РОССИЙСКАЯ ФЕДЕРАЦИЯ
АДМИНИСТРАЦИЯ  ТАЛЬМЕНСКОГО РАЙОНА

АЛТАЙСКОГО КРАЯ 

 

ПОСТАНОВЛЕНИЕ

14.02.2017г.                                                                                                                       № 331

р.п. Тальменка

               

Об обеспечении безопасности информации конфиденциального характера, обрабатываемой Администрации Тальменского района Алтайского края и подведомственных ей организациях

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

ПОСТАНОВЛЯЮ:

1. Утвердить и ввести в действие:

Типовое положение об обеспечении безопасности информации конфиденциального характера, обрабатываемой в Администрации Тальменского района  Алтайского края и подведомственных ей организациях (Приложение 1).

Типовую инструкцию по работе пользователей в информационных системах (Приложение 2);

Типовую инструкцию по организации парольной защиты в информационных системах  (Приложение 3);

Типовую инструкцию по организации резервного копирования информации в информационных системах (Приложение 4);

Типовую инструкцию по проведению антивирусного контроля в информационных системах Администрации Тальменского района и подведомственных ей организациях (Приложение 5);

Типовую инструкцию по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа (Приложение 6);

Типовую форму журнала учета и выдачи машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа (Приложение 7);

Типовое положение об обеспечении безопасности общедоступной информации в информационных системах Администрации Тальменского района Алтайского края и подведомственных ей организациях (Приложение 8);

Типовое положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Приложение 9);

Типовую инструкцию по организации обслуживания и ремонта технических средств в информационных системах (Приложение 10).

2. Назначить отдел программного обеспечения, информатизации и работе с обращениями граждан администратором информационных систем администрации Тальменского района;

3. Назначить оператором персональных данных в информационных системах Администрации Тальменского района начальника отдела документационного обеспечения Марину Сергеевну Полотнянко.

4. Опубликовать настоящее постановление на официальном сайте администрации Тальменского района Алтайского края tal-alt.ru;

5. Контроль за исполнением настоящего постановления оставляю за собой.

Глава Администрации

Тальменского района                                                                            И.В.Жарков

Исп. И.Ю. Кононенко

        8  (385 91) 227-01

     

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

ТИПОВОЕ ПОЛОЖЕНИЕ

об обеспечении безопасности информации конфиденциального характера, обрабатываемой в Администрации Тальменского района Алтайского края и подведомственных ей организациях

1. Общие положения

1.1. Типовое положение об обеспечении безопасности информации конфиденциального характера, обрабатываемой в Администрации Тальменского района  Алтайского края и подведомственных ей  организациях (далее – «Положение»), разработано в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282, а также на основании других нормативных правовых актов, методических документов Российской Федерации, регулирующих отношения, связанные с обработкой и защитой информации конфиденциального характера.

1.2. Под информацией конфиденциального характера понимается информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Перечни сведений конфиденциального характера утверждаются главой Администрации Тальменского района Алтайского края, (далее – Администрация).

1.3. Настоящее Положение устанавливает требования к обеспечению безопасности информации конфиденциального характера, обрабатываемой в информационных системах организации.

Под информационной системой (далее – ИС) понимается совокупность информации, содержащейся в базах данных, и обеспечивающих ее обработку информационных технологий, технических средств организации.

1.4. Безопасность информации конфиденциального характера при ее обработке в ИС обеспечивается применением организационных и технических мер.

1.5. Требования настоящего Положения являются обязательными для исполнения всеми лицами, получившими доступ к информации конфиденциального характера, и должны быть доведены до их сведения.

1.6. Решение о необходимости внесения изменений в Положение принимается на основании:

изменения нормативных правовых актов и методических документов, регулирующих отношения, связанные с обработкой и защитой информации конфиденциального характера;

результатов анализа инцидентов информационной безопасности в организации;

изменения технологии хранения и обработки информации конфиденциального характера.

1.7. Все изменения Положения до их ввода в действие подлежат предварительной оценке на соответствие нормативным правовым актам и методическим документам, регулирующим отношения, связанные с обработкой и защитой информации.

2. Цель и требования защиты информации

2.1. Основной целью Положения является принятие организационных и технических мер, направленных:

на обеспечение защиты информации от несанкционированного доступа, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении такой информации;

на соблюдение конфиденциальности информации;

на реализацию права на доступ к конфиденциальной информации.

2.2. На основании Положения устанавливаются требования:

к разграничению доступа к информации конфиденциального характера, порядку и условиям такого доступа;

к порядку хранения и обработки информации конфиденциального характера;

к передаче информации конфиденциального характера другим лицам по договору или на ином установленном законом основании.

3. Методы и способы защиты информации конфиденциального характера, обрабатываемой в ИС

3.1. Для достижения цели защиты информации конфиденциального характера системы безопасности должны обеспечивать эффективное решение следующих задач:

предотвращение несанкционированного доступа к информации конфиденциального характера и (или) передачи ее лицам, не имеющим права на доступ к ней;

своевременное обнаружение фактов несанкционированного доступа;

предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации конфиденциального характера;

недопущение воздействия на технические средства обработки информации конфиденциального характера, в результате которого нарушается их функционирование;

создание возможности восстановления информации конфиденциального характера, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

постоянный контроль за обеспечением защищенности информации конфиденциального характера.

3.2. Выполнение требований настоящего Положения регламентируется следующими документами:

инструкция по работе пользователей в ИС;

инструкция по организации парольной защиты в ИС;

инструкция по организации резервного копирования информации в ИС;

инструкция по проведению антивирусного контроля в ИС;

инструкция по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа;

инструкция по организации обслуживания и ремонта технических средств в ИС;

инструкция по организации доступа в помещения, в которых осуществляется обработка информации, в том числе персональных данных и иной информации конфиденциального характера;

типовая форма журнала учета и выдачи машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа.

3.3. Помещения, в которых ведется обработка информации конфиденциального характера, должны соответствовать режимным требованиям, должна обеспечиваться сохранность ИС, носителей информации конфиденциального характера и средств защиты информации, а также исключаться возможность неконтролируемого пребывания посторонних лиц в этих помещениях.

3.4. Обработка документов с пометкой «для служебного пользования» допускается только в ИС, аттестованных по требованиям безопасности информации.

4. Обязанности

4.1.Глава Администрации Тальменского района Алтайского края:

организует работу сотрудников организации в ИС;

утверждает расходы на финансовое, материально-техническое и иное обеспечение мероприятий по функционированию ИС.

4.2. Подразделение или лицо, ответственное за защиту информации в Администрации Тальменского района:

организует защиту информации конфиденциального характера, обрабатываемой в ИС;

определяет порядок доступа к информации конфиденциального характера, обрабатываемой в ИС;

осуществляет методическое руководство и внесение предложений по организации и совершенствованию систем защиты информации;

отвечает за соблюдение требований по обеспечению безопасности информации, обрабатываемой в ИС;

отвечает за обнаружение фактов несанкционированного доступа к ИС;

организует аттестацию по требованиям безопасности информации ИС, предназначенных для обработки документов с пометкой «для служебного пользования»;

осуществляет администрирование ИС, аттестованных по требованиям безопасности информации;

организует и обеспечивают работы по проведению антивирусного контроля ИС;

осуществляет резервное копирование и восстановление информации конфиденциального характера, обрабатываемой в ИС.

4.3. Подразделение или лицо, ответственное за администрирование ИС в организации:

сопровождает функционирование программного обеспечения ИС в присутствии представителей подразделения, ответственного за защиту информации в организации, либо лица, но которого возложены обязанности по обеспечению информационной безопасности в организации;

проводит обслуживание ИС, периферийного и другого специализированного оборудования в присутствии представителей подразделения, ответственного за защиту информации в организации, либо лица, но которого возложены обязанности по обеспечению информационной безопасности в организации.

4.4. Подразделение или лицо, ответственное за кадровый учет в организации, уведомляет сотрудников подразделения, ответственного за защиту информации в организации, либо лицо, но которого возложены обязанности по обеспечению информационной безопасности в организации об изменении кадрового состава.

4.5. Пользователи ИС:

отвечают за соблюдение установленного порядка использования ИС;

соблюдают требования нормативных документов по обеспечению безопасности информации конфиденциального характера, обрабатываемой в ИС;

соблюдают порядок доступа к ИС и информации конфиденциального характера, обрабатываемой ими;

осуществляют обработку документов с пометкой «для служебного пользования» в аттестованных по требованиям безопасности информации ИС;

не имеют права на изменение компонентов ИС, отключение или изменение настроек средств антивирусной защиты.

5. Ответственность

5.1. Ответственность за реализацию и соблюдение требований Положения возлагается на начальников структурных подразделений, пользователей ИС и лиц, ответственных за защиту информации в администрации Тальменского района.

5.2. Нарушение требований Положения влечет ответственность в соответствии с действующим законодательством Российской Федерации.

6. Контроль состояния защиты информации конфиденциального характера

6.1. Контроль и надзор за выполнением требований по обеспечению безопасности информации конфиденциального характера при обработке в ИС осуществляется ФСТЭК России, ФСБ России в пределах их полномочий и без права ознакомления с информацией конфиденциального характера, обрабатываемой в ИС.

6.2. Повседневный контроль принятия организационных и технических мер, направленных на обеспечение защиты информации конфиденциального характера при обработке в ИС, осуществляется подразделением или лицом, ответственным за защиту информации в Администрации Тальменского района, в помещении режимно-секретного подразделения – его начальником.

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

ТИПОВАЯ ИНСТРУКЦИЯ

по работе пользователей в информационных системах Администрации Тальменского района Алтайского края и подведомственных ей организациях

1. Общие положения

1.1. Данная инструкция определяет общие принципы работы пользователей в информационных системах Администрации Тальменского района и подведомственных ей организациях (далее - ИС). Пользователи ИС несут персональную ответственность за свои действия.

1.2. Допуск пользователей для работы в ИС осуществляется в соответствии с их должностными обязанностями после ознакомления с документами по работе в ИС.

1.3. Доступ пользователей в ИС обеспечивает администратор безопасности ИС.

2. Порядок работы пользователей в ИС

2.1. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ИС, присвоенными администратором безопасности ИС. При этом для хранения информации ограниченного доступа разрешается использовать только учтенные носители информации (дискеты, компакт-диски, USB Flash-накопители, жесткие диски и т.д.), учтенные по журналу учета и выдачи машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа.

2.2. Пользователь ИС отвечает за правильность включения и выключения ПЭВМ, входа/выхода в/из ИС и действия при работе в ней.

2.3. Вход пользователя в ИС осуществляется на основе ввода (по запросу системы) имени (идентификатора), присвоенного при регистрации администратором безопасности ИС, и пароля. Требования к сложности пароля и периодичности его замены установлены в типовой инструкции по организации парольной защиты в ИС.

2.4. В случае отказа ИС в идентификации пользователя, либо не подтверждения личного пароля следует немедленно обратиться к администратору безопасности ИС.

2.5. Резервное копирование, уничтожение и восстановление защищаемой информации осуществляются пользователем в рамках выделенных полномочий, либо администратором безопасности ИС, в соответствии с инструкцией по организации резервного копирования информации в ИС.

2.6. Перед началом работы с носителями информации пользователь ИС обязан проверить их на наличие вредоносного программного обеспечения с использованием антивирусного программного обеспечения, установленного в ИС, в соответствии с инструкцией по проведению антивирусного контроля в ИС. В случае обнаружения вредоносного программного обеспечения на носителе информации пользователь обязан немедленно сообщить администратору безопасности ИС.

3. В процессе работы пользователю запрещается:

3.1. использовать для хранения и обработки защищаемой информации носители, не учтенные соответствующим образом;

3.2. осуществлять попытки неправомерного доступа к ресурсам ИС других пользователей;

3.3. пытаться подменять функции администратора безопасности ИС по перераспределению времени работы и полномочий доступа к ресурсам ИС;

3.4. оставлять ПЭВМ с незавершенным сеансом. При отсутствии визуального контроля за ПЭВМ, доступ к ПЭВМ должен быть заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <Ctrl><Alt><Del> и выбрать опцию <Блокировка>;

3.5. допускать посторонних лиц к ПЭВМ;

3.6. сообщать (или передавать) посторонним лицам атрибуты доступа к ресурсам ИС;

3.7. самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических средств или программного обеспечения;

3.8. открывать общий доступ к папкам на ПЭВМ;

3.9. работать на ПЭВМ при обнаружении неисправности;

3.10. самостоятельно вносить изменения в конфигурацию, размещение ПЭВМ и другие узлы ИС.

4. Ответственность

4.1. Ответственность за допуск пользователя к ресурсам и установленные ему полномочия несет руководитель структурного подразделения.

4.2. Пользователи ИС, нарушившие требования данной инструкции, несут ответственность в соответствии с действующим законодательством и внутренними организационно-распорядительными документами. 

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

ТИПОВАЯ ИНСТРУКЦИЯ

по организации парольной защиты в информационных системах

Администрации Тальменского района Алтайского края и подведомственных ей организациях

1. Общие положения

  1.  Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах Администрации Тальменского района  и подведомственных ей организациях (далее – «ИС»), а также контроль за действиями пользователей и обслуживающего персонала ИС при работе с парольной защитой.
  2.  Идентификация и аутентификация пользователей в ИС осуществляется посредством использования персональных учетных записей пользователей ИС и периодически сменяемых паролей. Пароли пользователей ИС должны содержать не менее шести символов, состоять из букв и цифр, а также при смене пароля отличаться от прежнего минимум на 3 символа. Обязательная реализация идентификации и аутентификации реализуется в рамках домена вычислительной сети Администрации Тальменского района и подведомственных ей организациях (далее – Администрация) на автоматической основе, дополнительно реализуется программным обеспечением ИС.
  3.  Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИС, а также контроль за действиями пользователей и обслуживающего персонала ИС при работе с паролями возлагается на администратора безопасности ИС.
  4.  Временный пароль, задаваемый при создании учетной записи или смене забытого пароля, должен передаваться способом, исключающим доступ к нему других лиц, и быть изменен пользователем при первом обращении к ИС. Пароли, предустановленные производителем программного обеспечения, средства защиты информации и т.д. должны изменяться до начала их эксплуатации.

2. Порядок генерации, смены и прекращения

действия и резервирования паролей

2.1. В целях предотвращения несанкционированного доступа посторонних лиц к ресурсам ИС пользователями осуществляется периодическая (не реже раза в шесть месяцев) замена пароля в автоматическом режиме в домене вычислительной сети и по возможности в другом программном обеспечении ИС. Замена пароля осуществляется пользователем ИС самостоятельно или с привлечением администратора безопасности ИС.

2.2. В случае прекращения полномочий пользователя ИС (увольнение, переход на другую работу и т.п.) подразделение или лицо, ответственное за кадровое обеспечение организации должно уведомить об этом администратора безопасности ИС.

Администратор безопасности ИС должен произвести блокирование или удаление учетной записи пользователя ИС незамедлительно после получения такого уведомления.

2.3. Внеплановая смена паролей всех пользователей ИС должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администратора безопасности ИС и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИС.

2.4. В случае компрометации личного пароля пользователя ИС проводится внеплановая смена пароля, которая выполняется лично или администратором безопасности ИС устанавливается временный пароль.

2.5. Повседневный контроль за действиями пользователей и обслуживающего персонала ИС при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на руководителей структурных подразделений Администрации Тальменского района, администратора безопасности ИС, периодический контроль - возлагается на руководителя подразделения или лицо, ответственное за организацию обработки информации.

2.6. По решению руководителя структурного подразделения, может применяться резервирование паролей ключевых пользователей, таких, как администратор безопасности ИС, отдельных пользователей, выполняющих ключевые функции, а также пользователей, обеспечивающих работу отдельных сетевых сервисов.

2.7. Для резервирования пароля выполняются следующие действия:

пароль записывается на лист бумаги;

лист с записью пароля вкладывается владельцем в конверт. Конверт не должен допускать просмотр записи пароля на просвет. Если конверт недостаточно плотный, в него может быть вложен лист темной бумаги. Конверт заклеивается, при необходимости - опечатывается;

на конверте владелец пароля указывает свою должность, фамилию и инициалы, наименование информационного средства, доступ к которому защищается этим паролем, текущую дату и время, при необходимости – другие данные, и заверяет запись личной подписью;

конверт передается на хранение руководителю структурного подразделения или лицу, им для этого назначенным;

конверты с паролями хранятся у руководителей структурных подразделений или у администратора безопасности ИС в условиях, исключающих бесконтрольный доступ к ним. Указанные должностные лица обязаны проверять наличие конвертов с паролями, не реже раза в квартал;

при замене пароля конверт передается владельцу пароля, который уничтожает лист с резервным паролем. Новый резервный пароль подготавливается к хранению так, как указано выше;

вскрытие конверта с паролем производится по решению руководителя структурного подразделения в случае необходимости использования прав доступа его владельца в отсутствие самого владельца. О вскрытии конверта составляется акт, утверждаемый руководителем подразделения, который по окончании работы хранится в деле подразделения;

при появлении владельца пароля, после факта вскрытия конверта, пароль заменяется на новый и вновь сохраняется его копия, как описано выше.

3. Запрещается:

сообщать свой пароль другим лицам или записывать его на материальных носителях, доступных для других лиц (кроме предусмотренных случаев сохранения паролей ключевых пользователей ИС);

сохранять пароль в программно-технических средствах в открытом виде или использовать средства его автоматического ввода;

использовать учетные записи других лиц.

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

ТИПОВАЯ ИНСТРУКЦИЯ

по организации резервного копирования информации в информационных системах Администрации Тальменского района и подведомственных ей организациях

1. Общие положения

1.1. Данная инструкция определяет порядок организации резервного копирования информации, обрабатываемой в информационных системах Администрации Тальменского района и подведомственных им организаций (далее – «ИС»), меры поддержания непрерывности работы ИС и восстановления их работоспособности.

1.2. Задачей данной инструкции является:

определение необходимых мероприятий по защите ИС от потери информации;

определение необходимых действий по восстановлению информации ИС в случае ее потери.

1.3. Действие настоящей инструкции распространяется на администратора безопасности ИС, а в его отсутствие на замещающих его лиц и всех пользователей ИС.

1.4. Пересмотр настоящей инструкции осуществляется по мере необходимости руководителем подразделения или лицом, ответственным за обеспечение информационной безопасности.

1.5. Ответственность за обеспечение мероприятий по предотвращению инцидентов, приводящих к потере информации, возлагается на администратора безопасности ИС.

1.6. Контроль за реагированием на инциденты безопасности, приводящие к потере защищаемой информации, возлагается на руководителя подразделения или лицо, ответственное за обеспечение информационной безопасности.

2. Порядок резервирования информации

2.1. Система резервного копирования и хранения данных должна обеспечивать сохранность информации на носителях информации, не участвующих в ее обработке.

2.2. Резервное копирование данных должно осуществляться на периодической основе:

для обрабатываемой информации – не реже одного раза в неделю;

для технологической информации – не реже одного раза в 6 месяцев.

Процесс резервного копирования должен отражаться в журнале системы резервного копирования и хранения данных.

Администратор безопасности ИС должен контролировать наличие резервных копий не реже одного раза в месяц.

2.3. Носители, на которые произведено резервное копирование, должны быть учтены соответствующим образом.

2.4. Для обеспечения возможности восстановления данных резервные копии должны храниться не менее недели.

2.5. Для защиты от неисправностей носителей информации на ПЭВМ, осуществляющих обработку и хранение информации, могут применяться технические средства, основанные на RAID-технологии (кроме RAID-0), в которой применяется дублирование информации.

2.6. Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИС, сетевое и коммуникационное оборудование, а также ПЭВМ должны подключаться к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания могут применяться следующие методы резервного электропитания:

локальные источники бесперебойного электропитания для защиты отдельных ПЭВМ;

источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;

дублирующие системы электропитания.

3. Реагирование на инцидент

3.1. Под инцидентом понимается некоторое происшествие, связанное со сбоем в функционировании ИС, предоставляемых пользователям ИС, а также потеря информации.

3.2. Инцидент может произойти:

в результате непреднамеренных действий пользователей ИС;

в результате преднамеренных действий пользователей ИС или третьих лиц;

в результате нарушения правил эксплуатации технических средств ИС;

в результате возникновения внештатных ситуаций и обстоятельств непреодолимой силы.

3.3. В сроки, не превышающие 3 рабочих дня, администратором безопасности ИС применяются меры по восстановлению работоспособности ИС. Предпринимаемые меры в случае необходимости согласуются с руководителем подразделения, ответственного за администрирование ИС.

4. Восстановление информации из резервных копий

4.1. Работы по восстановлению данных из резервных копий производятся администратором безопасности ИС.

4.2. Восстановление данных из резервных копий происходит в случае ее исчезновения или нарушения вследствие несанкционированного доступа в ИС, воздействия вредоносного программного обеспечения, ошибок программного обеспечения, ошибок пользователей ИС и аппаратных сбоев.

4.3. Восстановление программного обеспечения производится с носителей, входящих в комплект поставки, или их резервных копий в соответствии с технической документацией на данное программное обеспечение.

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

ТИПОВАЯ ИНСТРУКЦИЯ

по проведению антивирусного контроля в информационных системах Администрации Тальменского района и подведомственных ей организациях

 

1. Общие положения

1.1. Инструкция по проведению антивирусного контроля в информационных системах Администрации Тальменского района и подведомственных ей организациях (далее – «Инструкция») предназначена для пользователей информационных систем Администрации Тальменского района и подведомственных ей организациях (далее – «Администрация»).

1.2. В целях обеспечения антивирусной защиты в информационных системах Администрации (далее – «ИС») производится антивирусный контроль.

1.3. Ответственность за поддержание установленного в Инструкции порядка возлагается на администратора безопасности ИС.

1.4. К применению в ИС допускается лицензионное антивирусное программное обеспечение.

2. Порядок проведения антивирусного контроля в ИС

2.1. Антивирусный контроль должен осуществляться на ПЭВМ в постоянном режиме.

2.2. Пользователи ИС при работе с носителями информации обязаны перед началом работы осуществить их проверку на предмет наличия вредоносного программного обеспечения.

2.3. Администратор безопасности ИС осуществляет контроль обновления антивирусных баз и функционирования антивирусной защиты информации.

2.4. Администратор безопасности ИС проводит периодическое тестирование установленного программного обеспечения на предмет наличия вирусов.

2.5. При обнаружении вредоносного программного обеспечения пользователь ИС обязан немедленно поставить в известность администратора безопасности ИС и прекратить какие-либо действия в ИС.

2.6. Администратор безопасности ИС проводит в случае необходимости лечение зараженных файлов с помощью антивирусного программного обеспечения и после этого вновь проводит антивирусный контроль.

2.7. В случае обнаружения на носителе информации вредоносного программного обеспечения, неподдающегося лечению, администратор безопасности ИС обязан запретить использование данного носителя информации, а также обязан поставить в известность руководителя подразделения или лицо, ответственное за обеспечение информационной безопасности, запретить работу в ИС и принять меры по восстановлению работоспособности ИС.

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

ТИПОВАЯ ИНСТРУКЦИЯ

по организации учета, использования и уничтожения машинных

носителей информации, предназначенных для обработки и хранения информации ограниченного доступа

1. Общие положения

1.1. Настоящая инструкция устанавливает требования к организации учета и использования машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа в информационных системах Администрации Тальменского района Алтайского края и подведомственных ей организациях (далее – «ИС»).

1.2. Учет машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа, осуществляет администратор безопасности ИС.

1.3. Все машинные носители информации, предназначенные для обработки и хранения информации ограниченного доступа (далее - МНИ), регистрируются по журналу учета и выдачи машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа (далее - Журнал) администратором безопасности ИС.

1.4. Ответственность за сохранность полученных МНИ несет пользователь ИС.

2. Учет машинных носителей информации, предназначенных

для обработки и хранения информации ограниченного доступа

2.1. К МНИ относятся:

съемные носители информации;

несъемные носители информации.

2.2. При обработке информации ограниченного доступа на ПЭВМ соблюдается следующий порядок учета, хранения МНИ:

2.2.1. Каждому МНИ присваивается учетный номер по Журналу. Учетный номер наносится на МНИ администратором безопасности ИС. Если невозможно маркировать непосредственно МНИ, то маркируется упаковка, в которой он хранится, или устройство, в котором установлен носитель информации.

Учетный номер состоит из двух частей АААХХХ, где:

ААА - буквенное сокращение из 3 символов (определяются администратором безопасности ИС);

ХХХ - трехзначный порядковый номер по Журналу.

2.2.2. МНИ выдаются пользователям ИС с отметкой в Журнале.

2.2.3. Хранение съемных МНИ должно осуществляться в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

2.2.4. Хранение несъемных МНИ должно осуществляться в закрываемых помещениях в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное использование, уничтожение.

2.2.5. МНИ после удаления информации ограниченного доступа с учета не снимаются. В дальнейшем эти МНИ могут использоваться для обработки и хранения информации ограниченного доступа. Если МНИ не пригодны для дальнейшего использования, они подлежат списанию и уничтожению.

2.2.6. О фактах утраты МНИ докладывается администратору безопасности ИС с внесением записи в Журнал.

2.2.7. Передача МНИ производится администратором безопасности ИС по Журналу.

2.2.8. В случае неисправности МНИ пользователь сдает его администратору безопасности ИС с внесением в Журнал записи о неисправности МНИ.

2.3. МНИ, утратившие практическое значение или пришедшие в негодность, уничтожаются.

3. Порядок уничтожения МНИ

Уничтожение МНИ производится администратором безопасности путем их физического разрушения с оформлением акта уничтожения. Перед уничтожением МНИ информация с них должна быть удалена (уничтожена, стерта и т.д.), если это возможно выполнить.

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

                                                                                                                    М.П.

ТИПОВАЯ ФОРМА ЖУРНАЛА

учета и выдачи машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа

Начат: «__» _____________ 201_ г.

Окончен: «__» _____________ 201_ г.

Ответственный за ведение журнала:

_________________________________________________

№ п/п

Носитель

Учетный номер носителя

Дата передачи носителя

Ф.И.О. получившего

Роспись

Примечание

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

                                                                              М.П.

ТИПОВОЕ ПОЛОЖЕНИЕ

об обеспечении безопасности общедоступной информации в информационных системах Администрации Тальменского района Алтайского края и подведомственных ей организациях

1. Общие положения

1.1. Типовое положение об обеспечении безопасности общедоступной информации в информационных системах Администрации Тальменского района Алтайского края и подведомственных ей организациях (далее – «положение») разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и другими нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обработкой и защитой информации.

1.2. Настоящее положение устанавливает требования к обеспечению безопасности общедоступной информации в информационных системах Администрации Тальменского района Алтайского края и подведомственных ей организациях (далее – «ИС»), доступ к которой не ограничен федеральными законами.

Под ИС понимается совокупность информации, содержащейся в базах данных, и обеспечивающих ее обработку информационных технологий, технических средств Администрации Тальменского района Алтайского края и подведомственных ей организациях (далее – «Администрация»).

ИС используются для хранения, обработки и передачи информации в соответствии с функциями организации.

ИС включают в себя аппаратно-программный комплекс серверной группы, рабочие станции, сетевое оборудование, периферийное оборудование (принтеры, сканеры и т.п.) и другое специализированное оборудование организации.

1.3. Безопасность общедоступной информации при ее обработке в ИС обеспечивается применением организационных мер и технических средств защиты информации, реализующих требования нормативных правовых актов Российской Федерации.

1.4. Требования настоящего положения и других документов, разработанных для их реализации, являются обязательными для исполнения всеми лицами, получившими доступ к общедоступной информации в ИС, и должны быть доведены до их сведения.

1.5. Решение о необходимости внесения изменений в положение принимается на основании:

изменения нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой и защитой информации;

результатов анализа инцидентов информационной безопасности в ИС;

изменения технологии хранения и обработки информации.

1.6. Все изменения положения до их ввода в действие подлежат предварительной оценке на соответствие нормативным правовым актам и нормативным методическим документам Российской Федерации, регулирующим отношения, связанные с обработкой и защитой информации.

2. Цель защиты информации и основные виды угроз безопасности

2.1. Основной целью положения является обеспечение принятия организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении такой информации;

реализацию права на доступ к информации.

2.2. На основании положения устанавливаются требования к:

разграничению доступа к общедоступной информации, порядку и условиям такого доступа;

порядку хранения и обработки информации;

передаче информации другим лицам по договору или на ином установленном законом основании;

2.3. Основными видами угроз безопасности общедоступной информации в ИС являются:

противоправные и (или) ошибочные действия пользователей ИС и третьих лиц;

отказы, сбои программного обеспечения и технических средств ИС, приводящие к модификации, блокированию, уничтожению, а также нарушению правил эксплуатации ПЭВМ;

стихийные бедствия, техногенные аварии, сбои и отказы технических средств ИС.

3. Методы и способы защиты общедоступной информации в ИС

3.1. Для достижения основной цели защиты информации системы безопасности должны обеспечивать эффективное решение следующих задач:

предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к ней;

своевременное обнаружение фактов несанкционированного доступа;

предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

создание возможности незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

постоянный контроль за обеспечением защищенности информации.

3.2. Для выполнения требований настоящего положения утверждаются:

инструкция по проведению антивирусного контроля в ИС;

инструкция по организации парольной защиты в ИС;

инструкция по организации обслуживания и ремонта технических средств ИС;

инструкция по работе пользователей в ИС;

инструкция по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа;

инструкция по организации резервного копирования информации в ИС;

типовая форма журнала учета и выдачи машинных носителей информации, предназначенных для обработки и хранения информации ограниченного доступа.

3.3. Охрана помещений, в которых ведется обработка информации и организация режима безопасности в этих помещениях, должна обеспечивать сохранность технических средств ИС, носителей информации и средств защиты информации, а также исключение возможности неконтролируемого пребывания посторонних лиц в этих помещениях.

4. Обязанности

4.1.Глава Администрации:

организует работу сотрудников организации в ИС;

утверждает расходы на финансовое, материально–техническое и иное обеспечение мероприятий по функционированию ИС.

4.2. Подразделение или лицо, ответственное за защиту информации в организации:

организует защиту общедоступной информации, расположенной в ИС;

определяет порядок доступа к общедоступной информации, расположенной в ИС;

осуществляет методическое руководство и внесение предложений по организации и совершенствованию систем защиты информации;

отвечает за соблюдение в ИС требований по обеспечению безопасности информации;

отвечает за своевременное обнаружение фактов несанкционированного доступа к ИС.

4.3. Подразделение или лицо, ответственное за администрирование ИС в администрации:

осуществляет администрирование ИС;

сопровождает функционирование программного обеспечения рабочих станций ИС;

в случае необходимости удаленно контролирует состояние рабочих станций;

организует и обеспечивает работы по проведению антивирусного контроля ПЭВМ.

осуществляет резервное копирование и восстановление информации, расположенной в ИС.

4.4. Подразделение или лицо, ответственное за техническое обслуживание средств вычислительной техники в организации:

организует обслуживание технических средств ИС, периферийного и другого специализированного оборудования;

обеспечивает анализ и устранение неисправностей технических средств и ПО, предпринимает необходимые действия по их предупреждению.

4.5. Пользователь ИС – сотрудник, допущенный к работе в ИС:

отвечает за соблюдение установленного порядка использования программного обеспечения, а также применение технических и программных средств ИС;

соблюдает требования нормативных документов по обеспечению безопасности информации, обрабатываемой в ИС;

соблюдает разрешительную систему доступа к техническим средствам ИС и информации, обрабатываемой в ней;

не имеет права на изменение компонентов ПЭВМ, отключение или изменение настроек антивирусной защиты.

5. Ответственность

5.1. Ответственность за реализацию и соблюдение требований положения пользователями ИС возлагается на начальников структурных подразделений и ответственных лиц организации.

5.2. Нарушение требований положения влечет ответственность в соответствии с действующим законодательством Российской Федерации. 

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

                                     М.П.

ТИПОВОЕ ПОЛОЖЕНИЕ

об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных  Тальменского района Алтайского края и подведомственных ей организациях

1. Общие положения

1.1. Типовое положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных  Тальменского района Алтайского края и подведомственных ей организациях (далее – «Положение») разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.

1.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных  Тальменского района Алтайского края и подведомственных ей организациях (далее – «Администрация», «оператор персональных данных»).

1.3. Безопасность персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) обеспечивается применением организационных мер и технических средств защиты информации (в том числе средств предотвращения несанкционированного доступа). Организационные меры и технические средства защиты информации должны удовлетворять требованиям, установленным нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн.

1.4. Требования настоящего Положения являются обязательными для исполнения всеми лицами, получившими доступ к персональным данным.

1.5. Решение о необходимости изменения этого Положения принимается на основании:

результатов проведенных аудитов, мероприятий по контролю и надзору за обеспечением безопасности персональных данных, осуществляемых уполномоченными органами;

изменения нормативных правовых актов и (или) нормативных методических документов Российской Федерации в области защиты персональных данных;

изменения процессов обработки персональных данных в ИСПДн оператора персональных данных;

результатов анализа инцидентов информационной безопасности в ИСПДн.

Изменения Положения должны быть направлены на предотвращение инцидентов или устранение последствий уже реализованных инцидентов информационной безопасности.

Все предлагаемые изменения Положения подлежат предварительной оценке до их ввода в действие на соответствие нормативным правовым актам и нормативным методическим документам Российской Федерации, регулирующим отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн.

2. Обработка персональных данных

2.1. Оператор персональных данных осуществляет обработку персональных данных лиц, замещающих должности государственной гражданской службы Алтайского края, муниципальной службы Алтайского края и должности, не относящиеся к должностям государственной гражданской и муниципальной службы Алтайского края, а также лиц, не являющихся сотрудниками оператора.

2.2. Обработка персональных данных осуществляется оператором персональных данных в целях реализации возложенных на него функций, определяемых законами и иными нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн.

2.3. Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки. Обрабатываемые персональные данные должны соответствовать заявленным целям обработки. Недопустимо объединение созданных для несовместимых между собой целей баз данных ИСПДн.

2.4. Обработка персональных данных осуществляется оператором персональных данных без проведения мероприятий по обезличиванию персональных данных.

2.5. Персональные данные оператор получает непосредственно от субъектов персональных данных, которые принимают решение об их предоставлении и дают согласие на их обработку своей волей и в своем интересе.

2.6. Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списков сотрудников, допущенных к соответствующим персональным данным.

2.7. Принятые в организации организационно-распорядительные документы доводятся до сведения лиц, участвующих в процессе обработки персональных данных в части их касающейся.

2.8. Персональные данные, используемые для обработки в ИСПДн, порядок их использования, цель, периодичность и основания внесения изменений и дополнений в организационные документы, а также порядок хранения персональных данных устанавливаются оператором персональных данных.

2.9. Оператор персональных данных не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

2.10. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Персональные данные подлежат уничтожению по достижении всех целей их обработки или в случае утраты необходимости в достижении этих целей. Оператор персональных данных по согласованию с субъектом персональных данных может изменить сроки хранения его персональных данных в связи с обязанностями, возлагаемыми на оператора персональных данных законодательством Российской Федерации.

3. Обязанности и права оператора персональных данных в ИС

3.1. Оператор персональных данных обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.2. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных,  с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.4. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.5. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

3.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку  и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

3.7. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 3.4 - 3.6 настоящего Положения, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

4. Методы и способы защиты персональных данных в ИСПДН

4.1. С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператором персональных данных должны быть установлены уровни защищенности персональных данных ИСПДн.

4.2. В целях обеспечения безопасности персональных данных определяются угрозы безопасности, оценивается актуальность угроз безопасности персональных данных. В результате разрабатывается модель угроз безопасности персональных данных.

Модель угроз безопасности персональных данных корректируется при изменении состава основных технических средств и условий эксплуатации ИСПДн сотрудниками подразделения или лицом, ответственным за защиту информации в организациях.

4.3. Установка, изменение (обновление) и удаление программного обеспечения в ИСПДн производится администратором безопасности информационных систем или в его присутствии.

4.4. Доступ лиц к ИСПДн, не допущенных к работе с персональными данными, должен быть исключен. ИСПДн должны быть защищены аппаратными и (или) программными средствами защиты информации от несанкционированного доступа в соответствии с нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн.

4.5. Обработка персональных данных в ИСПДн осуществляется с использованием средств защиты информации в соответствии с установленными требованиями нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности информации.

4.6. Охрана помещений, в которых ведется работа с персональными данными, и организация режима безопасности в этих помещениях должна обеспечивать сохранность технических средств и носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Все носители персональных данных должны быть учтены с помощью их маркировки, а их учетные данные занесены в журнал учета с отметкой об их выдаче (приеме).

4.7. В целях обеспечения безопасности персональных данных должны быть разработаны следующие организационно-распорядительные и организационно-методические документы по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн:

перечень ИСПДн ;

перечень персональных данных, обрабатываемых в администрации в связи с реализацией служебных (трудовых) отношений;

список лиц, допущенных к соответствующим персональным данным;

инструкция по работе пользователей в информационных системах администрации;

инструкция по организации доступа в помещения, в которых ведется обработка персональных данных;

инструкция администратора безопасности информационных систем администрации;

инструкция по организации резервного копирования информации в администрации;

инструкция по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения персональных данных;

инструкция по организации парольной защиты в информационных системах администрации;

инструкция по проведению антивирусного контроля в информационных системах администрации;

инструкция по организации технического обслуживания и ремонта технических средств информационных систем администрации;

инструкция по правилам обращения с носителями ключевой информации в информационных системах администрации;

инструкция ответственного за организацию обработки персональных данных администрации;

правила рассмотрения запросов субъектов персональных данных или их представителей в администрации;

правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации;

правила обработки персональных данных в администрации;

другие организационно-распорядительные документы по обеспечению безопасности персональных данных, обрабатываемых в информационных системах администраии.

4.8. Лица, уполномоченные осуществлять обработку персональных данных, несут ответственность за соблюдение требований по защите персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации.

5. Обязанности и права должностных лиц

5.1. Глава администрации:

организует разработку, внедрение, совершенствование и эксплуатацию системы защиты ИСПДн, а также организует внутренний контроль за соблюдением нормативных правовых актов Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

осуществляет финансовое, материально-техническое и иное обеспечение мероприятий по защите персональных данных при их обработке в ИСПДн организации по вопросам государственной службы и кадров;

назначает ответственного за организацию обработки персональных данных;

назначает ответственного за обеспечение безопасности персональных данных;

назначает администратора безопасности информационных систем.

5.2. Ответственный за организацию обработки персональных данных:

осуществляет внутренний контроль за соблюдением оператором персональных данных и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

доводит до сведения работников оператора персональных данных положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

организует и осуществляет прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

5.3. Ответственный за обеспечение безопасности персональных данных:

несет ответственность за организацию обеспечения безопасности персональных данных при их обработке в информационных системах администрации;

организует выполнение мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИСПДн;

организует расследование причин и условий появления нарушений безопасности ИСПДн, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений;

разрабатывает проекты распорядительных документов по защите персональных данных при их обработке в ИСПДн в администрации;

разрабатывает совместно с другими структурными подразделениями админитсрации настоящее Положение и вносит в него в установленном порядке изменения;

разрабатывает предложения по дальнейшему совершенствованию системы защиты персональных данных при их обработке в ИСПДн;

осуществляет планирование мероприятий по защите персональных данных при их обработке в ИСПДн, их выполнение и контроль их эффективности;

подготавливает предложения о привлечении к проведению работ по защите персональных данных при их обработке в ИСПДн на договорной основе организаций, имеющих лицензию на соответствующий вид деятельности.

5.4. Администратор безопасности информационных систем:

обеспечивает обнаружение фактов несанкционированного доступа к ИСПДн, о которых должен доложить ответственному за обеспечение безопасности персональных данных;

осуществляет установку и ввод в эксплуатацию средств защиты информации ИСПДн в соответствии с эксплуатационной и технической документацией;

обеспечивает работы по проведению антивирусного контроля в ИСПДн;

выполняет резервное копирование персональных данных;

осуществляет установку (обновление версий) программного обеспечения ИСПДн, обеспечивает его функционирование;

осуществляет установку, подключение и настройку технических средств ИСПДн в соответствии с технической документацией;

осуществляет установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач;

организует регистрацию и осуществляет учет защищаемых носителей информации.

5.5. Подразделение или лицо, ответственное за техническое обслуживание средств вычислительной техники в организации обеспечивает обслуживание и ремонт сетевого оборудования, рабочих станций, серверного и периферийного оборудования в ИСПДн.

6. Контроль состояния защиты персональных данных

6.1. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также уполномоченным органом по защите прав субъектов персональных данных в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в ИСПДн.

6.2. Повседневный контроль выполнения организационных мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИСПДн, осуществляется ответственным за организацию обработки персональных данных и ответственным за обеспечение безопасности персональных данных.

7. Заключительные положения

7.1. Настоящее Положение вступает в силу с момента его утверждения.

7.2. Настоящее Положение не заменяет собой действующее законодательство Российской Федерации, регулирующее отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн.

УТВЕРЖДЕНО

Постановление №_____

От «___»_______2017 г.

             М.П.                                                                  

ТИПОВАЯ ИНСТРУКЦИЯ

по организации обслуживания и ремонта технических средств в информационных системах Администрации Тальменского района Алтайского края и подведомственных ей организациях

 

1. Общие положения

Данная инструкция определяет общие принципы организации технического обслуживания и ремонта технических средств в информационных системах Администрации Тальменского района Алтайского края и подведомственных ей организациях (далее – «ИС»).

инструкция регламентирует порядок обслуживания и ремонта оборудования, сопровождения программного обеспечения, устранения неисправностей программного обеспечения и технических средств ИС.

2. Обслуживание и ремонт технических средств ИС

Обслуживание технических средств ИС выполняется для обеспечения работоспособности ИС, предотвращения ее неисправностей.

При проведении технического обслуживания (далее – «ТО») и ремонта необходимо руководствоваться следующими принципами:

выполнение регламентных работ для технических средств ИС осуществляется в соответствии с технической документацией производителя;

проведение ТО и ремонт должно осуществлять подразделение или лицо, ответственное за техническое обслуживание средств вычислительной техники, а также привлекаемые специалисты (при гарантийном обслуживании);

выполнять меры по защите информации, в случае выполнения работ сторонней организацией за пределами контролируемой зоны, защищаемая информация должна быть удалена с передаваемых носителей информации;

соблюдать требования поставщика технических средств для выполнения гарантийных обязательств.

Ответственность за своевременное проведение ТО и ремонта возлагается на подразделение или лицо, ответственное за техническое обслуживание средств вычислительной техники.

3. Сопровождение программного обеспечения

При сопровождении программного обеспечения (далее - ПО) необходимо руководствоваться следующими принципами:

проводить регламентные работы по сопровождению ПО должен администратор безопасности ИС или привлекаемые специалисты в присутствии администратора безопасности ИС;

выполнять требования лицензионного соглашения на использование ПО в соответствии с законодательством Российской Федерации;

руководствоваться технической документацией производителя при сопровождении ПО;

принимать меры по исключению несанкционированного доступа к защищаемой информации при сопровождении ПО сторонними организациями;

исключить возможность изменения пользователем состава ПО.

4. Устранение неисправностей технических средств и программного обеспечения

Подразделение или лицо, ответственное за техническое обслуживание средств вычислительной техники, обеспечивает анализ и устранение неисправностей технических средств и ПО, предпринимает необходимые действия по их предупреждению.

После выявления неисправности подразделением или лицом, ответственным за администрирование ИС, а также привлекаемыми специалистами (при гарантийном обслуживании) должны выполняться необходимые работы по восстановлению работоспособности ИС, технических средств и ПО.

Joomla templates by a4joomla