Управления образования администрации города оренбурга

Скачать 1.45 Mb.

Название	Управления образования администрации города оренбурга
страница	13/13
Тип	Документы

filling-form.ru > бланк заявлений > Документы

1 ... 5 6 7 8 9 10 11 12 13

8. Правила парольной защиты.

Данные правила регламентируют организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в ИСПДн, а также контроль действий пользователей при работе с паролями.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль действий пользователей при работе с паролями возлагается на администратора безопасности.

8.3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями самостоятельно с учётом следующих требований:

- пароль должен быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);

- символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

- при смене пароля новое значение должно отличаться от предыдущих;

- пользователь не имеет права сообщать личный пароль другим лицам. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

8.4. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имён и паролей сотрудников (исполнителей) в их отсутствие, сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учётных записей) в запечатанном конверте или опечатанном пенале передавать на хранение руководителю структурного подразделения. Запечатанные конверты (пеналы) с паролями исполнителей должны храниться в недоступном месте у руководителя структурного подразделения.

8.5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 360 дней.

Внеплановая смена личного пароля или удаление учётной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться администратором безопасности (либо новым постоянным пользователем) немедленно после окончания последнего сеанса работы данного пользователя с системой на основании указания начальника отдела.
Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администратора безопасности.

В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры по восстановлению парольной защиты.

8.9. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на администратора безопасности.
9. Правила обновления общесистемного и прикладного программного обеспечения, технического обслуживания ИСПДн.

Настоящие правила регламентируют обеспечение безопасности информации при проведении обновлении, модификации общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе ИСПДн.
Все изменения конфигураций технических и программных средств ИСПДн должны производиться только на основании заявок ответственного за эксплуатацию конкретного ИСПДн.
Право внесения изменений в конфигурацию аппаратно-программных средств защищенных ИСПДн предоставляется:

в отношении системных и прикладных программных средств - администратору безопасности по согласованию (в случае, если проводилась аттестация) с органом по аттестации, проводившим аттестацию данной ИСПДн;
в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты - администратору безопасности по согласованию (в случае, если проводилась аттестация) с органом по аттестации, проводившим аттестацию данной ИСПДн.

Изменение конфигурации аппаратно-программных средств ИСПДн кем-либо, кроме вышеперечисленных уполномоченных сотрудников и подразделений, запрещено.
Процедура внесения изменений в конфигурацию системных и прикладных программных средств ИСПДн инициируется заявкой ответственного за эксплуатацию ИСПДн.
В заявке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств ИСПДн:

- установка (развёртывание) на компьютер(ы) программных средств, необходимых для решения определённой задачи (добавление возможности решения данной задачи в данной ИСПДн;

- обновление (замена) на компьютере (ах) программных средств, необходимых для решения определённой задачи (обновление версий используемых для решения определённой задачи программ);

- удаление с компьютера программных средств, использовавшихся для решения определённой задачи (исключение возможности решения данной задачи на данном компьютере).

9.7. Также в заявке указывается условное наименование ИСПДн. Наименования задач указываются в соответствии с перечнем задач архива дистрибутивов установленного программного обеспечения.

9.8. Заявку ответственного за эксплуатацию ИСПДн, в которой требуется произвести изменения конфигурации, рассматривает руководитель, визирует её, утверждая тем самым производственную необходимость проведения указанных в заявке изменений.

После чего заявка передаётся администратору безопасности для непосредственного исполнения работ по внесению изменений в конфигурацию компьютера указанного в заявке ИСПДн.

9.9. Подготовка обновления, модификации общесистемного и прикладного программного обеспечения ИСПДн тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на компьютерах, (обновление) и удаление системных и прикладных программных средств производится администратором безопасности по согласованию с органом по аттестации (в случае, если проводилась аттестация), проводившим аттестацию данной ИСПДн. Работы производятся в присутствии ответственного за эксплуатацию данной ИСПДн.

Установка или обновление подсистем ИСПДн должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
Установка и обновление программного обеспечения (системного, тестового и т.п.) на компьютерах производится только с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.), полученных установленным порядком, прикладного ПО - с эталонных копий программных средств, полученных из архива дистрибутивов установленного программного обеспечения.
Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций.
После установки (обновления) программного обеспечения, администратор безопасности должен произвести требуемые настройки средств управления доступом к компонентам компьютера и проверить работоспособность программного обеспечения и правильность их настройки и произвести соответствующую запись в «Журнале учёта нештатных ситуаций в ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн», делает отметку о выполнении (на обратной стороне заявки) и в «Техническом паспорте».
Формат записей «Журнала учёта нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн» устанавливается приказом руководителя Организации.

При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, ответственный за ею эксплуатацию докладывает об этом ответственному за защиту информации, который в свою очередь связывается с сотрудниками органа по аттестации (в случае - если проводилась аттестация) и в дальнейшем действует согласно инструкции. В данном случае администратор безопасности обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на которых производились изменения в составе программных средств компьютеров с отметками о внесении изменений в состав программных средств, должны храниться вместе с техническим паспортом на ИСПДн и «Журналом учёта нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн» у ответственного за защиту информации.

9.16. Копии заявок могут храниться у администратора безопасности:

- для восстановления конфигурации ИСПДн после аварий;

- для контроля правомерности установки на ИСПДн средств для решения соответствующих задач при разборе конфликтных ситуаций;

- для проверки правильности установки и настройки средств защиты ИСПДн

9.17. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора безопасности и сотрудника ответственного за эксплуатацию данной ИСПДн.

9.18. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на компьютерах конкретной ИСПДн, должно быть сопоставлено персональное уникальное имя (учётная запись пользователя), под которым он будет регистрироваться и работать на данном компьютере.

Использование несколькими сотрудниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещено.
Процедура регистрации (создания учётной записи) пользователя и предоставления ему (или изменения его) прав доступа к ресурсам ИСПДн инициируется заявкой ответственного за эксплуатацию данной ИСПДн. Форма заявки приведена ниже.

В заявке указывается:

- содержание запрашиваемых изменений (регистрация нового пользователя ИСПДн, удаление учётной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ИСПДн ранее зарегистрированного пользователя);

- должность (с полным наименованием отдела), фамилия, имя и отчество сотрудника;

- имя пользователя (учётной записи) данного сотрудника;

- полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путём указания решаемых пользователем задач в ИСПДн).

Заявку рассматривает руководитель, визируя её, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных в заявке задач ресурсам ИСПДн. Затем подписывает задание администратору безопасности на внесение необходимых изменений в списки пользователей соответствующих подсистем ИСПДн.

9.22 На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор безопасности производит необходимые операции по созданию (удалению) учётной записи пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора), заявленных прав доступа к ресурсам ИСПДн и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 360 дней.

9.23 После внесения изменений в списки пользователей администратор безопасности должен обеспечить настройки средств защиты соответствующие требованиям безопасности указанной ИСПДн. По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписью исполнителя - администратор безопасности.

9.24 Сотруднику, зарегистрированному в качестве нового пользователя ИСПДн, сообщается имя соответствующего ему пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации) и начальное (ые) значение (ия) пароля (ый), которое (ые) он обязан сменить при первом же входе в систему.

9.25. Исполненные заявка и задание (за подписью администратора безопасности) передаются руководителю на хранение.

Они могут впоследствии использоваться:

для восстановления полномочий пользователей после аварий ИСПДн;

для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;
для проверки сотрудниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам ИСПДн.

10. Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических.

Данный раздел Положения определяет порядок контроля соблюдения условий использования средств защиты информации.
Технические средства защиты информации являются важным компонентом обеспечения безопасности ПДн.

10.3. Порядок работы с техническими средств защиты информации определён в соответствующих руководствах по настройке и использованию СЗИ обязательных для исполнения, как сотрудниками обрабатывающими конфиденциальную информацию, так и администратором безопасности ИСПДн.

10.4. Право проверки соблюдения условий использования средств защиты информации имеют:

- руководитель;

- ответственный за защиту информации;

- администратор безопасности.

10.5. Пользователю ИСПДн категорически запрещается:

- обрабатывать конфиденциальную информацию с отключенными средствами защиты информации;

- менять настройки средств защиты информации.

10.6. Администратору безопасности запрещается менять настройки программно-аппаратных средств защиты информации предустановленные специалистом организации, имеющей лицензию на деятельность по технической защите информации, без согласования с этой организацией.

10.7. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлено нарушение требования п. 10.5. то вступает в силу п.п. 3.7., 3.8. данного Положения.

10.8. Криптографические средства защиты информации должны использоваться в соответствии с технической и эксплуатационной документацией на них, а также в соответствии с правилами пользования ими.
11. Порядок охраны и допуска посторонних лиц в защищаемые помещения.

11.1. Настоящее Положение устанавливает порядок охраны (сдачи под охрану) защищаемых помещений ИСПДн.

11.2. Вскрытие и закрытие помещений осуществляется сотрудниками, работающими в данных помещениях. Список сотрудников, имеющих право вскрывать (сдавать под охрану) и опечатывать помещения утверждается руководителем и передаётся на пост охраны.

11.3. При отсутствии сотрудников, ответственных за вскрытие (сдачу под охрану) помещений, данные помещения могут быть вскрыты комиссией, созданной на основании приказа, о чем составляется акт.

При закрытии помещений и сдачей их под охрану сотрудники, ответственные за помещения проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации на которых содержится конфиденциальная информация убираются для хранения в опечатываемый сейф (металлический шкаф).

Помещение сдаётся под охрану следующим образом:

опечатывается помещение и пенал с ключами;
получается подтверждение от охранника о включении сигнализации и постановке помещения под охранную сигнализацию;
факт опечатывания помещения подтверждается охранником;
сдаётся помещение и опечатанный пенал с ключами, под роспись с указанием даты и времени сдачи под охрану.

11.6. Сотрудник, имеющий право на вскрытие помещений:

получает на посту охраны пенал с ключами от помещения под роспись в Журнале с указанием даты и времени;
проверяет целостность оттиска печати на пенале;
производит запись в Журнале о вскрытии помещения с указанием фамилии и времени;
производит проверку оттиска печати на двери помещения и исправность запоров;
вскрывает помещение.

11.7. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт, в присутствии охранника. О происшествии немедленно сообщается руководителю и (или) ответственному за защиту информации.

Одновременно принимаются меры по охране места происшествия и до прибытия должностных лиц в помещение никто не допускается.

Руководитель, ответственный за защиту информации и администратор безопасности организуют проверку ИСПДн на предмет несанкционированного доступа к конфиденциальной информации и наличие документов и машинных носителей информации.
При срабатывании охранной сигнализации в служебных помещениях в нерабочее время охранник сообщает о случившемся ответственному за помещение, или ответственному за защиту информации, или руководителю, или администратору безопасности. Помещения вскрывать запрещается.

11.10. Помещения вскрываются ответственным за помещение, или
руководителем, или ответственным за защиту информации в присутствии
сотрудника охраны с составлением акта.

Если обнаружено вторжение в защищаемое помещение, далее процедура происходит в соответствии с п. 10.8 настоящего Положения.

При передаче дежурства, если помещение в течение дня не вскрывалось, а также в выходные и праздничные дни принимающая дежурство смена поста охраны проверяет целостность печатей на дверях и пенале с ключами с отражением в «Журнале приёма и сдачи дежурства» и «Журнале приёма (сдачи) под охрану режимных помещений и ключей от них».
В соответствии с требованиями данного Положения при обработке защищаемой информации в ИСПДн исключить не контролируемое пребывание посторонних лиц в пределах границ контролируемой зоны ИСПДн, определённых соответствующим приказом.

12. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации.

В обязательном порядке уничтожению подлежат повреждённые, выводимые из эксплуатации носители, содержащие защищаемую информацию, использование которых не предполагается в дальнейшем. Стиранию подлежат носители, содержащие защищаемую информацию, которые выводятся из эксплуатации в составе ИСПДн. Не допускается стирание неисправных носителей и передача их в сервисный центр для ремонта. Такие носители должны уничтожаться в соответствии с настоящим порядком.
Стирание должно производиться по технологии, предусмотренной для данного типа носителя, с применением сертифицированных средств гарантированного уничтожения информации (допускается задействовать механизмы затирания встроенные в сертифицированные средства защиты информации).

12.3. Уничтожение носителей производится путём нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления информации (перед уничтожением, если носитель исправен, должно быть произведено гарантирование стирание информации на носителе). Непосредственные действия по уничтожению конкретного типа носителя должны быть достаточны для исключения возможности восстановления информации.

12.4. Бумажные и прочие сгораемые носители (конверты с неиспользуемыми более паролями) уничтожают путём сжигания или с помощью любых бумагорезательных машин. По факту уничтожения или стирания носителей составляется акт, в журналах учёта делаются соответствующие записи.

Процедуры стирания и уничтожения осуществляются комиссией, в которую входят: ответственный за эксплуатацию ИСПДн, ответственный за защиту информации, администратор безопасности.

13. Заключительные положения.

Требования настоящего Положения обязательны для всех сотрудников обрабатывающих конфиденциальную информацию (персональные данные).

13.2. Нарушение требований настоящего Положения влечёт за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Приложение №32 к распоряжению Управления образования администрации города Оренбурга

от 02.07.2012 № 179

ПРИМЕРНАЯ ФОРМА

Журнала учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД

Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД ОУ_____________________________

№	ФИО	Дата	Цель

1 Принимает одно из следующих значений: 1, 2, 3, 4.

2 Принимает одно из следующих значений: 1, 2, 3.

3 Принимает одно из следующих значений: автоматизированное рабочее место (АРМ), локальная информационная система, распределенная информационная система.

4 Принимает одно из следующих значений: имеет, не имеет.

5 Принимает одно из следующих значений: однопользовательский, многопользовательский.

6 Принимает одно из следующих значений: с разграничением прав доступа, без разграничений прав доступа.

7 Принимает следующие значения: в пределах РФ, за пределами РФ.

8 Принимает следующие значения: соответcтвует типовой информационной системе, соответствует специальной информационной системе

9 Принимает одно из следующих значений: 1, 2, 3, 4.

10 Выбранные значения уровня защищенности указываются в круглых скобках. Например: «(+)».

11 Вариант текста пункта при отсутствии актуальных угроз.

12 Вариант текста пункта при отсутствии актуальных угроз.

1 ... 5 6 7 8 9 10 11 12 13

	План работы Управления образования на 2013 год Годовой план работы управления образования администрации г. Оренбурга является организационной основой реализации ведомственной целевой...		О результатах деятельности управления записи актов гражданского состояния... Управление загс является отраслевым (функциональным) органом администрации города Оренбурга, действующим на основании Положения «Об...
	О результатах деятельности управления записи актов гражданского состояния... Управление загс является отраслевым (функциональным) органом администрации города Оренбурга, действующим на основании Положения «Об...		Администрации Северного и Южного округов города Оренбурга Реестр муниципальных услуг (утвержден постановлением администрации города Оренбурга от 03. 09. 2012 №2183-п)
	Администрации Северного и Южного округов города Оренбурга Реестр муниципальных услуг (утвержден постановлением администрации города Оренбурга от 03. 09. 2012 №2183-п)		Решение Фз "Об общих принципах организации местного самоуправления в Российской Федерации", руководствуясь статьей 27 Устава города Оренбурга...
	Решение Фз "Об общих принципах организации местного самоуправления в Российской Федерации" и руководствуясь статьей 27 Устава города Оренбурга,...		Администрация города Оренбурга постановление О внесении изменения в постановление администрации города Оренбурга от 07. 04. 2016 №953-п
	Администрация города Оренбурга постановление «город Оренбург», принятого решением Оренбургского городского Совета от 28. 04. 2015 №1015, постановлением администрации города Оренбурга...		Е. С. Арапову 460000, Оренбургская обл, Оренбург г, Советская, 60 Начальнику Управления жилищно-коммунального хозяйства администрации города Оренбурга

Управления образования администрации города оренбурга

Похожие: