3.2. Инструкция Администратора ИБ ИСПДн. 3.2.1. Введение. Инструкция разработана в соответствии с: «Положением о методах и способах защиты информации в информационных системах персональных данных» [7], утвержденным Приказом ФСТЭК России от 5.02.2010 N 58»; «Специальными требования и рекомендации по технической защите конфиденциальной информации» [8] Гостехкомиссия России, 2002 г., а также другими нормативными документами по безопасности информации, и определяет порядок обеспечения информационной безопасности при проведении работ администратором информационной безопасности во всех ИСПДн, принадлежащих УФМС России по Тюменской области (далее – ИСПДн).
Субъектами доступа к ресурсам ИСПДн являются администратор информационной безопасности (АИБ) и пользователи в соответствии с утвержденным перечнем. АИБ назначается из состава штатных сотрудников Управления. Обрабатываемая в ИСПДн информация относится персональным данным (ПДн) иной категории. Отчуждаемые и неотчуждаемые носители информации имеют гриф конфиденциальности «персональные данные».
АИБ назначаются приказом по Управлению. АИБ получает неограниченные права на доступ к ресурсам ИСПДн. АИБ осуществляет общее и методическое руководство защитой информации, контроль за обеспечением информационной безопасности при работе в ИСПДн и проводит мероприятия по защите информации. АИБ имеет право вносить предложения по изменению и дополнению данной инструкции, а также «Инструкции пользователя информационной системы персональных данных».
3.2.2. Обязанности АИБ. К основным обязанностям Администратору АИБ можно отнести безупречное знание и безотлагательное выполнение требований действующих нормативных актов и руководящих документов, внутренних регламентов и инструкций.
Также в обязанности АИБ входит обеспечение установки, настройки, своевременного обновления и работоспособности элементов ИСПДн и локальной вычислительной сети.
АИБ обязан контролировать учет, создание, хранение и использование резервных копий массивов персональных данных, распечатываемых документов. Также АИБ обязан следить за функционированием любых доступных средств защиты в рамках возложенных на него функций.
АИБ должен проводить периодическую проверку эффективности принятых мер направленных на защиту, но в рамках тех функций которые на него возложены, в частности: следить за регулярной сменой паролей пользователей, обеспечивать постоянный контроль за выполнением пользователями утвержденных инструкций по защите информации, своевременно информировать ответственного за обработку персональных данных о существующих нарушениях в процессе обработки ПДн, а также при любых попытках получения несанкционированного доступа к информационным ресурсам ИСПДн. АИБ в праве прекратить обработку информации, как в целом, так и для конкретного пользователя, в случае обнаружения нарушений исполнения инструкции, функционирования средств защиты или самой ИС.
АИБ обязан выполнять строгий контроль за процессом технического обслуживания или ремонта автоматизированных рабочих мест, в случае если такое обслуживание или ремонт необходимы. При проведении таких работ запрещается привлекать организации у которых отсутствует соответствующая лицензия по ремонту средств вычислительной техники в местах обработки персональных данных. При проведении такого обслуживания строго запрещается передавать ремонтным организациям комплектующие которые могут содержать в себе элементы, способные хранить в себе информацию. Администратор обязан лично присутствовать при выполнении таких работ на территории Управления.
3.2.3. Доступ к ресурсам ИСПДн. Идентификация АИБ в ИСПДн осуществляется по уникальному имени и паролю. При этом длина пароля не должна составлять менее 6 буквенно-цифровых символов. Уникальное имя и пароль АИБ получает в установленном порядке. АИБ обязан помнить и соблюдать в тайне свои имя и пароль, не допускается их запись на какие-либо носители в целях напоминания. Во время ввода пароля на клавиатуре должна быть исключена возможность его просмотра другими лицами.
При утере или возможной компрометации своего пароля АИБ должен немедленно изменить свои идентификационные данные и проконтролировать возможные изменения в настройках СЗИ и соответствие установленных прав пользователей утвержденному состоянию.
При этом АИБ не имеет права требовать у пользователей раскрытия их паролей (имена он должен знать в соответствии с технологическим процессом), но имеет право требовать у пользователя изменения его пароля.
3.2.4. Порядок работы с ресурсами ИСПДн АИБ обязан проверять работоспособность и настройку системы доступа к ресурсам ИСПДн. АИБ присваивает всем пользователям ИСПДн идентификационные данные и права доступа к соответствующим ресурсам ИСПДн и контролирует их. При этом должны выполняться следующие требования:
– АИБ разрабатывает политику изменения учетных данных пользователей и периодически контролирует ее соблюдение.
– АИБ сообщает пользователю его уникальное имя и предоставляет возможность задать пароль.
– Изменение учетных данных пользователя производится по требованию ответственного за организацию обработки ПДн, согласованному с АИБ, а также периодически по утвержденному плану и в случае увольнения сотрудника.
– АИБ имеет право в целях тестирования уязвимости системы доступа (выявление простейших паролей) производить попытки взлома паролей пользователей, если попытка взлома была успешной, АИБ обязан потребовать у пользователя изменения пароля.
3.2.5. Обслуживание ИСПДн. В соответствии с технологическим процессом, а также по требованию пользователей, АИБ проводит резервное копирование и восстановление системного, прикладного ПО и документов, содержащих персональные данные. При этом необходимо выполнять следующие требования:
– Обязательное резервное копирование производится в случае обнаружения неисправностей в работе технических средств ИСПДн или отчуждаемых машинных носителей.
– Допускается обоснованное внеплановое резервное копирование информации по инициативе АИБ, если это не нарушает технологию обработки информации.
– Резервные копии с операционной системой и другим системным и прикладным ПО хранятся на оптических дисках (ответственный за хранение – АИБ);
– По мере устранения неисправностей ПЭВМ АИБ производит восстановление закрытой информации с резервных копий.
При невозможности ремонта различных технических средств ИСПДн АИБ обязан:
– Физически уничтожать машинные носители, независимо от содержащейся на них информации.
– Физически уничтожать картриджи принтера.
– Остальные комплектующие могут быть использованы за пределами ИСПДн.
– Факт выхода из строя и замены технических средств ИСПДн должен быть отражен в «Техническом паспорте».
– В случае необходимости должна быть проведена переаттестация ИСПДн.
|