перечня ИСПДн;
-Определение обрабатываемых ПДн и объектов защиты;
-Определение круга лиц, участвующих в обработке ПДн;
-Определение прав разграничения доступа пользователей ИСПДн необходимых для выполнения должностных обязанностей;
-Назначение ответственного за обеспечение безопасности ПДн;
Классификация всех выявленных ИСПДН;
Организация порядка резервного копирования защищаемой информации на твердые носители;
-Организация информирования сотрудников о порядке обработки ПДн и их обучения;
-подготовка и утверждение комплекта нормативной документации ,регламентирующей обработку ПДн в ИСПДн;
|
Разовое
Разовое
Разовое
Разовое
Разовое
Разовое
Разовое
Разовое
|
Системный администратор
директор
систмный администратор
Директор
Системный администратор
Системный администратор
Систмный администратор
Директор
директор
|
|
ФИЗИЧЕСКИЕ МЕРОПРИЯТИЯ.
-Установление границ контролируемой зоны ИСПДн;
-Установка штор на окнах;
|
Разовое
Разовое
|
директор
|
|
ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
Внедрение межсетевого экранирования;
-Внедрение криптографической защиты;
|
Разовое
Разовое
|
Системный администратор
|
|
КОНТРОЛИРУЮЩИЕ МЕРОПРИЯТИЯ
-Контроль над соблюдением режима обработки ПДн;
-Контроль за обновление программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн;
-Контроль за обеспечение резервного копирования»
-Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых ,еще не известных угроз
|
Еженедельно
Еженедельно
Ежемесячно
ежегодно
|
Системный администратор
Системный администратор
|
Подробнее
