Скачать 1.45 Mb.
|
Приложение №22 к распоряжению Управления образования администрации города Оренбурга от 02.07.2012 № 179 ПРИМЕРНАЯ ФОРМА должностного регламента специалиста по обеспечению безопасности персональных данных образовательного учреждения Должностной регламент специалиста по обеспечению безопасности персональных данных образовательного учреждения «__________________» I. Общие положения 1.1. Настоящий должностной регламент специалиста по обеспечению безопасности персональных данных образовательного учреждения (далее - Регламент) определяет основные цели, функции и права специалиста по обеспечению безопасности персональных данных (далее - Специалист) в соответствующей организации. 1.2. Специалист назначается приказом (или иным документом) Руководителя организации на основании Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденного постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. № 912-51, во исполнение Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. 1.3. Специалист проводит свою работу согласно нормативным методическим документам Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России и иных уполномоченных законодательством органов в области обеспечения безопасности персональных данных. 1.4. Непосредственное руководство работой специалиста осуществляет заместитель Руководителя организации, курирующий вопросы защиты информации. Назначение и освобождение от должности специалиста производится Руководителем организации. 1.5. Специалист назначается из числа сотрудников соответствующей организации, имеющих опыт работы по основной деятельности соответствующей организации или в области защиты. 1.6. Специалист приравнивается по оплате труда, льготам и премированию к соответствующим категориям работников основных подразделений соответствующей организации. 1.7. Работа специалиста проводится в соответствии с планами работ, утверждаемыми непосредственным руководителем или руководителем организации. 1.8. В своей работе специалист руководствуется законодательными и иными нормативными актами Российской Федерации в области обеспечения безопасности персональных данных, приказами и указаниям Руководителя организации и другими руководящими документами по обеспечению безопасности персональных данных. II. Основные функции специалиста 2.1. Проведение единой технической политики, организация и координация работ по обеспечению безопасности персональных данных в соответствующей организации. 2.2. Проведение мероприятий по организации обеспечения безопасности персональных данных, включая классификацию информационных систем персональных данных. 2.3. Проведение мероприятий по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в том числе - мероприятия по размещению, охране, организации режима допуска в помещения, где ведется обработка персональных данных; - мероприятия по закрытию технических каналов утечки персональных данных при их обработке; - мероприятия по защите от несанкционированного доступа к персональным данным - мероприятия по выбору средств защиты персональных данных при их обработке. 2.4. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передачи их лицам, не имеющим права доступа к такой информации. 2.5. Своевременное обнаружение фактов несанкционированного доступа к персональным данным. 2.6. Недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование. 2.7. Обеспечение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 2.8. Постоянный контроль за обеспечением уровня защищенности персональных данных. 2.9. Участие в подготовке объектов соответствующей организации к аттестации по выполнению требований обеспечения безопасности персональных данных. 2.10. Разработка организационных распорядительных документов по обеспечению безопасности персональных данных в соответствующей организации. 2.11. Организация в установленном порядке расследования причин и условий появления нарушений в безопасности персональных данных и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений. 2.12. Разработка предложений, участие в проводимых работах по совершенствованию системы безопасности персональных данных в соответствующей организации. 2.13. Проведение периодического контроля эффективности мер защиты персональных данных в соответствующей организации. Учет и анализ результатов контроля. 2.14. Организация повышения осведомленности руководства и сотрудников в соответствующей организации по вопросам обеспечения безопасности персональных данных, сотрудников подведомственных предприятий, учреждений и организаций. 2.15. Подготовка отчетов о состоянии работ по обеспечения безопасности персональных данных в соответствующей организации. III. Права специалиста Специалист имеет право: 3.1. Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных. 3.2. Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных. 3.3. Готовить предложения о привлечении к проведению работ по защите информации на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации. 3.4. Контролировать деятельность структурных подразделений соответствующей организации в части выполнения ими требований по обеспечению безопасности персональных данных. 3.5. Вносить предложения руководителю организации о приостановке работ в случае обнаружения несанкционированного доступа, утечки (или предпосылок для утечки) персональных данных. 3.6. Привлекать в установленном порядке необходимых специалистов из числа сотрудников соответствующей организации для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам обеспечения безопасности персональных данных. IV. Ответственность специалиста 4.1. Специалист несет персональную ответственность за:
Приложение №23 к распоряжению Управления образования администрации города Оренбурга от 02.07.2012 № 179 ПРИМЕРНАЯ ФОРМА частной модели угроз безопасности персональных данных при их обработке в информационной системе Частная модель угроз безопасности персональных данных при их обработке в ____________________________________________________________(Название информационной системы персональных данных) ____________________________________________________________________________________________________________________________________________________________________________________ Содержание Обозначения и сокращения………………………………………………………
Обозначения и сокращения АРМ – автоматизированное рабочее место; ВТСС – вспомогательные технические средства и системы; ИСПДн – информационная система персональных данных; КЗ – контролируемая зона; МЭ – Межсетевой экран; НСД – несанкционированный доступ; ОС – операционная система; ПДн – персональные данные; ПМВ – программно-математическое воздействие; ПЭМИН – побочные электромагнитные помехи; ТКУИ – технические каналы утечки информации; УБПДн – угрозы безопасности данных.
(Наименование информационной системы персональных данных) _____________________________________________________ (далее – ИСПДн). В ИСПДн обрабатывается информация о ___________________________ ____________________________________________________________________ (Сведения о назначении ИСПДн и том, какая информация в ней обрабатывается) ____________________________________________________________________________________________________________________________________________________________________________________________________________.
(Цели обработки персональных данных) ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.
(Значение Хпд) акт классификации ИСПДн от ___.___.20____ г. № _____.
(Значение Хнпд)
Организационные и технические мероприятия по защите персональных данных ИСПДн должны обеспечить _____________________________________ ____________________________________________________________________. (Характеристики безопасности ПДн, обрабатываемых в ИСПДн: конфиденциальность, защищенность, целостность и т.д.) Мероприятия по защите ПДн реализуются в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности персональных данных в ИСПДн. Обработка персональных данных осуществляется в соответствии с ____________________________________________ от ___.___.20___ г. № ____. (Наименование приказа, распоряжения и т.п.) К непосредственной работе с ИСПДн допущен(о) ___ сотрудник(ов). Обработка ПДн регламентирована инструкциями и методическими документами. ____________________________________________________________________ (Мероприятия по обеспечению безопасности ПДн: конфиденциальность, защищенность, целостность и т.д.) ____________________________________________________________________________________________________________________________________________________________________________________________________________.
Структура ИСПДн представляет собой _____________________________ ____________________________________________________________________ (Наименование структуры ИСПДн: АРМ, локальная информационная система, распределенная информационная система) (далее – ____________________________________________________________). (АРМ, локальная информационная система, распределенная информационная система) ИСПДн установлена по адресу _________________________________________ ____________________________________________________________________, (Наименование населенного пункта, улица, дом, корпус, № кабинета) схема размещения технических средств (Схему отобразить в приложении).
(имеет подключение, подключение не имеет)
(Режим обработки ПДн: однопользовательский, многопользовательский)
(Права доступа: с разграничением, без разграничения) прав доступа. Права доступа к информационным ресурсам пользователям и администратору информационной системы предоставляются ________________ (при регистрации, при входе) _______ в ИСПДн ___________________________________ их имени и пароля. (с обязательным указанием, без указания)
(№ класса типовой информационной системы) исходя из категории обрабатываемых в информационной системе персональных данных (Хпд) и объема обрабатываемых персональных данных (Хнпд).
Показатели уровня защищенности ИСПДн, зависящие от технических и эксплуатационных характеристик ИСПДн, приведены в таблице № 1. Таблица № 1. Показатели исходной защищенности ИСПДн.10
Показатели исходной защищенности ИСПДн принимают следующие значения:
Полученные значения показателей исходной защищенности ИСПДн свидетельствуют, что степень исходной защищенности ИСПДн соответствует _______________________________________. (Значение степени исходной защищенности: высокая, средняя, низкая.) Данной степени исходной защищенности ИСПДн соответствует числовой коэффициент Y1= __________________. (Значение коэффициента: 0, 5, 10.) Полученный результат отражен в графе № 2 «Степень исходной защищенности» таблицы № 2 по каждому виду угрозы безопасности персональных данных в ИСПДн.
ИСПДн соответствует типовой модели угроз безопасности персональных данных, обрабатываемых в _____________________________________________ ______________________________, ________________________ подключение к (АРМ, локальная ИСПДн, распределенная ИСПДн) (имеющих, не имеющих) сетям связи общего пользования, и (или) сетям международного информационного обмена. С учетом существующих угроз безопасности ПДн для вышеуказанной типовой модели угроз безопасности ПДн в ИСПДн возможна реализация следующих угроз:
(АРМ, локальная ИСПДн, распределенная ИСПДн)
(Наименование угрозы) _________________________________________________________________; (Краткое описание условий и причин возникновения угрозы)
(Наименование угрозы) _________________________________________________________________; (Краткое описание условий и причин возникновения угрозы)
(Наименование угрозы) _________________________________________________________________. (Краткое описание условий и причин возникновения угрозы)
Результаты опроса специалистов утверждены актом _________________ ____________________________________________________________________ (Название акта о результатах опроса о частоте (вероятности) реализации угрозы и опасности угрозы для ИСПДн) ____________________________________________________________________ __________________________________________ от ___.___.20____ г. № _____. Указанные сведения отражены в графах №№ 3 – 6 таблицы № 2 в виде числового коэффициента Y2, соответствующего вербальной градации показателя о частоте (вероятности) реализации угрозы безопасности ПДн.
Результаты опроса специалистов утверждены актом _________________ ____________________________________________________________________ (Название акта о результатах опроса о частоте (вероятности) реализации угрозы и опасности угрозы для ИСПДн) ____________________________________________________________________ __________________________________________ от ___.___.20____ г. № _____. Указанные сведения отражены в графах №№ 8 – 10 таблицы № 2.
либо11: Полученные данные в графе № 11 «Вывод об актуальности угрозы» таблицы № 2 свидетельствуют, что для ИСПДн угрозы утечки информации по техническим каналам не являются актуальными.
(АРМ, локальная ИСПДн, распределенная ИСПДн) нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн. Кроме этого, источниками угроз НСД к информации в __________________________________ могут быть (АРМ, локальная ИСПДн, распределенная ИСПДн) ____________________________________________________________________ (источники угроз НСД) ____________________________________________________________________ ____________________________________________________________________.
а) ______________________________________________. (Наименование угрозы) _________________________________________________________________; (Краткое описание условий и причин возникновения угрозы) б) ______________________________________________. (Наименование угрозы) _________________________________________________________________; (Краткое описание условий и причин возникновения угрозы) в) ______________________________________________. (Наименование угрозы) _________________________________________________________________. (Краткое описание условий и причин возникновения угрозы)
Результаты опроса специалистов утверждены актом _________________ ____________________________________________________________________ (Название акта о результатах опроса о частоте (вероятности) реализации угрозы и опасности угрозы для ИСПДн) ____________________________________________________________________ __________________________________________ от ___.___.20____ г. № _____. Указанные сведения отражены в графах №№ 3 – 6 таблицы № 2 в виде числового коэффициента Y2, соответствующего вербальной градации показателя о частоте (вероятности) реализации угрозы безопасности ПДн.
Результаты опроса специалистов утверждены актом _________________ ____________________________________________________________________ (Название акта о результатах опроса о частоте (вероятности) реализации угрозы и опасности угрозы для ИСПДн) ____________________________________________________________________ __________________________________________ от ___.___.20____ г. № _____. Указанные сведения отражены в графах №№ 8 – 10 таблицы № 2.
либо12: Полученные данные в графе № 11 «Вывод об актуальности угрозы» таблицы № 2 свидетельствуют, что для ИСПДн угрозы утечки информации по техническим каналам не являются актуальными. Таблица № 2 Результаты определения актуальности угрозы в ИСПДн
Частная модель угроз безопасности персональных данных при обработке в ИСПДн соответствует типовой модели угроз безопасности персональных данных, обрабатываемых в _____________________________________________ ______________________________, ________________________ подключение к (АРМ, локальная ИСПДн, распределенная ИСПДн) (имеющих, не имеющих) сетям связи общего пользования, и (или) сетям международного информационного обмена Полученные данные (см. Таблица № 2) свидетельствуют, что для ИСПДн актуальными угрозами являются:
(Наименование угрозы безопасности ПДн)
(Наименование угрозы безопасности ПДн)
|
Годовой план работы управления образования администрации г. Оренбурга является организационной основой реализации ведомственной целевой... | Управление загс является отраслевым (функциональным) органом администрации города Оренбурга, действующим на основании Положения «Об... | ||
Управление загс является отраслевым (функциональным) органом администрации города Оренбурга, действующим на основании Положения «Об... | Реестр муниципальных услуг (утвержден постановлением администрации города Оренбурга от 03. 09. 2012 №2183-п) | ||
Реестр муниципальных услуг (утвержден постановлением администрации города Оренбурга от 03. 09. 2012 №2183-п) | Фз "Об общих принципах организации местного самоуправления в Российской Федерации", руководствуясь статьей 27 Устава города Оренбурга... | ||
Фз "Об общих принципах организации местного самоуправления в Российской Федерации" и руководствуясь статьей 27 Устава города Оренбурга,... | О внесении изменения в постановление администрации города Оренбурга от 07. 04. 2016 №953-п | ||
«город Оренбург», принятого решением Оренбургского городского Совета от 28. 04. 2015 №1015, постановлением администрации города Оренбурга... | Начальнику Управления жилищно-коммунального хозяйства администрации города Оренбурга |
Поиск Главная страница   Заполнение бланков   Бланки   Договоры   Документы    |