close

Вход

Забыли?

вход по аккаунту

?

Политика информационной безопасности

код для вставкиСкачать
Политика информационной безопасности информационных систем персональных данных ГАОУ СПО ТО «Тюменский медицинский колледж»
Политика информационной безопасности
ИСПДн ТМК
2
С
ОДЕРЖАНИЕ
1.
Определения ……………………………………
…………………………………….
3 стр
2.
Обозначения и сокращения
…………………………………………………………
7 стр
3
.
Введение ………………………………………………………………………………
8 стр
4.
Общие положения …………………………………………………………………….
8 стр
5.
Область действия ……………………………………………………………………..
9 стр
6.
Система защи
ты персональных данных …………………………………………….
9 стр
7.
Требования к подсистемам СЗПДн ………………………………………………….
10 стр
7.1. Подсистемы управления доступом, регистрации и учета
7.2. Подсистема обеспечения целостности и доступности
7.3. Подсистема антивиру
сной защиты
7.4. Подсистема межсетевого экранирования
7.5. Подсистема анализа защищенности
7.6. Подсистема обнаружения вторжений
8
.
Пользователи ИСПДн
………………………………………………………………..
12 стр
9.
Требования к персоналу по обеспечению защиты ПДн
………
…………………...
13 стр
10.
Должностные обязанности пользователей ИСПДн
………………………………..
14 стр
11.
Ответственность сотрудников ИСПДн
……………………………………………..
21 стр
12.
Список использованных источников
………………………………………………..
22 стр
Политика информационной безопасности
ИСПДн ТМК
3
1.
О
ПРЕДЕ
ЛЕНИЯ
В
соответствии с Федеральным законом от 27 июля 2006 года № 152
-
ФЗ
«О персональных данных» и Федеральным законом от 25
июля
2011
года №
261
-
ФЗ
«О внесении изменений в Федеральный закон «О персональных данных» в настоящем документе используются след
ующие термины и их опред
е
ления.
Автоматизированная система
–
система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информа
ционную технологию выполнения установленных функций.
Автоматизированная обработка персон
альных данных
–
обработка персональных данных с помощью
средств вычислительной техники.
Аутентификация отправителя данных
–
подтверждение того, что от
правитель полученных данных соответствует заявленному.
Безопасность персональных данных
–
состояние защищ
енности персо
нальных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, це
лостность и доступность персональных данных при их обработке в информа
ционных системах персональных
данных.
Биометрические персональные данные
–
сведения, которые характер
и
зуют физиологические особенности человека и на основе которых можно уст
а
новить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и д
ругую подобную информацию.
Б
локирование персональных данных
–
временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Вирус (компьютерный, программный)
–
исполняемый програм
мный код или интерпретируемый набор инструкций, обладающий свойствами не
санкционированного распространения и самовоспроизведения. Созданные ду
б
ликаты компьютерного вируса не всегда совпадают с оригиналом, но со
храняют способность к дальнейшему распростра
нению и самовоспроизведе
нию.
Вредоносная программа
–
программа, предназначенная для осуществ
ления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы
–
технические сред
ства и системы, не предназначенные для передачи, обработки и хранения перс
о
нальных данных, устанавливаемые совместно с техническими средст
вами и системами, предназначенными для обработки персональных данных или в пом
е
щениях, в которых установлены информационные системы персо
нальных данных.
Доступ в операционную среду компьютера (информационной сист
е
мы персональных данных)
–
получение возможности запуска на выполн
е
ние штатных команд, функций, процедур операционной сист
емы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных про
грамм.
Доступ к информации
–
возможность получения информации и ее ис
пользования.
Закладочное устройство
–
элемент средства съема информации, скрыт
но внедряемый (заклад
ываемый или вносимый) в места возможного съема и
н
формации (в том числе в ограждение, конструкцию, оборудование, пред
меты интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защищаемая информация
–
информация, являющаяся предметом соб
ственности и подлежащая защите в соответствии с требованиями правовых д
о
кументов или требованиями, устанавливаемыми собственником информа
ции.
Политика информационной безопасности
ИСПДн ТМК
4
Идентификация
–
присвоение субъектам и объектам доступа иденти
фикатора и (или) сравнени
е предъявляемого идентификатора с перечнем пр
и
своенных идентификаторов.
Информативный сигнал
–
электрические сигналы, акустические, элек
-
тромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональ
ные данные) обрабаты
ваемая в информационной системе персональных данных.
И
нформационная система персональных данных
(ИСПДн)
–
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технически
х средств
.
Информационные технологии
–
процессы, методы поиска, сбора, хра
нения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Использование персональных данных
–
действия (операции) с перс
о
нальны
ми данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отн
о
шении субъекта персональных данных или других лиц либо иным образом з
а
трагивающих права и свободы субъекта персональных данн
ых или других лиц.
Источник угрозы безопасности информации
–
субъект доступа, мате
риальный объект или физическое явление, являющиеся причиной возникно
вения угрозы безопасности информации.
Контролируемая зона
–
пространство (территория, здание, часть здан
ия, помещение), в котором исключено неконтролируемое пребывание посторон
них лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных
–
обязательное для с
о
блю
дения оператором или иным получившим доступ к п
ерсональным данным лицом требование не допускать их распространение без согласия субъекта пе
р
сональных данных или наличия иного законного основания.
Межсетевой экран
–
локальное (однокомпонентное) или функциональ
но
-
распределенное программное (программно
-
а
ппаратное) средство (ком
плекс), реализующее контроль за информацией, поступающей в информаци
онную систему персональных данных и (или) выходящей из информацион
ной системы.
Нарушитель безопасности персональных данных
–
физическое лицо, случайно или предна
меренно совершающее действия, следствием которых явл
я
ется нарушение безопасности персональных данных при их обработке технич
е
скими средствами в информационных системах персональных данных.
Неавтоматизированная обработка персональных данных
–
обработка перс
ональных данных, содержащихся в информационной системе персонал
ь
ных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использо
вание, уточнение, распр
о
странение, уничтожение персональных данных в отношении каждого из суб
ъ
ектов персональных данных, осуществляются при непосредственном участии человека.
Недекларированные возможности
–
функциональные возможности средств вычислительной
техники, не описанные или не соответствующие оп
и
санным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой ин
формации.
Несанкционированный доступ (несанкционированные действия)
–
дос
туп к информации или действия с информацией, нарушающие правила раз
граничения доступа с использованием штатных средств, предоставляемых и
н
формационными системами персональных данных.
Политика информационной безопасности
ИСПДн ТМК
5
Носитель информации
–
физическое лицо или материальный объект, в том чи
сле физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, коли
чественных характеристик физических величин.
О
безличивание персональных данных
–
действия, в результате которых стано
вится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретно
му субъекту персональных данных.
Обработка персональных данных
–
любое действие (операция) или совокупность действий (операций), совершаемы
х с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предо
ставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
.
Общедоступные персональные данные
–
персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта перс
о
нальных данных или на кото
рые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
О
ператор
–
государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (и
ли) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
.
Перехват (информации)
–
неправомерное пол
учение информации с ис
-
пользованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
П
ерсональные данные
–
любая
информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу
(су
бъекту персональных данных).
Побочные электромагнитные излучения и наводки
–
электромагни
т
ные излучения технических средств обработки защищаемой информации, во
з
ни
кающие как побочное явление и вызванные электрическими сигналами, дей
ствующими в их электрич
еских и магнитных цепях, а также электромагнит
ные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Политика «чистого стола»
–
комплекс организационных мероприятий, контролирующих отсутствие записывания на бумажные носители ключей
и а
т
рибутов доступа (паролей) и хранения их вблизи объектов доступа.
Пользователь информационной системы персональных данных
–
л
и
цо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа
–
совокупность правил, регламенти
рующих права доступа субъектов доступа к объектам доступа.
П
редоставление персональных данных
–
действия, направленные на раскрытие персональных данных определенному лицу или определенному кр
угу лиц
.
Программная закладка
–
код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и
(или) блокировать аппа
ратные средства.
Программное (программно
-
математическое) воздействие
–
несан
к
цио
-
нированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Раскрытие персональн
ых данных
–
умышленное или случайное нар
у
шение конфиденциальности персональных данных.
Политика информационной безопасности
ИСПДн ТМК
6
Р
аспространение персональных данных
–
действия, направленные на раскрытие персональных данных неопределенному кругу лиц
.
Ресурс информационной системы
–
именованный элем
ент системного, прикладного или аппаратного обеспечения функционирования информацио
н
ной системы.
Специальные категории персональных данных
–
персональные да
н
ные, касающиеся расовой, национальной принадлежности, политических взгл
я
дов, религиозных или филосо
фских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Средства вычислительной техники
–
совокупность программных и тех
нических элементов систем обработки данных, способных функционир
о
вать самостоятельно или в составе других си
стем.
Субъект доступа (субъект)
–
лицо или процесс, действия которого рег
-
ламентируются правилами разграничения доступа.
Технический канал утечки информации
–
совокупность носителя ин
формации (средства обработки), физической среды распространения инфор
ма
тивного сигнала и средств, которыми добывается защищаемая информа
ция.
Технические средства информационной системы персональных да
н
ных
–
средства вычислительной техники, информационно
-
вычислительные комплексы и сети, средства и системы передачи, приема и о
бработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, пе
реговорные и телевизионные устройства, средства изготовления, тиражиро
вания документов и другие технические средства обработки речевой, графи
ческой, видео
-
и буквенно
-
ц
ифровой информации), программные средства (оп
е
рационные системы, системы управления базами данных и т.п.), средства защ
и
ты информации, применяемые в информационных системах.
Т
рансграничная передача персональных данных
–
передача
персональных данных на тер
риторию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
.
Угрозы безопасности персональных данных
–
совокупность
условий и факторов, создающих опасность несанкционированно
го, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в инфор
мационной системе персональных данных
.
У
ничтожение персональных данных
–
действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничто
жаются материальн
ые носители персональных данных.
Уровень защищенности персональных данных
–
комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обра
ботке в информационных системах персональных данных.
Утечка (защищаемой) информации по техническим каналам
–
н
е
кон
-
тролируемое распространение информации от носителя защищаемой инфор
мации через физическую среду до технического средства, осуществляющего пе
рехват информации.
Уязвимость
–
слабость в средствах защиты, которую можно использо
вать для нарушения системы или содержащейся в ней информации.
Целостность информации
–
способность средства вычислительной тех
ники или автоматизированной системы обеспечив
ать неизменность инфор
мации в условиях случайного и/или преднамеренного искажения (разрушения).
Политика информационной безопасности
ИСПДн ТМК
7
2.
О
БОЗНАЧЕНИЯ И СОКРАЩЕ
НИЯ
АВС
–
антивирусные средства
АРМ
–
автоматизированное рабочее место
ВТСС
–
вспомогательные технические средства и системы
ИСПДн
–
информационная система персональных данных
КЗ
–
контролируемая зона
ЛВС
–
локальная вычислительная сеть
МЭ
–
межсетевой экран
НСД
–
несанкционированный доступ
ОС
–
операционная система
ПДн
–
персональные данные
ПМВ
–
программно
-
математическое воздействие
ПО
–
программное обеспечение
ПЭМИН
–
побочные электромагнитные излучения и наводки
САЗ
–
система анализа защищенности
СЗИ
–
средства защиты информации
СЗПДн
–
система (подсистема) защиты персональных данных
СОВ
–
система обнаружения вторж
е
ний
ТКУИ
–
техни
ческие каналы утечки информации
УБПДн
–
угрозы безопасности персональных данных
Политика информационной безопасности
ИСПДн ТМК
8
3.
В
ВЕДЕНИЕ
Настоящая Политика
информационной безопасности ИСПДн АОУ СПО ТО «Тюменский медицинский колледж» (далее –
У
чрежд
е
ние
), разработана
в АОУ СПО ТО «Тюменский медицин
ский колледж»
, является официальным документом
.
Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Кон
цепции и
н
формацион
ной безопасности ИСПД АОУ СПО ТО «Тюменский медицинский колледж»
.
Политика разработана в соответствии с требованиями
:
Федерального з
а
кона от 27 июля 2006 г. №
152
-
ФЗ «О персональных данных»
;
Федерального закона от 25 июля 2011 г. № 261
-
ФЗ «О внесении изменений в Федеральный закон «О персональных данных»; П
остановления Правительства Российской Федерации от 11 ноября 2007 г. №
781 «Об утве
р
ждении Положения об обеспечении безопасности персональных данных при их обработке в информационных с
истемах персональных д
анных»;
«Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержде
н
ных Заместителем директор
а ФСТЭК России от 15.02.2008
г.
В Политике определены требования к персоналу ИСПДн, степень отве
т
ственности персонала, структура и необходимый уровень защищенности, ст
а
тус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персонал
ь
ных данных в ИСПДн Учреждения.
4.
О
БЩИЕ ПОЛОЖЕНИЯ
Целью н
астоящей Политики является обеспечение безопасности объе
к
тов защиты Учреждения от всех видов угроз, внешних и внутренних, умы
ш
ленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн)
.
Безопасность персональных да
нных достигается путем исключения несанкци
о
нированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, к
о
пирование, распространение персональных данных, а также иных несанкциони
рова
н
ных действий.
Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаруж
е
ние и реагирование на УБПДн. Должно осуществляться предотвращение преднамеренных или случа
й
ных, част
ичных или полных несанкционированных модификаций или уничт
о
жения данных. Состав объектов защиты представлен в Перечне персональных данных, подлежащих защите
.
Сос
тав ИСПДн подлежащих защите, представлен в Отчете о результатах проведения внутренней проверки
.
«
Политика информационной безопасности
информационных систем п
ерсональных данных АОУ СПО ТО «Тюменский медицинский колледж»
была утверждена руков
о
дителем Учреждения
–
директором АОУ СПО ТО «Тюменский медицинский колледж»
и введена в действ
ие приказом № 102/ос от 28 декабря 2011 г.
Политика информационной безопасности
ИСПДн ТМК
9
5.
О
БЛАСТЬ ДЕЙСТВИЯ
Требования нас
тоящей Политики распространяются на всех сотрудников Учреждения (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).
6.
С
ИСТЕМА ЗАЩИТЫ ПЕРСОН
АЛЬНЫХ ДАННЫХ
Система защиты персональных данных (СЗПДн),
строится на основ
а
нии:
Отчета о результатах проведения внутренней проверки
; Перечня персональных данных, подлежащих защите
;
Акта классификации информационной системы персональных данных
;
Модели угроз безопасности персональных данных
;
Положения о разграничении прав доступа
к обрабатываемым перс
о
нальным данным
;
Руководящих документов ФСТЭК и ФСБ России.
На основании этих документов определяется необходимый уровень з
а
щищенности ПДн каждой ИСПДн Учреждения. На основании анализа актуал
ь
ных угроз без
опасности ПДн описанного в «
Модели угроз
»
и «
Отчета о результ
а
тах проведения внутренней проверки»
, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасн
о
сти ПДн. Выбранные необходимые м
ероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн
.
Для каждой ИСПДн должен быть составлен список используемых техн
и
ческих средств защиты, а так же
программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн:
АРМ пользователей;
с
ервера приложений;
СУБД;
г
раница ЛВС;
каналов передачи ПДн в сети общего пользования
.
В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:
антивирусные средства для рабочих станций пользователей и серв
е
ров;
средства межсетевого экранировани
я.
Так же в список должны быть включены функции защиты, обеспечива
е
мые штатными средствами обработки ПДн опе
рационными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защ
и
ты. Список функций защиты может включать:
управление и разграничение доступа пользователей;
регистрацию и учет действий с информацией;
обеспечивать целостность д
анных;
производить обнаружений вторжений.
Список используемых технических средств отражается в Плане мер
о
приятий по обеспечению защиты персональных данных
. Список исп
ользу
емых средств должен поддерживаться в актуальном состоянии. При изменении с
о
става технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем У
ч
реждения или лицом, ответственным за о
беспечение защиты ПДн.
Политика информационной безопасности
ИСПДн ТМК
10
7.
Т
РЕБОВАНИЯ К ПОДСИСТЕ
МАМ СЗПД
Н
СЗПДн включает в себя следующие подсист
е
мы:
управления доступом, регистрации и учета;
обеспечения целостности и доступности;
антивирусной защиты;
межсетевого экранирования;
анализа защищенности;
обнаружения вторжений.
Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в Акте классификации информационной си
ст
е
мы персональных данных
. 7.1. Подсистемы управления доступом, регистрации и учета
Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:
идентификации
и проверки
подлинности субъектов доступа при входе в ИС
ПДн;
идентификации терминалов, узлов сети, каналов связи, внешних устройств по л
о
гическим именам;
идентификации программ, томов, каталогов, файлов, записей, полей з
а
писей по именам;
регистрации входа (выхода) субъектов доступа в систем
у (из системы), либо регистрации
загрузки и инициализации операционной системы и ее
блокировки
;
регистрации попыток доступа программных средств (программ, проце
с
сов, задач, заданий) к защищаемым файлам;
регистрации попыток доступа программных средств к терминалам, к
а
налам св
язи, программам, томам, каталогам, файлам, записям, полям записей.
Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Так же может быть внедрено специальное техническое ср
едство (
или их комплекс
), осуществляюще
е дополн
и
тельные меры по аутентификации и контролю. 7.2. Подсистема обеспечения целостности и доступности
Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн,
программных и аппаратных средств ИСПДн Учреждения, а так же средств защиты, при случайной или н
а
меренной модификации. Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов И
СПДн.
7.3. Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для обеспечения ант
и
вирусной защиты серверов и АРМ пользователей ИСПДн Учреждения.
Средства антивирусной защиты предназначены для реализации следующих фун
к
ций: резид
ен
тного антивирусного
мониторинг
а
;
антивирусного сканирования
;
скрипт
-
блокирования
;
централизованной/удаленной
установки/деинсталляции
антив
и
русного продукта, настройки, администрирования
, просмотр
а
отчетов и статистической и
н
формации по работе продукта;
Политика информационной безопасности
ИСПДн ТМК
11
авт
оматизированн
ого обновления
антивирусных баз;
ограничения
прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспеч
е
ния;
автоматическ
ого
запуск
а
сразу после загрузки операционной сист
е
мы.
Подсистема реализуетс
я путем внедрения специального антивирусного програм
м
ного обеспечения на все элементы ИСПДн.
7.4.
Подсистема межсетевого экранирования
Подсистема межсетевого экранирования предназначена для реализации следующих функций:
фильтрации открытого и зашифрованног
о (закрытого) IP
-
трафика по следующим параметрам; фиксации во внутренних журналах информации о проходящем открытом и з
а
крытом IP
-
трафике; идентификации и аутентификаци
и
администратора межсетевого э
к
рана при его локальных запросах на доступ;
регистрации в
хода (выхода) администратора межсетевого экрана в си
с
тему (из системы) либо загрузки и инициализации системы и ее программного осто
ва
;
контроля целостности своей программной и информационной ча
с
ти;
фильтрации пакетов служебных протоколов, служащих для диаг
н
о
стики и управления работой сетевых устройств;
фильтрации с учетом входного и выходного сетевого интерфейса как средства
проверки подлинности сетевых адресов;
регистрации и учета запрашиваемых сервисов прикладного уро
в
ня;
блокирования доступа неидентифици
рованного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, усто
й
чивыми к перехвату;
контроля за сетевой активностью приложений и обнаружения сетевых атак.
Подсистема реализуется внедрением программно
-
аппаратных комп
лексов межсетевого экранирования на границе ЛСВ, классом не н
и
же 4.
7.5. Подсистема анализа защищенности
Подсистема анализа защищенности должна обеспечивать выявления уя
з
вимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть и
с
пользов
аны нарушителем для реализации атаки на систему.
Функционал подсистемы может быть реализован программными и пр
о
граммно
-
аппаратными средствами.
7.6. Подсистема обнаружения вторжений
П
одсистема обнаружения вторжений должна обеспечивать выявление с
е
тевых ат
ак на элементы ИСПДн
,
подключенные к сетям общего пользования
.
Функционал подсистемы может быть реализован программными и пр
о
граммно
-
аппаратными средствами.
Политика информационной безопасности
ИСПДн ТМК
12
8.
П
ОЛЬЗОВАТЕЛИ ИСПД
Н В «
Концепции информационной безопасности
»
определены основные категории пол
ь
зовате
лей. На основании этих категорий
должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможн
о
сти.
В ИСПДн Учреждения
можно выделить сл
едующих пользователей, учас
т
вующих в обработке и хранении ПДн:
администратора ИСПДн; а
дминистратора безопасности;
о
ператора АРМ;
п
рограммист
а
-
разработчик
а
ИСПДн.
Данные о пользователях, уровне их доступа и информированн
о
сти отражен в Положение о разграничении прав доступа к обрабатываемым персональным да
н
ным
.
Администратор ИСПДн
Администратор ИСПДн, сотрудник Учреждения, ответ
ственный за н
а
стройку, внедрение и сопровождение ИСПДн. Обеспечивает функциониров
а
ние подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение до
с
тупа конечного пользователя (о
ператора АРМ) к элементам
,
хранящим персон
альные данные.
Администратор ИСПДн обладает следующим уро
в
нем доступа и знаний:
обладает полной информацией о системном и прикладном программном обе
с
печении ИСПДн;
обладает полной информацией о технических средствах и конфиг
у
рации ИСПДн;
имеет доступ ко вс
ем техническим средствам обработки информ
а
ции и данным ИСПДн;
обладает правами конфигурирования и административной настройки технич
е
ских средств ИСПДн.
Администратор безопасности обладает следующим уровнем доступа и знаний:
обладает полной информацией о с
истемном и прикладном программном обе
с
печении ИСПДн;
обладает полной информацией о технических средствах и конфиг
у
рации ИСПДн
и СЗПДн
;
имеет доступ к средствам защиты информации и протоколирования ИСПДн;
имеет доступ ко всем техническим средствам обработки
информ
а
ции и данным ИСПДн;
обладает правами конфигурирования и административной настройки технич
е
ских средств ИСПДн.
Администратор безопасности уполномочен:
реализовывать Политику
безопасности в части настройки СКЗИ, межс
е
тевых экранов и систем обнаружени
я атак, в соответствии с которыми пользо
ватель (о
ператор АРМ) получает возможность р
а
ботать с элементами ИСПДн;
осуществлять аудит средств защиты;
устанавливать доверительные отношения своей защищенной сети с с
е
тями других Учреждений.
Оператор АРМ
Операто
р АРМ, сотрудник Учреждения, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, п
о
лученной из ИСПД. Политика информационной безопасности
ИСПДн ТМК
13
Оператор не имеет полномочий для управления подсист
е
мами обработки данных и СЗПДн.
Оператор ИСПДн обладает следующим уровнем доступа и знаний:
обладает всеми необходимыми атрибутами (например, паролем), обе
с
печивающими доступ к некоторому подмножеству ПДн;
располагает конфиденциальными данными, к ко
торым имеет до
с
туп.
Программист
-
разработчик ИСПДн
Программисты
-
разработчики (постав
щики) прикладного программного обеспеч
е
ния, обеспечивающие его сопровождение на защищаемом объекте. К данной группе могут относиться как сотрудники Учреждения, так и сотруд
н
и
ки сторонних организаций.
Лицо этой категории:
обладает информацией об алгоритмах и программах обработки инфо
р
мации на ИСПДн;
обладает возможностями внесения ошибок, недекларированных во
з
можностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, вн
е
дрения и сопровождения;
может располагать любыми фрагментами информации о топологии
ИСПДн и технических средствах обработки и защиты ПДн, обра
батываемых в ИСПДн.
9.
Т
РЕБОВАНИЯ К ПЕРСОНАЛ
У ПО ОБЕСПЕЧЕНИЮ ЗАЩ
ИТЫ ПД
Н
Все сотрудники Учреждения, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению пр
инятого режима безопа
с
ности ПДн.
При вступлении в должность нового сотрудника непосредственный руководитель
подразделения, в которое он поступает, обязан организовать его озн
а
комление с должностной инструкцией и необходимыми документами, регл
а
ментирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного и
с
пользования ИСПДн.
Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
Сотрудни
ки Учреждения, использующие технические средства аутент
и
фикации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или испол
ь
зования третьими лицами. Пользователи несут персональную
ответственность за с
о
хранность идентификаторов.
Сотрудники Учреждения должны следовать установленным процедурам поддерж
а
ния режима безопасности ПДн при выборе и использовании паролей
(
если не используются технические средства аутентификации). Сотрудники Учреждения должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в пом
е
щение имеют доступ посторонние лица. Все пользователи долж
ны знать треб
о
вания по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой з
а
щиты. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильн
ые устройства и носители информ
а
ции, а так же записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать защищаемую информацию, кот
о
рая стала им известна при работе с информационными системами Учреждения, третьим лицам.
Политика информационной безопасности
ИСПДн ТМК
14
При работе с ПДн в ИСПДн сотрудники Учреждения обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ.
При завершении работы с ИСПДн сотрудники обязаны защитить АРМ с помощью блокировки ключом или эквивалентного средства контроля, например, д
оступом по паролю, если не используются более сил
ь
ные средства защиты.
Сотрудники Учреждения должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной
процедурой н
а
ложения дисциплинарных взысканий на сотрудников, которые нарушили при
нятые П
олитику и процедуры безопасн
о
сти ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подо
з
рительных случаях работы ИСПДн, могущих повлечь за соб
ой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих без
о
пасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасн
о
сти ПДн. 10.
Д
ОЛЖНОСТНЫЕ ОБЯЗАННОС
ТИ ПОЛЬЗОВАТЕЛЕЙ ИСПД
Н
Должност
ные обязанности пользователей ИСПДн описаны в следующих документах:
Инструкция администратора безопасности ИСПДн
;
Инструкция пользователя ИСПДн
;
Инструкция пользователя при в
озникновении внештатных ситу
а
ций
.
Инструкция администратора безопасности ИСПДн
1. Общие положения
1.1. Администратор безопасности ИСПДн (далее –
Администратор) н
а
зн
ачается приказом руководителя Учреждения, на основании Положение о разграничении прав доступа к обраб
а
тываемым персональным д
анным
.
1.2. Администратор подчиняется
ответственно
м
у
за обеспечение защиты персональных данных
–
заместителю директора колледжа
.
1.3. Администратор в своей работе руководствуется настоящей инстру
к
цией, Концепцией
и Политикой информационной безопасности
,
руководящ
и
ми и нормативными документами ФСТЭК России и регламентирующими д
о
кументами
(приказами,
инструкциями) Учреждения
. 1.4. Администратор отвечает за обеспечение устойчивой работоспособности э
лементов ИСПДн и средств защиты при обработке ПДн, за поддержание необходимого уровня без
о
пасности объектов защиты
.
1.5. Администратор безопасности является ответственным должностным лицом Учреждения, уполномоченным на проведение работ по технической з
а
щите информации и поддержанию достигнутого уровня защиты ИСПДн и
ее р
е
сурсов на этапах эксплуатации и модернизации.
1.6
. Рабочее место Администратора безопасности должно быть оборуд
о
вано средствами физической защиты (личный сейф, железный шкаф или др
у
гое), подключением к ИСПДн, а так же средствами контроля за техничес
кими средствами защиты.
1.7
. Администратор безопасности осуществляет методическое руков
о
дство операторов в вопросах обеспечения без
о
пасности персональных данных.
1.8
. Методическое руководство работой Администратора осуществл
я
ется ответственным за обеспечен
ие защиты персональных данных.
Политика информационной безопасности
ИСПДн ТМК
15
1.9. Требования администратора информационной безопасности, связа
н
ные с выполнением им своих должностных обязанностей, обязательны для и
с
полнения всеми пользователями ИСПДн.
1.10. Администратор безопасности несет персональную
ответственность за качество проводимых им работ по контролю действий пользователей при р
а
боте в ИСПДн, состояние и поддержание установленного уровня защиты ИСПДн.
2. Должностные обязанности
Администратор безопасности обязан:
2.1. Знать и выполнять требова
ния действующих нормативных и руков
о
дящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по з
а
щите информации.
2.2. Осуществлять установку, настройку и сопровождение технически
х средств защиты.
2.3
. Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн:
программного обеспечения АРМ и серверов (операционные системы, прикладное и специальное ПО);
аппаратных средств;
аппаратных и программных средств защиты.
2
.4
. Обеспечивать работоспособность элементов ИСПДн и локальной в
ы
числительной сети.
2.5
. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (в
ы
ходных) документов.
2.6
.
Участвоват
ь в контрольных и тестовых испытаниях и проверках эл
е
ментов ИСПДн.
2.7
. Участвовать в приемке новых программных средств.
2.8. Обеспечить доступ к защищаемой информации пользователям ИСПДн
согласно их правам доступа при получении оформленного соответствующим образом ра
з
решения
.
2.9
. Уточнять обязанности пользователей ИСПДн по обработке объектов защиты.
2.10
. Осуществлять
резервно
е
копиров
а
ние
объектов защиты
.
2.11
. Осуществлять контроль над выполнением Плана мероприятий по з
а
щите персональных данных
.
2.12
. Анализировать состояние защиты ИСП
Дн и ее отдельных подсистем.
2.13
. Контролировать неизменность состояния средств защиты их пар
а
метров и режимов защиты.
2.14
. Контролировать физическую сохранность средств и оборудования ИСПДн.
2.15
. Контролировать исполнение пользователями ИСПДн введенног
о режима безопасности, а так же правильность работы с элементами ИСПДн и средствами защиты.
2.16.
Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонал
ь
ного пароля о
ператором
ИСПДн.
2.17
. Контролировать работу пользователей в сетях общего пользования и (или) международного обмена.
2.18
. Своевременно анализировать журнал учета событий, регистриру
е
мых средствами защиты, с целью выявления возможных нарушений.
2.19
. Не допускать у
становку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных з
а
дач.
2.20
. Не допускать к работе на элементах ИСПДн пост
о
ронних лиц.
2.21
. Осуществлять периодические контрольные проверки АРМ
и те
с
тир
ование правильности функционирования средств защиты ИСПДн.
Политика информационной безопасности
ИСПДн ТМК
16
2.22
. Оказывать помощь пользователям ИСПДн в части применения средств защиты и консультировать по вопросам введенного режима защиты.
2.23
. Информировать ответственного за обеспечение защиты персона
л
ь
ных данных о фактах нарушения установленного порядка работ и попытках н
е
санкционированного доступа к информационным ресурсам ИСПДн.
2.24
. 1 раз в год
представлять руководству отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн
(при возникновении)
и допущенных пользователями нарушениях установленных требований по защите инфо
р
мации.
2.2
5
. В случае отказа работоспособности технических средств и пр
о
граммного обеспечения ИСПДн, в том числе средств защиты принимать м
е
ры по их своевременном
у восстановлению и выявлению причин, приведших к о
т
казу работоспособности.
2.2
6
. Принимать меры по реагированию, в случае возникновения вн
е
штатных ситуаций и аварийных ситуаций
,
с целью ликвидации их последствий.
2.
2
7
. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычисл
и
тельной техники, предназначенных для обработки персональных данных, пр
о
водятся организациями, имеющими соответствующие лицензии. При провед
е
нии технического обслу
живания и ремонта запрещается передавать ремонтным о
р
ганизациям узлы и блоки с элементами накопления и хранения информации. Вышедшие из строя элементы и блоки средств вычислительной техники зам
е
няются на элементы и блоки, прошедшие специальные исследования
и спец
и
альную проверку.
3. Организация парольной защиты
3.1
. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в год
. 3.2
. Правила формирования пароля
:
п
ароль не может содержать имя учетной записи пользователя или к
а
кую
-
либо его часть;
п
ароль должен состоять не менее чем из 8
символов;
в
пароле должны присутствовать символы трех категорий из числа сл
е
дующих четырех: прописные буквы
английского алфавита от A до Z
строчные буквы
английского алфавита от a до z
десятичные цифры (от 0 д
о 9)
символы, не принадлежащие алфавитно
-
цифровому набору (н
а
пример, !, $, #, %);
з
апрещается использовать в качестве пароля имя входа в систему, пр
о
стые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и св
оих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информ
а
ции о пользователе;
з
апрещается использовать в качестве пароля один и тот же повторя
ю
щийся символ либо повторяющуюся ко
мбинацию из нескольких симв
о
лов;
з
апрещается использовать в качестве пароля комбинацию символов, набира
е
мых в закономерном порядке на клавиатуре (например, 1234567 и т.п.); з
апрещается выбирать пароли, которые уже использовались ранее. Инструкция пользователя ИСПДн
1. Общие положения
1.1. Пользователь ИСПДн (далее –
Пользователь) осуществляет обрабо
т
ку персональных данных в информационной системе персональных данных.
1.2. Пользовател
ем является сотрудник Учреждения, участву
ю
щий в рамках своих функциональных обязанностей в процессах автоматизир
о
ванной обработки информации
, Политика информационной безопасности
ИСПДн ТМК
17
несущей персональные данные субъектов
и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
1.3. Пользователь несет персональную ответственность за свои де
й
ствия.
1.4. Пользователь в своей работе руководствуется настоящей инструкц
и
ей, Концепцией
и Политикой информационной безопасности
,
руководящими и нормативными документами ФСТЭК России и регламентирующими докуме
н
тами
(приказами, инструкциями)
Учреждения. 1.5. Методическо
е руководство
работой пользователя осуществляется администратором безопасности ИСПДн
.
2. Должностные обязанности
Пользователь обязан:
2.1. Знать и выполнять требования действующих нормативных и руков
о
дящих документов, а также внутренних инструкций, руковод
ства по защите информации и распоряжений, регламентирующих порядок действий по з
а
щите информации.
2.2. Выполнять на автоматизированном рабочем месте (АРМ) только те процедуры, которые определены для него в Положении о разграничении прав доступа к обрабатываемым персональным данным
или оформленные соответствующим образом (разрешением)
.
2.3. Знать и соблюдать установленные требова
ния по режиму обработки персональных данных, учету, хранению и пересылке носителей и
н
формации, обеспечению безопасности ПДн, а также руководящих и организационно
-
распорядительных документов.
2.4. Соблюдать требования парольной политики (раздел 3
инструкции
).
2.5. Соблюдать правила при работе в сетях общего доступа и (или) Интернет и других (раздел 4
инструкции
).
2.6. Экран монитора в помещении располагать во время работы так, чт
о
бы исключалась возможность несанкционированного ознакомления с отобр
а
жаемой на них информацией посторонними лицами.
2.7. Обо всех выявленных нарушениях, связанных с информационной безопасностью Учреждения, а так же для получений консультаций по вопросам информационной безопасности, необходимо обратиться к администратору безопасности
.
2.8. Для получения консультаций по вопросам работы и настройке эл
е
ментов ИСПДн необходимо обращаться к Администратору ИСПДн.
2.9. Пользователям запрещается:
р
азглашать защищаемую информацию
третьим лицам;
к
опировать защищаемую информацию на внешние носители без письменного
разрешения
своего руковод
и
теля;
с
амостоятельно устанавливать, тиражировать
или модифицировать программное обеспечение и аппаратное обеспечение, и
зменять у
с
тановленный алгоритм функционирования технических и пр
о
граммных средств
;
н
есанкционированно открывать
общий доступ к папкам на своем АРМ
;
з
апрещено подключать к АРМ
и корпоративной информ
а
ционной сети личные внешние носители и мобильные ус
т
ройст
ва;
о
тключать (блокировать) средства защиты информации
;
с
ообщать (или передавать) посторонним лицам личные ключи и атр
и
буты доступа к ресурсам ИСПДн;
п
ривлекать посторонних лиц для производства ремонта или н
а
стройки АРМ, без согласования с ответственным за
обеспечение защиты персональных да
н
ных.
2.10. При отсутствии визуального контроля за АРМ
: доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <
Winkey
> +
L
.
Политика информационной безопасности
ИСПДн ТМК
18
2.11. Принимать меры по реагирован
ию, в случае возникновения внештатных ситуаций и аварийных ситуаций
,
с цел
ью ликвидации их последствий, в рамках возложенных на него функций.
3. Организация парольной защиты
3.1 Личные пароли доступа к элементам ИСПДн выдаются пользователям Администратором безопасн
о
сти ИСПДн.
3.2
. Правила ввода пароля:
в
вод пароля должен осущест
вляться с учётом регистра, в котором п
а
роль был задан;
в
о время ввода паролей необходимо исключить возможность его по
д
сматривания посторонними лицами или техническими средствами (видеокам
е
ры и др.).
3.3
. Правила хранение пароля:
з
апрещается записывать паро
ли на бумаге, в файле, электронной запи
с
ной книжке и других носителях инфор
мации, в том числе на предметах;
з
апрещается сообщать другим пользователям личный пароль и регис
т
рировать их в системе под своим паролем.
3.4
. Лица, использующие паролирование, обя
заны:
четко знать и строго выполнять требования настоящей инструкции и других р
у
ководя
щих документов по паролированию;
своевременно сообщать Администратору безопасн
о
сти об утере, компрометации, несанкционированном изменении паролей и н
е
санкционированном из
менении сроков действия паролей.
4. Правила работы в сетях общего доступа и сети Интернет
4.1. Работа в сетях общего доступа и других
(далее –
Сеть) на элементах ИСПДн, должна проводиться при служебной необходимости.
4.2. При работе в Сети запрещается:
о
су
ществлять работу при отключенных средствах защиты (антив
и
рус и других);
п
ередавать по Сети защищаемую информацию
без и
спользования средств шифрования;
з
апрещается
скачивать из Сети программное обеспечение и другие фа
й
лы;
з
апрещается посещение сайтов сомн
ительной репутации (порно
-
сайты; сайты
,
содержащие нелегально распространяемое ПО и др
у
гие);
з
апрещается нецелевое использование подключения к Сети.
Инструкция пользователя при возникновении внештатных ситу
а
ций
1. Общие положения
1.1. Нас
тоящая Инструкция определяет возможные аварийные ситуации, связанные с функционированием ИСПДн Учреждения
, меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн п
о
сле аварийных ситуаций.
1.2. Целью настоящего документа я
вляется превентивная защита элементов ИСПДн от прерывания в случае реализации рассматрива
е
мых угроз. 1.3. Задачей данной Инструкции является:
определение мер защиты от прерывания;
определение действий восстановления в случае прерывания.
1.4. Действие нас
тоящей Инструкции распространяется на всех пользователей Учрежд
е
ния, имеющих доступ к ресурсам ИСПДн, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении ав
а
рийных ситуаций, в том числе:
системы жизнеобеспе
чения;
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
Политика информационной безопасности
ИСПДн ТМК
19
1.5. Пересмотр настоящего документа осуществляется по мере необходим
о
сти, но не реже раза в два года.
2. Порядок р
еагирования на аварийную ситуацию
2.1. Действия при возникновении аварийной
ситуации
:
1)
в
настоящем документе под аварийной ситуацией понимается некоторое происшес
т
вие, связанное со сбоем в функционировании элементов ИСПДн, предоставляемых пользователям ИС
ПДн. Аварийная ситуация становится возможной в результате реализации одно
й из угроз, приведенных в таблице 1
;
2)
в
се действия в процессе реагирования на аварийные ситуации должны документир
о
ваться администратором безопасности в «
Журнале по учету мероприятий по контролю
»
;
3)
в
кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реаг
и
рование сотрудники Учреждения (
а
дминистратор безопасности
и о
ператор ИСПДн
)
предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности с
огласуются с вышестоящим руководством. По н
е
обходимости, иерархия может быть нарушена, с целью получения высококвалифицированной консультации в кратчайшие ср
о
ки. 2.2. Уровни реагирования на инцидент
При реагировании на инцидент, важно, чтобы пользователь правильно классифицир
о
вал критичность инцидента. Критичность оценивается на основе следующей классификации:
у
ровень 1 –
«
Незначительный инцидент
»
. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов ИСПДн и средств защиты. Эти инц
и
денты решаются ответственными за реагирование сотрудниками
;
у
ровень 2 –
«
Авария
»
. Любой инцидент, который приводит или может привести к прерыванию работоспособности отдельных элементов ИСПДн и с
редств защиты. Эти инциденты выходят за рамки управления ответственными за реагирование сотрудник
а
ми. К авариям относятся следующие инциденты:
о
тказ элементов ИСПДн и средств защиты из
-
за: повреждения водой (прорыв системы водоснабжения, канализационных
труб, систем охлаждения), а также подтопления в период паводка или проли
в
ных дождей.
о
тсутствие Администратора безопа
с
ности более чем на 3 сут
ок
из
-
за:
химического выброса в атмосферу;
сбоев общественного транспорта;
эпидемии;
массового отравления персона
ла;
сильного снегопада;
торнадо;
сильных морозов.
у
ровень 3 –
«
Катастрофа
»
. Любой инцидент, приводящий к полному прерыванию р
а
ботоспособности всех элементов ИСПДн и средств защиты, а также к угрозе жизни польз
о
вателей ИСПДн, классифицируется как катастрофа
. Обычно к катастрофам относят обстоятельства непреодолимой силы (п
о
жар, взрыв), которые могут привести к потере работоспособности ИСПДн и средств защиты на с
у
тки и более. К катастрофам относятся следующие инциденты:
пожар в здании;
взрыв;
просадка грунта
с частичным обрушением здания; массовые беспорядки в непосредственной близости от Объе
к
та.
Политика информационной безопасности
ИСПДн ТМК
20
3. Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций
3.1. Технические меры
.
К техническим мерам обеспечения непр
ерывной работы и восстановл
е
ния относятся программные, аппаратные и технические средства и системы, используемые для предотвр
а
щения возникновения аварийных ситуаций, такие как:
с
истемы жизнеобеспечения
пожарные сигнализации и системы пожаротушения;
системы
вентиляции и кондиционирования;
системы резервного питания;
системы обеспечения отказоустойчивости;
системы резервного копирования и хранения данных;
системы контроля физического доступа.
Все критичные помещения Учреждения (помещения, в которых размещаютс
я элеме
н
ты ИСПДн и средства защиты) должны быть оборудованы средствами пожарной сигнализации и пожарот
у
шения.
Порядок предотвращения потерь информации и организации системы жизнеобесп
е
чения ИСПДн описан в Порядке резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
.
3.2. Организационные меры
.
Администратор безопасности ознакомляе
т нового сотр
удника с данной инструкцией в срок, не превышающий 3
-
х рабочих дней с момента выхода на р
а
боту;
п
о окончанию ознакомления сотрудник расписывается в «
Журнале по учету ме
роприятий по контролю
»
.
Подпись сотру
д
ника должна соответствовать его подписи в документе, удостоверяющем его ли
ч
ность;
д
олжно быть проведено обучение должностных лиц Учреждения, име
ю
щих доступ к ресурсам ИСПДн, порядку действий при возникновении авари
й
ны
х ситуаций;
д
олжностные лица должны иметь
базовые знания в следующих о
б
ластях:
оказание первой медицинской помощи;
пожаротушение;
эвакуация людей;
защита материальных и информационных ресурсов;
методы оперативной связи со службами спасения и лицами, ответс
твенными за ре
а
гирование сотрудниками на аварийную ситуацию;
выключение оборудования, электричества, водоснабжения, газоснабж
е
ния;
а
дминистраторы безопасности должны быть дополн
и
тельно обучены методам частичного и полного восстановления работоспособности элеме
н
тов ИСПДн.
н
авыки и знания должностных лиц по реагированию на аварийные с
и
туации должны регулярно проверяться. При необходимости должно проводит
ь
ся дополнительное обучение должностных лиц порядку действий при возни
к
новении аварийной ситуации;
о
тветст
венность за организацию обучения должностных лиц несет
ответственный за информационную безопасность Учреждения
. Политика информационной безопасности
ИСПДн ТМК
21
Таблица 1
Источники угроз
Т
ЕХНОЛОГИЧЕСКИЕ УГРОЗ
Ы
1
.
Пожар в здании
2
.
Повреждение водой (прорыв системы водоснаб
жения, канализационных труб, систем охла
ж
дения)
3
.
Взрыв (бытовой газ, теракт, взрывчатые вещества или приборы, работающие под да
в
лением)
4
.
Химический выброс в атмосферу
В
НЕШНИЕ УГРОЗЫ
5
.
Массовые беспоря
д
ки
6
.
Эпидемия
7
.
Массовое отравл
е
ние персон
ала
С
ТИХИЙНЫЕ БЕДСТВИЯ
8.
Удар молнии
9.
Сильный снегопад
10.
Сильные морозы
11.
Просадка грунта (подмыв грунтовых вод, подземные работы) с частичным обрушением зд
а
ния
1
2
.
Наводнение, вызванное проливным до
ж
дем
1
3
.
Торнадо
1
4
.
Подтопление здания (в
оздействие подпочвенных вод, вызванное внезапным и непредвиденным пов
ы
шением уровня грунтовых вод)
Т
ЕЛЕКОМ И ИТ
УГРОЗЫ
1
5
.
Физический разрыв внутренней ЛВС
1
6
.
Сбой ИТ –
систем У
ГРОЗА
,
СВЯЗАННАЯ С ЧЕЛОВЕЧЕ
СКИМ ФАКТОРОМ
1
7
.
Ошибка персонала, имеющего доступ к серве
р
ной
18
.
Нарушение конфиденциальности, целостности и доступности конфиденциальной информ
а
ции
У
ГРОЗЫ
,
СВЯЗАННЫЕ С ВНЕШНИМИ
ПОСТАВЩИКАМИ
19
.
Отключе
ние электр
о
энергии
20
.
Сбой в работе интернет
-
провайдера
21
.
Физически
й
разрыв внешних каналов связи
11.
О
ТВЕТСТВЕННОСТЬ СОТРУ
ДНИКОВ ИСПД
Н В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152
-
ФЗ «О персональных д
анных» (с изменениями, внесенными Федеральным законом Российской федерации от 25 июля 2011 г. № 261
-
ФЗ) лица, виновные в нар
у
шении требований данного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность
.
Действ
ующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматр
и
вает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению р
а
боты ЭВМ или сетей (статьи 272,
273 и 274 УК РФ).
Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных з
аписей или систе
м
ных учетных записей, если не доказан факт несанкционированного использов
а
ния учетных записей.
При нарушениях сотрудниками Учреждения –
пользователей ИСПДн правил, связа
н
ных с безопасностью ПДн, они несут ответственность, установленную дейс
твующим законодательством Российской Федер
а
ции.
Политика информационной безопасности
ИСПДн ТМК
22
Приведенные выше требования нормативных документов по защите информации отражаются в должностных инструкциях сотрудников Учреждения
–
пользователей ИСПДн
.
В
Положения о подразделениях Учреждения, осуществляющ
их обработку ПДн в ИСПДн
,
вносятся сведения об ответственности их руков
о
дителей и сотрудников за разглашение и несанкционированную модификацию (искажение, фальсификацию) ПДн, а также за неправомерное вмешательство в процессы их автоматизированной обработки
.
12.
С
ПИСОК ИСПОЛЬЗОВАННЫХ
ИСТОЧНИКОВ
Основными нормативно
-
правовыми и методическими документами, на которых базир
у
ется Политика
являются:
1)
Федеральный Закон от 27.07.2006 г. № 152
-
ФЗ «О персональных да
н
ных».
2)
Федеральный закон от 25.07.2011
г. №
261
-
ФЗ «
О внесении изменений в Федеральный закон «О персональных данных». 3)
«Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержде
н
ное Постановлением Правительства РФ от 17.11.2007 г. № 7
81.
4)
«Порядок проведения классификации информационных систем перс
о
нальных данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и М
и
нинформсвязи РФ № 20 от 13.02.2008 г. 5)
«Положение об особенностях обработки персональных данных, осущ
е
ствляемой без использования средств автоматизации», утвержденное Постановлением Правител
ь
ства РФ от 15.09.2008 г. № 687.
6)
Нормативно
-
методические документы Федеральной службы по техн
и
ческому и экспертному контролю Российской Федерации (ФСТЭК) по обеспечению
безопасности ПДн при их обработке в ИСПДн:
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК Ро
с
сии 15.02.08 г.;
Основные мероприятия по организации и тех
ническому обеспечению безопасности персональных данных, обрабатываемых в информационных си
с
темах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г.;
Базовая модель угроз безопасности персональных данных при их обработке в информац
и
онных сист
емах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г.;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г.
Автор
vicar27
Документ
Категория
Другое
Просмотров
962
Размер файла
715 Кб
Теги
политика, информационные, безопасности
1/--страниц
Пожаловаться на содержимое документа