Управления образования администрации города оренбурга

Скачать 1.45 Mb.

Название	Управления образования администрации города оренбурга
страница	7/13
Тип	Документы

filling-form.ru > бланк заявлений > Документы

1 2 3 4 5 6 7 8 9 10 ... 13

Приложение №22 к распоряжению Управления образования администрации города Оренбурга

от 02.07.2012 № 179
ПРИМЕРНАЯ ФОРМА

должностного регламента специалиста по обеспечению безопасности персональных данных образовательного учреждения

Должностной регламент специалиста по обеспечению безопасности персональных данных образовательного учреждения «__________________»

I. Общие положения

1.1. Настоящий должностной регламент специалиста по обеспечению безопасности персональных данных образовательного учреждения (далее - Регламент) определяет основные цели, функции и права специалиста по обеспечению безопасности персональных данных (далее - Специалист) в соответствующей организации.

1.2. Специалист назначается приказом (или иным документом) Руководителя организации на основании Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденного постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. № 912-51, во исполнение Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г.

1.3. Специалист проводит свою работу согласно нормативным методическим документам Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России и иных уполномоченных законодательством органов в области обеспечения безопасности персональных данных.

1.4. Непосредственное руководство работой специалиста осуществляет заместитель Руководителя организации, курирующий вопросы защиты информации.

Назначение и освобождение от должности специалиста производится Руководителем организации.

1.5. Специалист назначается из числа сотрудников соответствующей организации, имеющих опыт работы по основной деятельности соответствующей организации или в области защиты.

1.6. Специалист приравнивается по оплате труда, льготам и премированию к соответствующим категориям работников основных подразделений соответствующей организации.

1.7. Работа специалиста проводится в соответствии с планами работ, утверждаемыми непосредственным руководителем или руководителем организации.

1.8. В своей работе специалист руководствуется законодательными и иными нормативными актами Российской Федерации в области обеспечения безопасности персональных данных, приказами и указаниям Руководителя организации и другими руководящими документами по обеспечению безопасности персональных данных.

II. Основные функции специалиста

2.1. Проведение единой технической политики, организация и координация работ по обеспечению безопасности персональных данных в соответствующей организации.

2.2. Проведение мероприятий по организации обеспечения безопасности персональных данных, включая классификацию информационных систем персональных данных.

2.3. Проведение мероприятий по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в том числе

- мероприятия по размещению, охране, организации режима допуска в помещения, где ведется обработка персональных данных;

- мероприятия по закрытию технических каналов утечки персональных данных при их обработке;

- мероприятия по защите от несанкционированного доступа к персональным данным

- мероприятия по выбору средств защиты персональных данных при их обработке.

2.4. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передачи их лицам, не имеющим права доступа к такой информации.

2.5. Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

2.6. Недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование.

2.7. Обеспечение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

2.8. Постоянный контроль за обеспечением уровня защищенности персональных данных.

2.9. Участие в подготовке объектов соответствующей организации к аттестации по выполнению требований обеспечения безопасности персональных данных.

2.10. Разработка организационных распорядительных документов по обеспечению безопасности персональных данных в соответствующей организации.

2.11. Организация в установленном порядке расследования причин и условий появления нарушений в безопасности персональных данных и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений.

2.12. Разработка предложений, участие в проводимых работах по совершенствованию системы безопасности персональных данных в соответствующей организации.

2.13. Проведение периодического контроля эффективности мер защиты персональных данных в соответствующей организации. Учет и анализ результатов контроля.

2.14. Организация повышения осведомленности руководства и сотрудников в соответствующей организации по вопросам обеспечения безопасности персональных данных, сотрудников подведомственных предприятий, учреждений и организаций.

2.15. Подготовка отчетов о состоянии работ по обеспечения безопасности персональных данных в соответствующей организации.

III. Права специалиста

Специалист имеет право:

3.1. Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных.

3.2. Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных.

3.3. Готовить предложения о привлечении к проведению работ по защите информации на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации.

3.4. Контролировать деятельность структурных подразделений соответствующей организации в части выполнения ими требований по обеспечению безопасности персональных данных.

3.5. Вносить предложения руководителю организации о приостановке работ в случае обнаружения несанкционированного доступа, утечки (или предпосылок для утечки) персональных данных.

3.6. Привлекать в установленном порядке необходимых специалистов из числа сотрудников соответствующей организации для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам обеспечения безопасности персональных данных.

IV. Ответственность специалиста

4.1. Специалист несет персональную ответственность за:

правильность и объективность принимаемых решений;
правильное и своевременное выполнение приказов, распоряжений, указаний руководства соответствующей организации по вопросам, входящим в возложенные на него функции;
выполнение возложенных на него обязанностей, предусмотренных настоящим Регламентом;
соблюдение трудовой дисциплины, охраны труда;
качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями.
согласно действующему законодательству Российской Федерации за разглашение сведений ограниченного распространения, ставших известными ему по роду работы.

Приложение №23 к распоряжению Управления образования администрации города Оренбурга

от 02.07.2012 № 179
ПРИМЕРНАЯ ФОРМА

частной модели угроз безопасности персональных данных при их обработке в информационной системе
Частная модель угроз

безопасности персональных данных при их обработке в

____________________________________________________________^{(Название информационной системы персональных данных)}

____________________________________________________________________________________________________________________________________________________________________________________

Содержание
Обозначения и сокращения………………………………………………………

Общие положения …………………………………………………………
1. Наименование информационной системы персональных данных ………
2. Цель обработки персональных данных ………………………………….
3. Категория обрабатываемых персональных данных (Хпд) ……………..
4. Объем обрабатываемых персональных данных (Хнпд) ………………..
5. Характеристики безопасности персональных данных, обрабатываемых в информационной системе ………………………………………………………. Структура информационной системы …………………………….……..
6. Подключение информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена ……………………………………………………………………………………..
7. Режим обработки персональных данных ………………………………..
8. Режимы разграничения прав доступа пользователей информационной системы …………………………………………………………………………...
9. Класс информационной системы ………………………………………...
Степень исходной защищенности информационной системы персональных данных ……………………………………………… ……………
1. Определение уровня исходной защищенности информационной системы персональных данных …………………………………………………………...
2. Определение степени исходной защищенности информационной системы персональных данных …………………………………………………………...
Угрозы безопасности персональных данных, обрабатываемых в ИСПДн ……………………………………………………………………………………..
Угрозы утечки информации по техническим каналам ………………… Угрозы несанкционированного доступа в информационной системе персональных данных …………………………………………………………...
Заключение ………………………………………………………………...

Обозначения и сокращения
АРМ – автоматизированное рабочее место;

ВТСС – вспомогательные технические средства и системы;

ИСПДн – информационная система персональных данных;

КЗ – контролируемая зона;

МЭ – Межсетевой экран;

НСД – несанкционированный доступ;

ОС – операционная система;

ПДн – персональные данные;

ПМВ – программно-математическое воздействие;

ПЭМИН – побочные электромагнитные помехи;

ТКУИ – технические каналы утечки информации;

УБПДн – угрозы безопасности данных.

Общие положения

Наименование информационной системы персональных данных: ____________________________________________________________________

^{(Наименование информационной системы персональных данных)}

_____________________________________________________ (далее – ИСПДн).

В ИСПДн обрабатывается информация о ___________________________

____________________________________________________________________^{(Сведения о назначении ИСПДн и том, какая информация в ней обрабатывается)}

____________________________________________________________________________________________________________________________________________________________________________________________________________.

Целями обработки персональных данных ИСПДн являются ____________________________________________________________________

^{(Цели обработки персональных данных)}

____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

В ИСПДн обрабатываются персональные данные, категория которых соответствуют значению Хпд = ___________. Составлен и утвержден

^{(Значение Хпд)}

акт классификации ИСПДн от ___.___.20____ г. № _____.

В ИСПДн одновременно обрабатываются персональные данные, объем которых соответствует значению Хнпд = ___________.

^{(Значение Хнпд)}

Характеристика безопасности персональных данных, обрабатываемых в ИСПДн.

Организационные и технические мероприятия по защите персональных данных ИСПДн должны обеспечить _____________________________________

____________________________________________________________________.

^{(Характеристики безопасности ПДн, обрабатываемых в ИСПДн: конфиденциальность, защищенность, целостность и т.д.)}

Мероприятия по защите ПДн реализуются в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности персональных данных в ИСПДн.

Обработка персональных данных осуществляется в соответствии с ____________________________________________ от ___.___.20___ г. № ____.

^{(Наименование приказа, распоряжения и т.п.)}

К непосредственной работе с ИСПДн допущен(о) ___ сотрудник(ов). Обработка ПДн регламентирована инструкциями и методическими документами.

____________________________________________________________________

^{(Мероприятия по обеспечению безопасности ПДн: конфиденциальность, защищенность, целостность и т.д.)}

____________________________________________________________________________________________________________________________________________________________________________________________________________.

Структура информационной системы.

Структура ИСПДн представляет собой _____________________________ ____________________________________________________________________

^{(Наименование структуры ИСПДн: АРМ, локальная информационная система, распределенная информационная система)}

(далее – ____________________________________________________________).

^{(АРМ, локальная информационная система, распределенная информационная система)}

ИСПДн установлена по адресу _________________________________________

____________________________________________________________________,

^{(Наименование населенного пункта, улица, дом, корпус, № кабинета)}

схема размещения технических средств (Схему отобразить в приложении).

ИСПДн к сетям общего пользования и (или) сетям международного информационного обмена _____________________________________________.

^{(имеет подключение, подключение не имеет)}

В ИСПДн персональные данные обрабатываются в __________________________________________________ режиме.

^{(Режим обработки ПДн: однопользовательский, многопользовательский)}

В ИСПДн работа пользователей и администратора информационной системы осуществляется _______________________________

^{(Права доступа: с разграничением, без разграничения)}

прав доступа. Права доступа к информационным ресурсам пользователям и администратору информационной системы предоставляются ________________

^{(при регистрации, при входе)}

_______ в ИСПДн ___________________________________ их имени и пароля.

^{(с обязательным указанием, без указания)}

Класс ИСПДн соответствует _________________________________

^{(№ класса типовой информационной системы)}

исходя из категории обрабатываемых в информационной системе персональных данных (Хпд) и объема обрабатываемых персональных данных (Хнпд).

Степень исходной защищенности ИСПДн

Уровень исходной защищенности ИСПДн.

Показатели уровня защищенности ИСПДн, зависящие от технических и эксплуатационных характеристик ИСПДн, приведены в таблице № 1.

Таблица № 1. Показатели исходной защищенности ИСПДн.¹⁰

	Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Технические и эксплуатационные характеристики ИСПДн	Высокий	Средний	Низкий
1.	По территориальному размещению:
	Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;
	Городская ИСПДн , охватывающая не более одного населенного пункта (города, поселка);
	Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;
	Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;
	Локальная ИСПДн, развернутая в пределах одного здания.
2.	По наличию соединений с сетями общего пользования:
	ИСПДн, имеющая многоточечный выход в сеть общего пользования;
	ИСПДн, имеющая одноточечный выход в сеть общего пользования;
	ИСПДн, физически отделенная от сети общего пользования;
3.	По встроенным (легальным) операциям с записями баз персональных данных
	Чтение, поиск;
	запись, удаление, сортировка;
	модификация, передача;
4.	По разграничению доступа к персональным:
	ИСПДн, к которой имеют доступ определенный перечень сотрудников организаций, являющейся владельцем ИСПДн, либо субъект ПДн;
	ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;
	ИСПДн с открытым доступом.
5.	По наличию соединений с другими базами ПДн иных ИСПДн:
	Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);
	ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн.
6.	По уровню обобщения (обезличивания) ПДн:
	ИСПДн, в которой представляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.)
	ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;
	ИСПДн, в которой представляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).
7.	По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
	ИСПДн, предоставляющая всю ПДн;
	ИСПДн, предоставляющая часть ПДн;
	ИСПДн, не предоставляющие никакой информации.

Показатели исходной защищенности ИСПДн принимают следующие значения:

_____ или _____% от общего количества всех характеристик принимают значения высокого уровня исходной защищенности;
_____ или _____% от общего количества всех характеристик принимают значения среднего уровня исходной защищенности;
_____ или _____% от общего количества всех характеристик соответствует значению низкого уровня исходной защищенности.

Степень исходной защищенности ИСПДн.

Полученные значения показателей исходной защищенности ИСПДн свидетельствуют, что степень исходной защищенности ИСПДн соответствует _______________________________________.

^{(Значение степени исходной защищенности: высокая, средняя, низкая.)}

Данной степени исходной защищенности ИСПДн соответствует числовой коэффициент Y₁= __________________.

^{(Значение коэффициента: 0, 5, 10.)}

Полученный результат отражен в графе № 2 «Степень исходной защищенности» таблицы № 2 по каждому виду угрозы безопасности персональных данных в ИСПДн.

Угрозы безопасности персональных данных, обрабатываемых в ИСПДн

ИСПДн соответствует типовой модели угроз безопасности персональных данных, обрабатываемых в _____________________________________________

______________________________, ________________________ подключение к

^{(АРМ, локальная ИСПДн, распределенная ИСПДн) (имеющих, не имеющих)}

сетям связи общего пользования, и (или) сетям международного информационного обмена.

С учетом существующих угроз безопасности ПДн для вышеуказанной типовой модели угроз безопасности ПДн в ИСПДн возможна реализация следующих угроз:

угрозы утечки информации по техническим каналам связи;
угрозы НСД к ПДн, обрабатываемым в __________________________.

^{(АРМ, локальная ИСПДн, распределенная ИСПДн)}

Угрозы утечки информации по техническим каналам

В ИСПДн могут быть реализованы следующие угрозы утечки информации по техническим каналам:

______________________________________________.

^{(Наименование угрозы)}

_________________________________________________________________;

^{(Краткое описание условий и причин возникновения угрозы)}

______________________________________________.

______________________________________________.

^{(Наименование угрозы)}

_________________________________________________________________.

^{(Краткое описание условий и причин возникновения угрозы)}

Частота (вероятность) реализации угрозы по каждому ее виду определена экспертным путем (опрос специалистов) с использованием показателя, характеризующего, насколько вероятным является реализация конкретной угрозы безопасности ПДн для ИСПДн в складывающихся условиях обстановки.

Результаты опроса специалистов утверждены актом _________________

____________________________________________________________________

^{(Название акта о результатах опроса о частоте (вероятности) реализации угрозы и опасности угрозы для ИСПДн)}

____________________________________________________________________

__________________________________________ от ___.___.20____ г. № _____.

Указанные сведения отражены в графах №№ 3 – 6 таблицы № 2 в виде числового коэффициента Y₂, соответствующего вербальной градации показателя о частоте (вероятности) реализации угрозы безопасности ПДн.

С учетом полученных числовых коэффициентов Y₁иY₂ по каждому виду угрозы безопасности ПДн рассчитан числовой коэффициент реализуемости угрозы Y и определена его вербальная интерпритация реализуемости конкретной угрозы безопасности ПДн. Указанные данные отражены в графе № 7 таблицы № 2.
Показатель опасности угрозы по каждому ее виду определен экспертным путем с использованием опроса специалистов в области защиты информации с использованием вербального показателя опасности угрозы.

В соответствии с Правилами отнесения угрозы безопасности ПДн к актуальной на основании коэффициента реализуемости угрозы (Y) и показателя опасности угрозы по каждому ее виду сделан вывод об актуальности угрозы. Указанные данные отражены в графе № 11 таблицы № 2.
Полученные данные в графе № 11 «Вывод об актуальности угрозы» таблицы № 2 свидетельствуют, что для ИСПДн являются актуальными следующие угрозы утечки информации по техническим каналам:

________________________________________;
________________________________________;
________________________________________.

либо¹¹:

Полученные данные в графе № 11 «Вывод об актуальности угрозы» таблицы № 2 свидетельствуют, что для ИСПДн угрозы утечки информации по техническим каналам не являются актуальными.

Угрозы несанкционированного доступа к информационной системе персональных данных

Угрозы НСД в ___________________________ связаны с действиями

^{(АРМ, локальная ИСПДн, распределенная ИСПДн)}

нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн. Кроме этого, источниками угроз НСД к информации в __________________________________ могут быть

^{(АРМ, локальная ИСПДн, распределенная ИСПДн)}

____________________________________________________________________

^{(источники угроз НСД)}

____________________________________________________________________

____________________________________________________________________.

В ИСПДн могут быть реализованы следующие угрозы несанкционированного доступа к информации:

а) ______________________________________________.

^{(Наименование угрозы)}

_________________________________________________________________;

^{(Краткое описание условий и причин возникновения угрозы)}

б) ______________________________________________.

^{(Наименование угрозы)}

_________________________________________________________________;

^{(Краткое описание условий и причин возникновения угрозы)}

в) ______________________________________________.

^{(Наименование угрозы)}

_________________________________________________________________.

^{(Краткое описание условий и причин возникновения угрозы)}

Частота (вероятность) реализации угрозы по каждому ее виду определена экспертным путем (опрос специалистов) с использованием показателя, характеризующего, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

С учетом полученных числовых коэффициентов Y₁иY₂ по каждому виду угрозы безопасности ПДн рассчитан числовой коэффициент реализуемости угрозы Y и определена его вербальная интерпретация реализуемости конкретной угрозы безопасности ПДн. Указанные данные отражены в графе № 7 таблицы №2.
Показатель опасности угрозы по каждому ее виду определен экспертным путем с использованием опроса специалистов в области защиты информации с использованием вербального показателя опасности угрозы.

В соответствии с Правилами отнесения угрозы безопасности ПДн к актуальной на основании коэффициента реализуемости угрозы (Y) и показателя опасности угрозы по каждому ее виду сделан вывод об актуальности угрозы. Указанные данные отражены в графе № 11 таблицы № 2
Полученные данные в графе № 11 «Вывод об актуальности угрозы» таблицы № 2 свидетельствуют, что для ИСНДн являются актуальными следующие виды угроз несанкционированного доступа к информации:

________________________________________;
________________________________________.

либо¹²:

Полученные данные в графе № 11 «Вывод об актуальности угрозы» таблицы № 2 свидетельствуют, что для ИСПДн угрозы утечки информации по техническим каналам не являются актуальными.

Таблица № 2

Результаты определения актуальности угрозы в ИСПДн

Угрозы утечки информации по техническим каналам связи и за счет НСД	Степень исходной защищенности (Y1)	Вероятность реализации угрозы (Y2)				Коэффициент реализуемости угрозы Y=(Y1+Y2)/20	Показатель опасности угрозы (определяется на основе опроса специалиств в области ЗИ)			Вывод об актуальности угрозы
		Малая вероятность (0)	Низкая вероятность (2)	Средняя вероятность (5)	Высокая вероятность (10)	возможность реализации угрозы	Низкая опасность	Средняя опасность	Высокая опасность
1	2	3	4	5	6	7	8	9	10	11
Технические каналы утечки информации
Утечка информации по каналу ПЭМИН	0					0,25				Актуально (не актуально)
						низкая
Утечка речевой информации	0

Утечка видовой информации	0

Утечка информации за счет НСД
Перехват паролей (идентификаторов)	0

Модификация BIOS, перехват управления загрузкой	0

Несанкционированное копирование, уничтожение ПДн	0

Модификация СУБД ПДн	0

Внедрение вредоносных программ	0

Заключение

Частная модель угроз безопасности персональных данных при обработке в ИСПДн соответствует типовой модели угроз безопасности персональных данных, обрабатываемых в _____________________________________________

______________________________, ________________________ подключение к ^{(АРМ, локальная ИСПДн, распределенная ИСПДн) (имеющих, не имеющих)}

сетям связи общего пользования, и (или) сетям международного информационного обмена

Полученные данные (см. Таблица № 2) свидетельствуют, что для ИСПДн актуальными угрозами являются:

угрозы утечки информации по техническим каналам:

______________________________________________;

^{(Наименование угрозы безопасности ПДн)}

______________________________________________;
______________________________________________;
______________________________________________;

угрозы при несанкционированном доступе к информации:

______________________________________________;

^{(Наименование угрозы безопасности ПДн)}

______________________________________________;
______________________________________________;
______________________________________________.

1 2 3 4 5 6 7 8 9 10 ... 13

	План работы Управления образования на 2013 год Годовой план работы управления образования администрации г. Оренбурга является организационной основой реализации ведомственной целевой...		О результатах деятельности управления записи актов гражданского состояния... Управление загс является отраслевым (функциональным) органом администрации города Оренбурга, действующим на основании Положения «Об...
	О результатах деятельности управления записи актов гражданского состояния... Управление загс является отраслевым (функциональным) органом администрации города Оренбурга, действующим на основании Положения «Об...		Администрации Северного и Южного округов города Оренбурга Реестр муниципальных услуг (утвержден постановлением администрации города Оренбурга от 03. 09. 2012 №2183-п)
	Администрации Северного и Южного округов города Оренбурга Реестр муниципальных услуг (утвержден постановлением администрации города Оренбурга от 03. 09. 2012 №2183-п)		Решение Фз "Об общих принципах организации местного самоуправления в Российской Федерации", руководствуясь статьей 27 Устава города Оренбурга...
	Решение Фз "Об общих принципах организации местного самоуправления в Российской Федерации" и руководствуясь статьей 27 Устава города Оренбурга,...		Администрация города Оренбурга постановление О внесении изменения в постановление администрации города Оренбурга от 07. 04. 2016 №953-п
	Администрация города Оренбурга постановление «город Оренбург», принятого решением Оренбургского городского Совета от 28. 04. 2015 №1015, постановлением администрации города Оренбурга...		Е. С. Арапову 460000, Оренбургская обл, Оренбург г, Советская, 60 Начальнику Управления жилищно-коммунального хозяйства администрации города Оренбурга

Управления образования администрации города оренбурга

Похожие: