Скачать 1.45 Mb.
|
8. Правила парольной защиты.
Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль действий пользователей при работе с паролями возлагается на администратора безопасности. 8.3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями самостоятельно с учётом следующих требований: - пароль должен быть не менее 6 символов; - в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.); - символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры; - пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.); - при смене пароля новое значение должно отличаться от предыдущих; - пользователь не имеет права сообщать личный пароль другим лицам. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации. 8.4. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имён и паролей сотрудников (исполнителей) в их отсутствие, сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учётных записей) в запечатанном конверте или опечатанном пенале передавать на хранение руководителю структурного подразделения. Запечатанные конверты (пеналы) с паролями исполнителей должны храниться в недоступном месте у руководителя структурного подразделения. 8.5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 360 дней.
В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры по восстановлению парольной защиты. 8.9. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на администратора безопасности. 9. Правила обновления общесистемного и прикладного программного обеспечения, технического обслуживания ИСПДн.
- установка (развёртывание) на компьютер(ы) программных средств, необходимых для решения определённой задачи (добавление возможности решения данной задачи в данной ИСПДн; - обновление (замена) на компьютере (ах) программных средств, необходимых для решения определённой задачи (обновление версий используемых для решения определённой задачи программ); - удаление с компьютера программных средств, использовавшихся для решения определённой задачи (исключение возможности решения данной задачи на данном компьютере). 9.7. Также в заявке указывается условное наименование ИСПДн. Наименования задач указываются в соответствии с перечнем задач архива дистрибутивов установленного программного обеспечения. 9.8. Заявку ответственного за эксплуатацию ИСПДн, в которой требуется произвести изменения конфигурации, рассматривает руководитель, визирует её, утверждая тем самым производственную необходимость проведения указанных в заявке изменений. После чего заявка передаётся администратору безопасности для непосредственного исполнения работ по внесению изменений в конфигурацию компьютера указанного в заявке ИСПДн. 9.9. Подготовка обновления, модификации общесистемного и прикладного программного обеспечения ИСПДн тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на компьютерах, (обновление) и удаление системных и прикладных программных средств производится администратором безопасности по согласованию с органом по аттестации (в случае, если проводилась аттестация), проводившим аттестацию данной ИСПДн. Работы производятся в присутствии ответственного за эксплуатацию данной ИСПДн.
При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, ответственный за ею эксплуатацию докладывает об этом ответственному за защиту информации, который в свою очередь связывается с сотрудниками органа по аттестации (в случае - если проводилась аттестация) и в дальнейшем действует согласно инструкции. В данном случае администратор безопасности обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на которых производились изменения в составе программных средств компьютеров с отметками о внесении изменений в состав программных средств, должны храниться вместе с техническим паспортом на ИСПДн и «Журналом учёта нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн» у ответственного за защиту информации. 9.16. Копии заявок могут храниться у администратора безопасности: - для восстановления конфигурации ИСПДн после аварий; - для контроля правомерности установки на ИСПДн средств для решения соответствующих задач при разборе конфликтных ситуаций; - для проверки правильности установки и настройки средств защиты ИСПДн 9.17. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора безопасности и сотрудника ответственного за эксплуатацию данной ИСПДн. 9.18. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на компьютерах конкретной ИСПДн, должно быть сопоставлено персональное уникальное имя (учётная запись пользователя), под которым он будет регистрироваться и работать на данном компьютере.
В заявке указывается: - содержание запрашиваемых изменений (регистрация нового пользователя ИСПДн, удаление учётной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ИСПДн ранее зарегистрированного пользователя); - должность (с полным наименованием отдела), фамилия, имя и отчество сотрудника; - имя пользователя (учётной записи) данного сотрудника; - полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путём указания решаемых пользователем задач в ИСПДн).
9.22 На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор безопасности производит необходимые операции по созданию (удалению) учётной записи пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора), заявленных прав доступа к ресурсам ИСПДн и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 360 дней. 9.23 После внесения изменений в списки пользователей администратор безопасности должен обеспечить настройки средств защиты соответствующие требованиям безопасности указанной ИСПДн. По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписью исполнителя - администратор безопасности. 9.24 Сотруднику, зарегистрированному в качестве нового пользователя ИСПДн, сообщается имя соответствующего ему пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации) и начальное (ые) значение (ия) пароля (ый), которое (ые) он обязан сменить при первом же входе в систему. 9.25. Исполненные заявка и задание (за подписью администратора безопасности) передаются руководителю на хранение. Они могут впоследствии использоваться:
10. Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических.
10.3. Порядок работы с техническими средств защиты информации определён в соответствующих руководствах по настройке и использованию СЗИ обязательных для исполнения, как сотрудниками обрабатывающими конфиденциальную информацию, так и администратором безопасности ИСПДн. 10.4. Право проверки соблюдения условий использования средств защиты информации имеют: - руководитель; - ответственный за защиту информации; - администратор безопасности. 10.5. Пользователю ИСПДн категорически запрещается: - обрабатывать конфиденциальную информацию с отключенными средствами защиты информации; - менять настройки средств защиты информации. 10.6. Администратору безопасности запрещается менять настройки программно-аппаратных средств защиты информации предустановленные специалистом организации, имеющей лицензию на деятельность по технической защите информации, без согласования с этой организацией. 10.7. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлено нарушение требования п. 10.5. то вступает в силу п.п. 3.7., 3.8. данного Положения. 10.8. Криптографические средства защиты информации должны использоваться в соответствии с технической и эксплуатационной документацией на них, а также в соответствии с правилами пользования ими. 11. Порядок охраны и допуска посторонних лиц в защищаемые помещения. 11.1. Настоящее Положение устанавливает порядок охраны (сдачи под охрану) защищаемых помещений ИСПДн. 11.2. Вскрытие и закрытие помещений осуществляется сотрудниками, работающими в данных помещениях. Список сотрудников, имеющих право вскрывать (сдавать под охрану) и опечатывать помещения утверждается руководителем и передаётся на пост охраны. 11.3. При отсутствии сотрудников, ответственных за вскрытие (сдачу под охрану) помещений, данные помещения могут быть вскрыты комиссией, созданной на основании приказа, о чем составляется акт.
11.6. Сотрудник, имеющий право на вскрытие помещений:
11.7. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт, в присутствии охранника. О происшествии немедленно сообщается руководителю и (или) ответственному за защиту информации. Одновременно принимаются меры по охране места происшествия и до прибытия должностных лиц в помещение никто не допускается.
11.10. Помещения вскрываются ответственным за помещение, или руководителем, или ответственным за защиту информации в присутствии сотрудника охраны с составлением акта. Если обнаружено вторжение в защищаемое помещение, далее процедура происходит в соответствии с п. 10.8 настоящего Положения.
12. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации.
12.3. Уничтожение носителей производится путём нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления информации (перед уничтожением, если носитель исправен, должно быть произведено гарантирование стирание информации на носителе). Непосредственные действия по уничтожению конкретного типа носителя должны быть достаточны для исключения возможности восстановления информации. 12.4. Бумажные и прочие сгораемые носители (конверты с неиспользуемыми более паролями) уничтожают путём сжигания или с помощью любых бумагорезательных машин. По факту уничтожения или стирания носителей составляется акт, в журналах учёта делаются соответствующие записи.
13. Заключительные положения.
13.2. Нарушение требований настоящего Положения влечёт за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Приложение №32 к распоряжению Управления образования администрации города Оренбурга от 02.07.2012 № 179 ПРИМЕРНАЯ ФОРМА Журнала учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД ОУ_____________________________
1 Принимает одно из следующих значений: 1, 2, 3, 4. 2 Принимает одно из следующих значений: 1, 2, 3. 3 Принимает одно из следующих значений: автоматизированное рабочее место (АРМ), локальная информационная система, распределенная информационная система. 4 Принимает одно из следующих значений: имеет, не имеет. 5 Принимает одно из следующих значений: однопользовательский, многопользовательский. 6 Принимает одно из следующих значений: с разграничением прав доступа, без разграничений прав доступа. 7 Принимает следующие значения: в пределах РФ, за пределами РФ. 8 Принимает следующие значения: соответcтвует типовой информационной системе, соответствует специальной информационной системе 9 Принимает одно из следующих значений: 1, 2, 3, 4. 10 Выбранные значения уровня защищенности указываются в круглых скобках. Например: «(+)». 11 Вариант текста пункта при отсутствии актуальных угроз. 12 Вариант текста пункта при отсутствии актуальных угроз. |
Годовой план работы управления образования администрации г. Оренбурга является организационной основой реализации ведомственной целевой... | Управление загс является отраслевым (функциональным) органом администрации города Оренбурга, действующим на основании Положения «Об... | ||
Управление загс является отраслевым (функциональным) органом администрации города Оренбурга, действующим на основании Положения «Об... | Реестр муниципальных услуг (утвержден постановлением администрации города Оренбурга от 03. 09. 2012 №2183-п) | ||
Реестр муниципальных услуг (утвержден постановлением администрации города Оренбурга от 03. 09. 2012 №2183-п) | Фз "Об общих принципах организации местного самоуправления в Российской Федерации", руководствуясь статьей 27 Устава города Оренбурга... | ||
Фз "Об общих принципах организации местного самоуправления в Российской Федерации" и руководствуясь статьей 27 Устава города Оренбурга,... | О внесении изменения в постановление администрации города Оренбурга от 07. 04. 2016 №953-п | ||
«город Оренбург», принятого решением Оренбургского городского Совета от 28. 04. 2015 №1015, постановлением администрации города Оренбурга... | Начальнику Управления жилищно-коммунального хозяйства администрации города Оренбурга |
Поиск Главная страница   Заполнение бланков   Бланки   Договоры   Документы    |