СДО для вагонников
Ответы для вагонников на часто встречающиеся вопросы в системе дистанционного образования ОАО«РЖД» (http://sdo.rzd.ru)
Ярлыки
-
Автосцепное устройство
(7) -
База с ответами
(5) -
Буксовый узел
(4) -
Инструкции и распоряжения
(4) -
Инструкция по сигнализации
(3) -
Карта сайта
(1) -
Каскор
(1) -
Колесные пары
(7) -
Кузов и рама
(1) -
Обучение и повышение квалификации
(1) -
Опасные грузы
(3) -
Охрана труда
(21) -
Полезные статьи
(17) -
Разное
(10) -
СДО
(273) -
СДО для операторов
(49) -
Сохранность вагонного парка
(5) -
Тележки
(2) -
Тестирование
(10) -
Тормозное оборудование
(14) -
Юмор РЖД
(2)
Поиск по блогу
03 февраля 2022
Курс по информационной безопасности для пользователей ПК ОАО «РЖД»
Ответы за февраль 2022:
- 2022-06-09 ЦВ Инструктаж Все профессии
- 2022-03 ЦВ Теория Осмотрщики и др. (стаж более 5 лет)
- 2022-04 ЦВ Теория Осмотрщики и др. (стаж более 5 лет)
- 2022-01 ЦВ Дополнительная осмотрщики всех наименований, операторы ПТО (телеграмма № ИСХ-25879 от 01.12.2021. Техническое обслуживание и контрольный осмотр пассажирских вагонов при прицепке их к поезду в пути следования)
- 2022-02 ЦВ Дополнительная осмотрщики всех наименований (телеграмма № ИСХ-25991 от 02.12.2021. Типовой технологический процесс ТК-297)
- Предупреждение и противодействие коррупции в ОАО «РЖД». Общий курс
- Курс по информационной безопасности для пользователей ПК ОАО «РЖД»
- База с ответами к СДО для вагонников
- Карта сайта «Сдо для вагонников»
Курс по информационной безопасности для пользователей ПК ОАО «РЖД»
- Интерактивная практическая работа «Блокировка компьютера» (страница 26)
1 действие ⇒ Убрать документы в сейф
2 действие ⇒ Убрать флешку в сейф
3 действие ⇒ Закрыть сейф
4 действие ⇒ Выключить ПК
5 действие ⇒ Документы из корзины в измельчитель - Интерактивная практическая работа «Надежный пароль» (страница 29)
⇒ 30o#pwnrz!53Hz - Интерактивная практическая работа «Об установке на рабочий компьютер программного обоспечения» (страница 35)
⇒ Нет, не надо ничего такого скачивать. Наверное, лучше обратиться в единую службу поддержки пользователей, там помогут. - Интерактивная практическая работа «признаки фишингового письма» (страница 40)
- Интерактивная практическая работа «Использование адреса корпоративной электронной почты для регистрации на Интернет-ресурсах» (страница 44)
⇒ Выбрать почту @mail.ru или @gmail.com - Интерактивная практическая работа «Признаки фишингового сайта» (страница 48)
1 ⇒ Адресная строка
2 ⇒ Неправильное название (chrome)
3 ⇒ Окно, где просят ввести номер телефона - Интерактивная практическая работа «Блокировка экрана на мобильных устройствах» (страница 54)
- Интерактивная практическая работа «Правила противодействия социальной инженерии при поступлении звонков с незнакомых номеров» (страница 58)
1 ⇒ Добрый день. Мне нужно согласовать это с моим руководителем. Скажите, как я могу с Вами связаться позже?
2 ⇒ Константин, могу я получить официальный запрос от ФАС?
3 ⇒ Я дождусь официального запроса и сразу же на него отвечу. - Блокировка учетной записи работника Компании происходит после…
⇒ 5 неудачных попыток - В каких случаях заражение мобильных устройств компьютерным вирусом наиболее вероятно?
⇒ При скачивании и установке приложений из неавтоматизированных источников
⇒ При спользовании открытых сетей связи (Wi-Fi) в публичных местах - В каких случаях разрешено использовать один и тот же пароль для доступа к ИС ОАО «РЖД» и личных аккаунтов?
⇒ Запрещено - Вы получили электронное письмо от Вашего коллеги с вложением (архивный файл с расширением *.exe). Ваши действия?
⇒ Уточню у коллеги, действительно ли он посылал подобное письмо. Если посылал, то сохраню на диск, проверю на вирусы и открою Файл. Если не посылал то удалю письмо, неоткрыв вложение - Вы получили электронное письмо с вложенным файлом «Условия участия в конференции» от неизвестного адресата. Ваши действия?
⇒ Проверю адрес отправителя. В случае возникновения сомнений прекращу работу с почтовым клиентом и обращусь в ЕСПП с подозрением на вирус в почтовом письме - Допустимо ли вести рабочую переписку с использованием электронной почты, созданной на внешних Интернет-ресурсах?
⇒ Допустимо, отдельным категориям работников, которым делегировано право представлять интересы Компании перед третьими лицами для выполнения должностных обязанностей - Допустмо ли использовать общедоступные ресурсы и сервисы при пердаче сведений конфиденциального харатера?
⇒ Нет - Из перечисленных паролей наиболее надежным (сложным для подбора и угадывания) является …
⇒ l75@A!v#y16 - К какой ответственности может быть привлечен работник за нарушение правил ИБ, принятых в Компании?
⇒ Гражданско-правовой
⇒ Административной - Как следует поступать при необходимости установки на компьютер работника какого-либо дополнительного программного обеспечения (ПО)?
⇒ Подать заявку в ЕСПП ОАО «РЖД» для установки необходимого ПО - Какие действия не следует выполнять при работе с корпоративным мобильным устройством?
⇒ Все из перечисленного - Какие из облачных хранилищ разрешено использовать работнику Компании для хранения или передачи конфиденциальной информации?
⇒ Никакие - Какие из перечисленных ниже признаков могут указывать на Фишинговый сайт?
⇒ Все перечисленное - Какие минимальное количество символов должен содержать пароль для доступа к инфармационным ресурсам кампании?
⇒ 8 - Какие признаки могут указывать на опасное мобильное приложение?
⇒ Все перечисленное - Какое расширение файла может указывать на вредоносное вложение?
⇒ Любое из перечисленных - Какое самое надежное место для хранения пароля к информационным активам Компании
⇒ Пароли лучше запоминать, а не записывать на бумаге - Кого работник должен ставить в известность о любых Фактах нарушения правил использования информационных активов Кампании?
⇒ Всех вышеперечисленньы - Кого работник Компании должен поставить в известность, если у него подозрения на компрометацию пароля?
⇒ Сектор информационной безопасности ИВЦ
⇒ Непосредственного руководителя - Комбинации каких клавиш необходимо нажать для блокировки компьютера?
⇒ Ctrl+Alt+Del
⇒ Win+L - Кому разрешено сообщать свой пароль для доступа к ИС ОАО «РЖД»?
⇒ Никому - Может ли работник Компании изменять настройки операционной системы рабочего компьютера?
⇒ Нет - Может ли работник передавать данные своей учетной записи к ИС ОАО «РЖД» другим пользователям?
⇒ Нет - Можно ли использовать девичью фамилию матери при составлении пароля?
⇒ Нет - Можно ли обрабатывать сведения конфиденциального характера на мобильных устройствах в публичных местах (кафе, парк, общественный транспорт и т.п.)?
⇒ Нет, это опасно и запрещено - Можно ли подключать к рабочему ПЭВМ съемные носители информации?
⇒ Категорически запрещено - По чьей вине чаще всего происходят инциденты ИБ в компаниях (по статистике мировых аналитических агентств)?
⇒ По вине действующих работников компаний - Пользователю рабочего компьютера необходимо менять пароль каждые …
⇒ 90 дней - При подписке на электронное издание «Железнодорожный транспорт» в регистрационной форме в качестве логина и пароля Вы можете использовать …
⇒ Логин и пароль социальной сети VK.com
⇒ Логин и пароль почты Mail.ru - Разрешено ли повторно использовать пароль для доступа к ИС ОАО «РЖД»?
⇒ Нет. Отличие нового пароля от предыдущего должно быть не менее чем в четырех позициях - Что или кто является источником угроз информационной безопасности?
⇒ Все перечисленные - Что не следует пользователю рабочего компьютера использовать в качестве пароля?
⇒ Все перечисленное - Что необходимо сделать работнику Компании в случае возникновения инцидента ИББ?
⇒ Все перечисленное - Что необходимо сделать с бумажными документами и съемными носителями, содержащими конфиденциальную информацию, прежде чем покинуть рабочее место?
⇒ Убрать в запираемый шкаФ
⇒ Убрать в запираемый сейф - Что означает понятие «Доступность ИС»?
⇒ Предоставление данных своим пользователям - Что означает понятие «Конфиденциальность ИС»?
⇒ Защиту данных от несанкционированного доступа - Что означает понятие «Целостность ИС»?
⇒ Хранение информации и гарантию неизменности данных - Что является признаком наличия вируса на ПЭВМ?
⇒ Все из перечисленного
Комментариев нет:
Отправить комментарий
Skip to content
В Поездку
Курс по информационной безопасности для пользователей ПК ОАО «РЖД»
Блокировка учетной записи работника Компании происходит после …
В каких случаях заражение мобильных устройств компьютерным вирусом наиболее вероятно?
В каких случаях разрешено использовать один и тот же пароль для доступа к ИС «РЖД» и личных аккаунтов?
Вы получили электронное письмо от Вашего коллеги с вложением (архивный файл с расширением *.exe). Ваши действия?
Вы получили электронное письмо с вложенным файлом «Условия участия в конференции» от неизвестного адресата. Ваши действия?
Допустимо ли вести рабочую переписку с использованием электронной почты, созданной на внешних Интернет-ресурсах?
Из перечисленных паролей наиболее надежным (сложным для подбора и угадывания) является …
Как следует поступить при необходимости установки на компьютер работника какого-либо дополнительного программного обеспечения (ПО)?
Какие действия не следует выполнять при работе с корпоративным мобильным устройством?
Какие из облачных хранилищ разрешено использовать работнику Компании для хранения или передачи конфиденциальной информации?
Какие из перечисленных ниже признаков могут указывать на фишинговый сайт?
Какие признаки могут указывать на опасное мобильное приложение?
Какое минимальное количество символов должен содержать пароль для доступа к информационным ресурсам компании?
Какое расширение файла может указывать на вредоносное вложение?
Какое самое надежное место для хранения пароля к информационным активам Компании?
К какой ответственности может быть привлечен работник за нарушение правил ИБ, принятых в Компании?
Кого работник должен ставить в известность о любых фактах нарушения правил использования информационных активов Компании?
Кого работник Компании должен поставить в известность, если у него подозрения на компрометацию пароля?
Кому разрешено сообщать свой пароль для доступа к ИС ОАО «РЖД»?
Может ли работник Компании изменять настройки операционной системы рабочего компьютера ?
Может ли работник передавать данные своей учетной записи к ИС ОАО «РЖД» другим пользователям?
Можно ли использовать девичью фамилию матери при составлении пароля?
Можно ли обрабатывать сведения конфиденциального характера на мобильных устройствах в публичных местах (кафе, парк, общественный транспорт и т.п.)?
Можно ли подключать к рабочему ПЭВМ съемные носители информации?
Пользователю рабочего компьютера необходимо менять пароль каждые…
По чьей вине чаще всего происходят инциденты ИБ в компаниях (по статистике мировых аналитических агентств)?
При подписке на электронное издание «Железнодорожный транспорт» в регистрационной форме в качестве логина и пароля Вы можете использовать…
Что или кто является источником угроз информационной безопасности?
Что необходимо сделать работнику Компании в случае возникновения инцидента ИБ?
Что необходимо сделать с бумажными документами и съемными носителями, содержащими конфиденциальную информацию, прежде чем покинуть рабочее место?
Что не следует пользователю рабочего компьютера использовать в качестве пароля?
Что означает понятие «Доступность ИС»?
Что означает понятие «Конфиденциальность ИС»?
Что означает понятие «Целостность ИС»?
Что является признаком наличия вируса на ПЭВМ?
1. Введение
Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.
2. Основные понятия
Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.
Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.
Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. В Системе для подписания электронных документов электронной подписью используется технология электронно-цифровой подписи (ЭЦП) в инфраструктуре открытых ключей.
Ключ ЭП — уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.
Ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается принадлежащим пользователю, если он был ему выдан установленным порядком. В инфраструктуре открытых ключей соответствует открытому ключу ЭЦП.
Сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.
Владелец сертификата ключа проверки ЭП — лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.
Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.
Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.
Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:
- Потеря ключевых носителей.
- Потеря ключевых носителей с их последующим обнаружением.
- Увольнение сотрудников, имевших доступ к ключевой информации.
- Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
- Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
- Нарушение печати на сейфе с ключевыми носителями.
- Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).
3. Риски использования электронной подписи
При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:
- Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
- Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
- Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
- Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
- Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.
Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.
4. Общие принципы организации информационной безопасности в Системе
Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.
Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат. Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации. Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя. Любой желающий может для проверки подписи провести обратное преобразование, применив общедоступный открытый ключ (ключ проверки ЭП) автора документа, но никто не сможет имитировать такой документ, не зная закрытого ключа (ключа ЭП) автора.
Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:
- выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
- выдает пользователям средства электронной подписи;
- создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
- получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
- ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
- проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
- осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
- определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.
Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.
Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.
Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:
- обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
- подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
- обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
- обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
- аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.
Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.
В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.
5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя
Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.
5.1 Персонал
Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.
К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.
К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.
Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.
Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.
В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.
5.2 Размещение технических средств АРМ с установленным СКЗИ
Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.
Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.
Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля, при этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к АРМ.
Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.
Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).
Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.
Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.
5.3 Установка программного обеспечения на АРМ
На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.
На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.
Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.
Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.
Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.
Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.
5.4 Настройка операционной системы АРМ
Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:
- Правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.
- Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.
- У группы Everyone должны быть удалены все привилегии.
- Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке.
- Рекомендуется переименовать стандартную учетную запись Administrator.
- Должна быть отключена учетная запись для гостевого входа Guest.
- Исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек, системного реестра, для всех, включая группу Administrators.
- Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т п.).
- Должно быть исключено или ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
- Рекомендуется организовать затирание временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
- Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
- На все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме Администратора (Administrator), Создателя/Владельца (Creator/Owner) и Системы (System).
- Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
- Рекомендуется обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов.
- Рекомендуется произвести настройку параметров системного реестра в соответствии с эксплуатационной документацией на СКЗИ.
Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т д.), использовать фильтры паролей в соответствии со следующими правилами:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т д.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
- личный пароль пользователь не имеет права сообщать никому;
- не допускается хранить записанные пароли в легкодоступных местах;
- периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
- указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.
5.5 Установка и настройка СКЗИ
Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.
Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.
Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.
При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.
Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.
По завершении инициализации осуществляются настройка и контроль работоспособности ПО.
Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.
5.6 Подключение АРМ к сетям общего пользования
При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. В качестве такой меры рекомендуется установка и использование на АРМ средств межсетевого экранирования. Должен быть закрыт доступ ко всем неиспользуемым сетевым портам.
В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.
5.7 Обращение с ключевыми носителями
В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.
Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.
Запрещается:
- Снимать несанкционированные администратором безопасности копии с ключевых носителей.
- Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
- Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
- Использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.
5.8 Обращение с ключевой информацией
Владелец сертификата ключа проверки ЭП обязан:
- Хранить в тайне ключ ЭП (закрытый ключ).
- Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
- Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
- Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.
5.9 Учет и контроль
Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.
В журнале может отражаться следующая информация:
- дата, время;
- запись о компрометации ключа;
- запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
- запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
- запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
- запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
- записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
- события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.
Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.
В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.
Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.
6. Заключение
Настоящие правила составлены на основе:
- Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
- приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
- эксплуатационной документации на СКЗИ, которое используется в Системе.
ИСПОЛНИТЕЛЬНЫЙ КОМИТЕТ АЛЕКСЕЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА РЕСПУБЛИКИ ТАТАРСТАН |
ТАТАРСТАН РЕСПУБЛИКАСЫ АЛЕКСЕЕВСКМУНИЦИПАЛЬ РАЙОНЫНЫҢ БАШКАРМА КОМИТЕТЫ |
|
ПОСТАНОВЛЕНИЕ_____23.07.2020_______ |
п.г.т. Алексеевское |
КАРАР№ _287___ |
Об утверждении инструкций
по защите персональных данных
Во исполнение Федерального закона Российской Федерации от 27 мая 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» и прочих нормативных документов по защите информации, а также с целью обеспечения безопасности персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан,
постановляю:
- Утвердить и ввести в действие Инструкцию пользователя информационных систем персональных данных Исполнительного комитета Алексеевского муниципального района Республики Татарстан (Приложение №1 к настоящему Постановлению).
- Утвердить и ввести в действие Инструкцию по парольной защите информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан (Приложение №2 к настоящему Постановлению).
- Утвердить и ввести в действие Инструкцию по организации антивирусной защиты информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан (Приложение №3 к настоящему Постановлению).
- Утвердить и ввести в действие Инструкцию по организации резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных Исполнительного комитета Алексеевского муниципального района Республики Татарстан (Приложение №4 к настоящему Постановлению).
- Утвердить и ввести в действие Инструкцию по обращению со съемными машинными носителями персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан (Приложение №5 к настоящему Постановлению).
- Требования настоящего постановления довести до работников, осуществляющих обработку персональных данных в информационных системах персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан.
- Контроль за исполнением настоящего постановления оставляю за собой.
И.о. Руководителя
Исполнительного комитета А.Д. Васильев
Приложение № 1
к постановлению
Исполнительного комитета
Алексеевского муниципального
района Республики Татарстан
от _23.07.2020___ № _287__
ИНСТРУКЦИЯ
пользователя информационных систем персональных данных
Исполнительного комитета Алексеевского муниципального района Республики Татарстан
- Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида;
Антивирусная защита – защита информации и компонентов информационной системы от вредоносных компьютерных программ (вирусов) (обнаружение вредоносных компьютерных программ (вирусов), блокирование, изолирование «зараженных» объектов, удаление вредоносных компьютерных программ (вирусов) из «зараженных» объектов);
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Пользователь информационной системы персональных данных – работник, осуществляющий обработку персональных данных в информационной системе персональных данных;
Средство антивирусной защиты – программное средство, реализующее функции обнаружения компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирования на обнаружение этих программ и информации;
Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Общие положения
- Настоящая Инструкция пользователя информационных систем персональных данных Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Инструкция) определяет обязанности, права и ответственность работников при работе в информационных системах персональных данных (далее – ИСПДн).
- Требования настоящей Инструкции являются обязательными для всех работников, осуществляющих обработку и защиту персональных данных (далее – ПДн) в ИСПДн – пользователей ИСПДн (далее – Пользователи).
- К защищаемой информации, обрабатываемой в ИСПДн Исполнительном комитете Алексеевского муниципального района Республики Татарстан (далее – Комитет), относятся ПДн, в соответствии с «Перечнем персональных данных, обрабатываемых в Исполнительном комитете Алексеевского муниципального района Республики Татарстан», служебная (технологическая) информация системы защиты и другая информация конфиденциального характера.
- Все пользователи ИСПДн Комитета должны быть ознакомлены с требования настоящей Инструкции под подпись.
- Настоящая Инструкция является дополнением к действующим локальным нормативным актам (внутренним документам) по вопросам обеспечения безопасности сведений конфиденциального характера, в том числе и ПДн, и не исключает обязательного выполнения их требований.
- Допуск пользователей к информационным системам
персональных данных
- Допуск пользователей к работе с ПДн в ИСПДн осуществляется в соответствии с «Перечнем должностей работников, допущенных к обработке персональных данных Исполнительного комитета Алексеевского муниципального района Республики Татарстан».
- К самостоятельной работе на автоматизированных рабочих местах (далее – АРМ), входящих в состав ИСПДн, допускаются лица, изучившие требования настоящей Инструкции и локальных нормативных актов по защите информации, освоившие правила эксплуатации АРМ и технических средств защиты.
- Допуск производится после проверки знания настоящей Инструкции и практических навыков в работе.
- Обязанности пользователя
- Каждый Пользователь имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:
- Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн.
- Знать и строго выполнять правила работы со средствами защиты информации, установленными в ИСПДн.
- Выполнять требования по антивирусной защите в части, касающейся действий Пользователей.
- Немедленно ставить в известность ответственного за обеспечение безопасности ПДн в ИСПДн или администратора ИСПДн:
- при подозрении компрометации личного пароля;
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;
- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ИСПДн;
- некорректного функционирования установленных средств защиты;
- обнаружения непредусмотренных отводов кабелей и подключенных устройств;
- обнаружения фактов, попыток несанкционированного доступа и случаев нарушения установленного порядка обработки ПДн.
- Экран видеомонитора в помещении располагать во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами.
- Пользователям ИСПДн запрещается:
- отключать (блокировать) средства защиты информации, предусмотренные организационно-распорядительными документами на ИСПДн;
- производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;
- самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
- обрабатывать в ИСПДн информацию и выполнять другие работы, не предусмотренные перечнем прав Пользователя по доступу к ИСПДн;
- сообщать (или передавать) посторонним лицам личные атрибуты и пароли доступа к ресурсам ИСПДн;
- работать в ИСПДн при обнаружении каких-либо неисправностей;
- оставлять включенным без присмотра АРМ, не активизировав средства защиты от несанкционированного доступа;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к ознакомлению с защищаемой информацией посторонних лиц;
- производить перемещения технических средств АРМ без согласования с ответственным за обеспечение безопасности ПДн в ИСПДн;
- вскрывать корпуса технических средств АРМ и вносить изменения в схему и конструкцию устройств.
- Организация работы со съемными машинными носителями информации
- Организация работы со съемными машинными носителями информации (далее – СМНИ), содержащие ПДн и иную информацию конфиденциального характера, осуществляется в соответствии с «Инструкцией по обращению со съемными машинными носителями информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан».
- Пользователи обязаны знать и соблюдать установленные требования по учету и хранению СМНИ.
- СМНИ должен быть зарегистрирован в «Журнале учета съемных машинных носителей информации».
- СМНИ закрепляется за определенным лицом, несущим ответственность за сохранность и местонахождение данного СМНИ.
- При необходимости передачи информации на СМНИ, лицо ответственное за хранение уведомляет ответственного за обеспечение безопасности ПДн в ИСПДн о необходимости передачи информации с помощью СМНИ, доставляет СМНИ по месту назначения, передает информацию с него и возвращает его на место хранения.
- Хранение СМНИ осуществляется:
- для флеш-карт, смарт-карт, компакт дисков и др. в защищенных сейфах;
- для СМНИ, входящих в состав ИСПДн, производится опечатывание корпуса АРМ.
- Пользователям запрещается:
- записывать и хранить ПДн и иную информацию конфиденциального характера на неучтенных СМНИ;
- оставлять СМНИ без присмотра, передавать их другим лицам и выносить за пределы контролируемой зоны, за исключением случаев, в которых разрешена передача СМНИ;
- хранить СМНИ вблизи сильных источников электромагнитных излучений и прямых солнечных лучей;
- хранить на учтенных СМНИ программы и данные, не относящиеся к рабочей информации.
- Организация парольной защиты
- Организация парольной защиты производится в соответствии с «Инструкцией по парольной защите информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан».
- Лица, использующие пароли, обязаны:
- хранить в тайне свой пароль
- четко знать и строго выполнять требования настоящей Инструкции и других руководящих документов;
- своевременно сообщать ответственному за обеспечение безопасности ПДн в ИСПДн обо всех нештатных ситуациях, нарушениях работы систем защиты от несанкционированного доступа, возникающих при работе с паролями.
- Во время ввода паролей необходимо исключить возможность его просмотра посторонними лицами (человек за спиной, наблюдение человеком за движением пальцев в прямой видимости или отражённом свете) или техническими средствами (видеокамеры, фотоаппараты и др.)
- Для предотвращения доступа к персональным данным, пользователь во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Delete и кнопки «Блокировать» или нажатием комбинации Win+L.
- В случае утери пароля сотрудник ставит в известность своего непосредственного руководителя и ответственного за обеспечение безопасности ПДн в ИСПДн для принятия последующих решений.
- В случае компрометации пароля (просмотр посторонними, разглашение пароля и др.) необходимо известить своего непосредственного руководителя и ответственного за обеспечение безопасности ПДн в ИСПДн для принятия последующих решений.
- Правила работы в сетях общего доступа и (или) международного обмена
- Работа в сетях общего доступа и на элементах ИСПДн, должна осуществляться исключительно в служебных целях.
- При работе в сетях общего доступа запрещается:
- осуществлять работу при отключенных средствах защиты;
- передавать по сетям общего доступа защищаемую информацию без использования средств шифрования;
- запрещается скачивать из сети Интернет программное обеспечение и другие файлы, если это не определено его должностными обязанностями;
- запрещается посещение и использование сети Интернет в личных целях.
- Порядок установки обновлений программного обеспечения
- Установке крупных обновлений программного обеспечения должно предшествовать тестирование информационной инфраструктуры на отсутствие негативных воздействий от устанавливаемых обновлений.
- В случае обнаружения негативного воздействия устанавливаемого обновления на штатное функционирование информационной инфраструктуры, данное обновление устанавливаться не должно по согласованию с администратором ИСПДн.
- Установке новых версий программного обеспечения или внесению серьезных изменений и дополнений в действующее программное обеспечение должно предшествовать тестирование информационной инфраструктуры на отсутствие негативных воздействий указанного программного обеспечения.
- Установка протестированных обновлений, новых версий программного обеспечения или внесение изменений и дополнений в действующее программное обеспечение может быть произведено только по согласованию с администратором ИСПДн и ответственным за обеспечение безопасности ПДн в ИСПДн.
- Технология обработки персональных данных
- При первичном допуске к работе в ИСПДн Пользователь знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных документов по вопросам автоматизированной обработки информации, изучает Инструкцию, получает персональный идентификатор или личный пароль у ответственного за обеспечение безопасности ПДн в ИСПДн.
- В процессе работы Пользователь производит обработку ПДн в ИСПДн.
- При необходимости вывод ПДн из ИСПДн осуществляется следующим образом:
- копированием ПДн на учтенные СМНИ;
- передача ПДн по каналам связи с обязательным применением средств криптографической защиты.
- Срок действия и порядок внесения изменений
- Настоящая Инструкция вступает в силу с момента его утверждения и действует бессрочно.
- Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящую Инструкцию вносятся приказом Руководителя Комитета.
Управляющий делами
Исполнительного комитета Г.А. Юсупова
Приложение №2
к постановлению Исполнительного комитета Алексеевского муниципального района Республики Татарстан
от _23.07.2020___ № _287__
ИНСТРУКЦИЯ
по парольной защите информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан
- Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Пользователь информационной системы персональных данных – работник, осуществляющий обработку персональных данных в информационной системе персональных данных;
Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Общие положения
- Настоящая Инструкция по парольной защите информации в Исполнительном комитете Алексеевского муниципального района Республики Татарстан (далее – Инструкция) устанавливает требования и ответственность при организации парольной защиты информации, а также определяет порядок контроля за действиями пользователей и обслуживающего персонала информационных систем персональных данных (далее – ИСПДн) при работе с паролями.
- Требования настоящей Инструкции являются обязательными для исполнения всеми пользователями и администраторами ИСПДн Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Комитет), использующими в своей работе средства вычислительной техники.
- Все пользователи и администраторы ИСПДн Комитета, использующие в своей работе средства вычислительной техники, должны быть ознакомлены с требования настоящей Инструкции под подпись.
- Настоящая Инструкция является дополнением к действующим локальным нормативным актам (внутренним документам) по вопросам обеспечения безопасности сведений конфиденциального характера, в том числе и персональных данных (далее – ПДн), и не исключает обязательного выполнения их требований.
- Требования, предъявляемые к идентификаторам (кодам) и паролям (порядок формирования и обращения с ними)
- Авторизация пользователей ИСПДн осуществляется путем ввода идентификатора и/или пароля.
- Требования к формированию паролей и обращению с ними.
- Пароль формируется при создании учетной записи ответственным за обеспечение безопасности ПДн в ИСПДн или администратором ИСПДн, при первичном входе в учетную запись пароль должен быть изменен владельцем.
- Владельцы личных паролей обязаны обеспечить их тайну.
- Пароли генерируются с учетом следующих требований:
- пароль должен знать только его владелец;
- длина пароля должна быть не менее 8 символов;
- в составе символов пароля обязательно должны присутствовать как цифры, так и буквы на верхнем и нижнем регистрах;
- пароль не должен включать смысловую нагрузку (имена, фамилии, наименования организаций, улиц, городов и т.д.), общепринятые сокращения (userOl, password02 и т.п.) и последовательные сочетания клавиш клавиатуры (qwertyOl, Ицукен12);
- количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя должно быть не более 6.
- Требования к формированию паролей обеспечиваются техническими возможностями используемых операционных систем, средств защиты информации и информационных ресурсов.
- Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в полгода. Внеплановая смена пароля производится в случае его компрометации, а также по просьбе пользователя ИСПДн.
- Хранение пользователями ИСПДн значений своих паролей на бумажном носителе ЗАПРЕЩЕНО.
- Порядок смены паролей и идентификаторов при изменениях в организационно-штатной структуре (кадровые перестановки, увольнение работников):
- При прекращении действия трудового договора с работником все созданные для этого работника учетные записи (пользовательское имя) подлежат блокированию не позднее, чем в день увольнения работника. Полное удаление учетных записей производится в течении 5 рабочих дней со дня увольнения работника. Основанием для блокирования и последующего удаления учетных записей работника является заявка, представленная непосредственным руководителем увольняемого не позднее, чем за 3 рабочих дня до дня его увольнения.
- При проведении организационно-штатных мероприятий (кадровые перестановки) непосредственный руководитель структурного подразделения обязан представить администратору ИСПДн заявку на изменение в правах доступа.
- Порядок действий при компрометации идентификаторов и паролей.
- Под компрометацией понимается: утрата пароля учетной записи и (или) пароля идентификатора, разглашение учетной записи пароля или пароля идентификатора (явная компрометация), или иная ситуация, которая дает основание для предположения о нарушении конфиденциальности паролей и идентификаторов (неявная компрометация).
- При выявлении факта утраты пароля, разглашения пароля, пароля идентификатора, самого идентификатора пользователь обязан незамедлительно сообщить о данных фактах своему непосредственному руководителю и ответственному за обеспечение безопасности ПДн в ИСПДн или администратору ИСПДн.
- В случае выявления факта компрометации идентификаторов и паролей пользователя администратор ИСПДн или ответственный за обеспечение безопасности ПДн в ИСПДн обязан немедленно заблокировать учетную запись данного пользователя и незамедлительно произвести внеплановую смену пароля для этого пользователя.
- Права и обязанности
- Основные задачи администратора ИСПДн:
- организация установки средств идентификации и аутентификации;
- организация парольной защиты во всех ИСПДн Комитета;
- выдача первичных паролей, и электронных персональных идентификаторов и паролей к ним;
- осуществление контроля за состоянием системы парольной защиты информации в ИСПДн Комитета.
- Администратор ИСПДн имеет право:
- вносить предложения по совершенствованию системы парольной защиты информации в ИСПДн Комитета;
- принимать участие в планировании мероприятий по парольной защите информации в ИСПДн Комитета и планировании оснащения средствами идентификации и аутентификации;
- осуществлять контроль состояния средств идентификации и аутентификации в ИСПДн Комитета;
- инициировать служебные проверки и участвовать в проведении расследований по фактам компрометации;
- оказывать помощь в решении проблем, возникающих при эксплуатации средств идентификации и аутентификации.
- Обязанности в части парольной защиты информации отражены в инструкции администратора ИСПДн.
- Пользователям ИСПДн в своей работе запрещается:
- сообщать кому-либо свой личный пароль и/или пароль к электронному персональному идентификатору;
- передавать кому-либо выданный электронный персональный идентификатор;
- осуществлять вход в операционные системы ИСПДн и в информационные ресурсы под чужими идентификаторами и паролями;
- отключать средства идентификации и аутентификации.
- В случае появления подозрений на факт компрометации пароля, а также в случае выявления инцидентов (фактов и т.п.), связанных со сбоями в работе средств идентификации и аутентификации, пользователи обязаны немедленно проинформировать об этом ответственного за обеспечение безопасности ПДн в ИСПДн или администратора ИСПДн.
- Ответственность должностных лиц в рамках системы парольной защиты информации
- Пользователи, ответственный за обеспечение безопасности ПДн в ИСПДн и администратор ИСПДн несут ответственность за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных действующим законодательством Российской Федерации. За несоблюдение требований законодательства Российской Федерации предусмотрена гражданская, уголовная, административная, дисциплинарная ответственность.
- Пользователи, ответственный за обеспечение безопасности ПДн в ИСПДн и администратор ИСПДн несут ответственность по действующему законодательству Российской Федерации за разглашение сведений конфиденциального характера, ставших известными при выполнении служебных обязанностей, в том числе предусмотренных настоящей Инструкцией.
- Срок действия и порядок внесения изменений
- Настоящая Инструкция вступает в силу с момента его утверждения и действует бессрочно.
- Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящую Инструкцию вносятся постановлением Руководителя Комитета.
Управляющий делами
Исполнительного комитета Г.А. Юсупова
Приложение №3
к постановлению Исполнительного комитета Алексеевского муниципального района Республики Татарстан
от __23.07.2020__ № _287__
ИНСТРУКЦИЯ
по антивирусной защите
Исполнительного комитета Алексеевского муниципального района Республики Татарстан
- Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида;
Антивирусная защита – защита информации и компонентов информационной системы от вредоносных компьютерных программ (вирусов) (обнаружение вредоносных компьютерных программ (вирусов), блокирование, изолирование «зараженных» объектов, удаление вредоносных компьютерных программ (вирусов) из «зараженных» объектов);
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Пользователь информационной системы персональных данных – работник, осуществляющий обработку персональных данных в информационной системе персональных данных;
Средство антивирусной защиты – программное средство, реализующее функции обнаружения компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирования на обнаружение этих программ и информации;
Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Общие положения
- Настоящая Инструкция по антивирусной защите Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Инструкция) регулирует вопросы организации антивирусной защиты и требования к порядку проведения антивирусного контроля.
- Инструкция устанавливает требования и ответственность при организации защиты информации от разрушающего воздействия вредоносных программ – компьютерных вирусов.
- Требования настоящей Инструкции являются обязательными для исполнения всеми работниками Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Комитета), использующими в своей работе средства вычислительной техники.
- Все работники Комитета, использующие антивирусные средства, должны быть ознакомлены с требованиями настоящей Инструкцией под подпись.
- Настоящая Инструкция является дополнением к действующим локальным нормативным актам (внутренним документам) по вопросам обеспечения безопасности сведений конфиденциального характера, в том числе и персональных данных (далее – ПДн), и не исключает обязательного выполнения их требований.
- Требования к антивирусным средствам
- В Комитете к применению допускаются только лицензионные антивирусные программные и (или) программно-аппаратные средства (антивирусные средства), закупленные у разработчика указанных средств или его официальных дилеров.
- Антивирусные средства должны функционировать в течение всего времени работы средств вычислительной техники (от момента загрузки операционной системы до момента ее выгрузки).
- Антивирусное средство не должно существенно затруднять работоспособность средств вычислительной техники информационных систем персональных данных (далее – ИСПДн).
- Права и обязанности
- Антивирусной защите подлежит вся, обрабатываемая в Комитете при помощи средств вычислительной техники, информация, независимо от ограничений доступа к ней.
- Сопровождение (регулярное обновление, антивирусный контроль, выявление фактов заражения и проведение служебных расследований) правил антивирусной защиты возлагаются на ответственного за обеспечение безопасности ПДн в ИСПДн.
- Основные задачи ответственного за обеспечение безопасности ПДн в ИСПДн:
- организация процесса установки антивирусных средств в ИСПДн;
- сопровождение антивирусных средств (обновление, антивирусный контроль, сопровождение действий пользователей в случаях обнаружения вирусов, обеспечение работоспособности антивирусных средств);
- контроль состояния системы антивирусной защиты информации в Комитете.
- Ответственный за обеспечение безопасности ПДн в ИСПДн несет ответственность за:
- за своевременную установку антивирусных средств;
- за эксплуатацию (антивирусный контроль, работоспособность антивирусных средств, сопровождение действий пользователей в случаях обнаружения вирусов) системы антивирусной защиты информации;
- за своевременное обновление лицензий на антивирусные средства;
- за своевременное обновление антивирусных баз.
- Ответственный за обеспечение безопасности ПДн в ИСПДн имеет право:
- вносить предложения по совершенствованию системы антивирусной защиты информации;
- принимать участие в планировании мероприятий по антивирусной защите информации и планировании оснащения антивирусными средствами;
- осуществлять контроль состояния средств антивирусной защиты информации в Комитете;
- инициировать служебные проверки и участвовать в проведении расследований по фактам заражения вирусами ИСПДн и средств вычислительной техники;
- оказывать помощь в решении проблем, возникающих при эксплуатации средств антивирусной защиты.
- Пользователь антивирусного средства – лицо, на рабочем месте которого применяется антивирусное средство.
- Пользователям антивирусных средств запрещается:
- менять настройки или отключать средства антивирусной защиты во время работы;
- использовать средства антивирусной защиты, отличные от установленных средств;
- без разрешения ответственного за обеспечение безопасности ПДн в ИСПДн копировать любые файлы на съемные носители информации, устанавливать и использовать любое программное обеспечение, не предназначенное для выполнения служебных задач.
- Порядок и периодичность обновления антивирусных баз
- Своевременное обновление баз данных средств антивирусной защиты информации является неотъемлемой частью обеспечения эффективной политики антивирусной защиты информации.
- Установке обновлений должно предшествовать тестирование ИСПДн на отсутствие негативных воздействий от вновь устанавливаемых обновлений.
- Установке новых версий программного обеспечения или внесению изменений и дополнений в действующее программное обеспечение должно предшествовать тестирование ИСПДн на отсутствие негативных воздействий указанного программного обеспечения.
- Периодичность обновления антивирусных баз:
- обновление антивирусных баз для всех ИСПДн, имеющих подключение к сетям общего пользования и сетям международного информационного обмена, должно быть ежедневным. Источник обновления – сервер разработчика антивирусного средства, либо собственный централизованный сетевой источник обновлений, получающий обновления с сервера разработчика антивирусного средства.
- обновление антивирусных баз для ИСПДн, не имеющих подключение к сетям общего пользования и сетям международного информационного обмена, обновление должно быть не менее 1 раза в неделю. Источником обновления в данном случае являются антивирусные базы, записанные на предварительно учтенный в установленном порядке съемный машинный носитель информации.
- Порядок и периодичность проведения антивирусного контроля
- Объектами антивирусного контроля являются:
- жесткие магнитные диски рабочих станций и серверов ИСПДн;
- сетевые хранилища (системы хранения данных);
- оперативная и системная память средств вычислительной техники;
- съемные машинные носители информации;
- входящий и исходящий контент (веб-трафик);
- файлы, получаемые и передаваемые через сети общего пользования и международного информационного обмена;
- почтовые сообщения электронной почты.
- Антивирусный контроль входящей информации со съемных машинных носителей информации необходимо проводить до переноса информации на жёсткий магнитный диск рабочей станции или сетевой диск. Информация, получаемая по телекоммуникационным каналам, должна проверятся во время, или сразу после получения. Контроль исходящей информации необходимо проводить непосредственно перед отправкой (записью на съемный носитель).
- Виды и периодичность антивирусных проверок представлены в таблице 1.
Таблица 1
№ п/п |
Объект контроля |
Вид проверки |
Периодичность проверки |
---|---|---|---|
1 |
Жесткие магнитные диски рабочих станций и серверов ИСПДн |
Полная проверка |
1 раз в месяц |
Быстрое сканирование |
1 раз в неделю |
||
2 |
Сетевые хранилища (системы хранения данных) |
Полная проверка |
1 раз в месяц |
3 |
Оперативная и системная память средств вычислительной техники |
Полная проверка |
1 раз в месяц |
Быстрое сканирование |
1 раз в неделю |
||
4 |
Съемные машинные носители информации |
Полная проверка |
При каждом подключении |
5 |
Веб-трафик |
Минимально необходимое требование — настройка антивирусного средства по умолчанию |
Постоянно |
6 |
Файлы, получаемые и передаваемые через сети общего пользования и международного информационного обмена |
Полная проверка |
При каждом получении и отправке |
7 |
Почтовые сообщения электронной почты |
Минимально необходимое требование — настройка антивирусного средства по умолчанию |
При каждом получении и отправке |
- Порядок действий при обнаружении вирусов
- Основными путями проникновения вирусов в ИСПДн являются: любые съемные машинные носители информации, электронные почтовые сообщения, трафик, получаемый из сетей общего пользования и сетей международного информационного обмена, ранее зараженные рабочие станции и сервера.
- В случае обнаружения вирусов при входном контроле съемных машинных носителей информации, файлов или электронных почтовых сообщений, пользователь должен:
- немедленно приостановить все работы на своей рабочей станции;
- сообщить ответственному за обеспечение безопасности ПДн в ИСПДн о факте обнаружения вируса;
- принять согласованные с ответственным за обеспечение безопасности ПДн в ИСПДн меры по локализации и удалению вируса с использованием антивирусных средств.
- При невозможности ликвидации последствий вирусного заражения ответственному за обеспечение безопасности ПДн в ИСПДн необходимо:
- сообщить о факте обнаружения программных вирусов в организацию, осуществляющую техническую поддержку эксплуатации средств антивирусной защиты информации;
- заархивировать зараженные файлы и направить с приложением соответствующего сопроводительного документа в организацию, осуществляющую техническую поддержку эксплуатации средств антивирусной защиты информации.
- При получении информации о возможном нарушении либо выявлении факта нарушения требований настоящей Инструкции работа на рабочей станции данного пользователя незамедлительно блокируется по решению ответственного за обеспечение безопасности ПДн в ИСПДн.
- Факты модификации и разрушения данных на серверах или рабочих станциях, заражение их вирусами, а также обнаружение других вредоносных программ – все это относится к значимым нарушениям безопасности информации и должны быть проанализированы посредством проведения служебного расследования.
- Служебное расследование проводится комиссией, назначаемой постановлением Руководителя Комитета. В состав комиссии в обязательном порядке включается администратор ИСПДн, ответственный за обеспечение безопасности ПДн в ИСПДн, непосредственный руководитель работника, допустившего факт компрометации. При необходимости в состав комиссии могут включаться другие сотрудники.
- Результаты работы комиссии оформляются актом. Акт подлежит утверждению Руководителем Комитета.
- В процессе работы комиссии обязательными для установления являются:
- дата и время заражения (обнаружения заражения);
- ФИО, должность и подразделение сотрудника, техническое средство которого заражено вирусной программой;
- уровень критичности заражения;
- обстоятельства, способствовавшие заражению;
- информационные ресурсы, затронутые заражением;
- характер и размер реального и потенциального ущерба.
- В ходе своей работы комиссия может запрашивать объяснительные записки от работников, подозреваемых в виновности заражения (путем письменного запроса их непосредственным руководителям). Объяснительная записка должна быть представлена комиссии в течение 3 (трех) рабочих дней с момента поступления запроса. В случае отказа предоставить объяснительную записку, данный факт отражается в акте.
- Уничтожение материалов расследования фактов заражения осуществляется в соответствии с установленными требованиями по делопроизводству и номенклатурой дел.
- Ответственность
- Пользователи и Ответственный за обеспечение безопасности ПДн в ИСПДн несут ответственность за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных действующим законодательством Российской Федерации. За несоблюдение требований законодательства Российской Федерации предусмотрена гражданская, уголовная, административная, дисциплинарная ответственность.
- Срок действия и порядок внесения изменений
- Настоящая Инструкция вступает в силу с момента его утверждения и действует бессрочно.
- Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящую Инструкцию вносятся приказом Руководителя Комитета.
Управляющий делами
Исполнительного комитета Г.А. Юсупова
Приложение №4
к постановлению Исполнительного комитета Алексеевского муниципального района Республики Татарстан
от _23.07.2020___ № _287__
ИНСТРУКЦИЯ
по организации резервирования и восстановления
работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации
в информационных системах персональных данных
Исполнительного комитета Алексеевского муниципального района Республики Татарстан
- Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Пользователь информационной системы персональных данных – работник, осуществляющий обработку персональных данных в информационной системе персональных данных;
Средство антивирусной защиты – программное средство, реализующее функции обнаружения компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирования на обнаружение этих программ и информации;
Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Общие положения
- Настоящая Инструкция по организации резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Инструкция) устанавливает основные требования к организации резервного копирования (восстановления) программ и данных, хранящихся в базах данных информационных систем персональных данных (далее – ИСПДн) Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Комитет), а также к резервированию аппаратных средств.
- Настоящая Инструкция разработана с целью:
- определения категории информации, подлежащей обязательному резервному копированию;
- определения процедуры резервирования данных для последующего восстановления работоспособности ИСПДн при полной или частичной потере информации, вызванной сбоями или отказами аппаратного или программного обеспечения, ошибками пользователей, чрезвычайными обстоятельствами (пожаром, стихийными бедствиями и т.д.);
- определения порядка восстановления информации в случае возникновения такой необходимости;
- упорядочения работы и определения ответственности должностных лиц, связанной с резервным копированием и восстановлением информации.
- Действие настоящей Инструкции распространяется на всех пользователей ИСПДн Комитета, а также основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:
- системы жизнеобеспечения технических средств;
- системы обеспечения отказоустойчивости;
- системы резервного копирования и хранения данных;
- Под резервным копированием информации понимается создание избыточных копий защищаемой информации в электронном виде для быстрого восстановления работоспособности ИСПДн в случае возникновения аварийной ситуации, повлекшей за собой повреждение или утрату данных.
- Резервному копированию подлежит информация следующих основных категорий:
- информация, обрабатываемая пользователями в ИСПДн, а также информация, необходимая для восстановления работоспособности ИСПДн, в т.ч. систем управления базами данных (далее – СУБД) общего пользования и справочно-информационных систем общего использования;
- рабочие копии установочных компонентов программного обеспечения общего назначения и специализированного программного обеспечения серверов и рабочих станций;
- информация, необходимая для восстановления серверов и систем управления базами данных ИСПДн, локальной вычислительной сети, системы электронного документооборота;
- регистрационная информация систем защиты информации;
- другая информация ИСПДн, по мнению пользователей, администраторов ИСПДн и ответственного за обеспечение безопасности персональных данных (далее – ПДн) в ИСПДн, являющаяся критичной для работоспособности ИСПДн.
- Настоящая Инструкция является дополнением к действующим локальным нормативным актам (внутренним документам) по вопросам обеспечения безопасности сведений конфиденциального характера, в том числе и ПДн, и не исключает обязательного выполнения их требований.
- Общие требования к резервному копированию
- В Инструкции резервного копирования описываются действия при выполнении следующих мероприятий:
- резервное копирование с указанием конкретных резервируемых данных и аппаратных средств (в случае необходимости);
- контроль резервного копирования;
- хранение резервных копий;
- полное или частичное восстановление данных.
- Архивное копирование резервируемой информации производится при помощи специализированных программно-аппаратных систем резервного копирования. Система резервного копирования должна обеспечить производительность, достаточную для сохранения информации, указанной в п. 2.5, в установленные сроки и с заданной периодичностью.
- Требования к техническому обеспечению систем резервного копирования:
- комплекс взаимосвязанных технических средств на единой технологической платформе, обеспечивающих процессы сбора, передачи, обработки и хранения информации;
- имеет возможность расширения (замены) состава технических средств, входящих в комплекс, для улучшения их эксплуатационно-технических характеристик по мере возрастания объемов обрабатываемой информации;
- обеспечивает выполнение функций, перечисленных в п. 3.1.
- Требования к программному обеспечению систем резервного копирования:
- лицензионное системное программное обеспечение и программное обеспечение резервного копирования;
- программное обеспечение резервного копирования обеспечивает простоту процесса инсталляции, конфигурирования и сопровождения.
- Хранение отдельных магнитных носителей архивных копий организуется в отдельном хранилище. Физический доступ к архивным копиям строго ограничен.
- Доступ к носителям архивных копий имеют только уполномоченные сотрудники, которые несут персональную ответственность за сохранность архивных копий и невозможность ознакомления с ними лиц, не имеющих на то полномочий.
- Уничтожение отделяемых магнитных носителей архивных копий производится установленным порядком в случае прихода их в негодность или замены типа носителя с обязательным составлением акта об уничтожении.
- Ответственность за состояние резервного копирования
- Ответственность за контроль над своевременным осуществлением резервного копирования и соблюдением соответствующей Инструкции, а также за выполнением требований по хранению архивных копий и предотвращению несанкционированного доступа к ним возлагается на ответственного за обеспечение безопасности ПДн в ИСПДн и администраторов ИСПДн.
- В случае обнаружения попыток несанкционированного доступа к носителям архивной информации, а также иных нарушениях информационной безопасности, произошедших в процессе резервного копирования, сообщается ответственному за обеспечение безопасности ПДн в ИСПДн в течение рабочего дня после обнаружения указанного события.
- Периодичность резервного копирования
- Резервное копирование специализированного программного обеспечения производится при его получении (если это предусмотрено инструкцией по его применению и не противоречит условиям его распространения), а также при его обновлении и получении исправленных и обновленных версий.
- Резервное копирование открытой информации делается не позднее чем через сутки после ее изменения, но не реже одного раза в месяц.
- Информация, содержащаяся в постоянно изменяемых базах данных, сохраняется в соответствии со следующим графиком:
- ежедневно проводится копирование измененной и дополненной информации (носители с ежедневной информацией должны храниться в течение недели);
- еженедельно проводится резервное копирование всей базы данных (носители с еженедельными копиями хранятся в течение месяца);
- ежемесячно производится резервное копирование на специально выделенный носитель длительного хранения, информация на котором хранится постоянно.
- Не реже одного раза в год на носители длительного хранения записывается информация, не относящаяся к постоянно изменяемым базам данных (приказы, распоряжения, открытые издания и т.д.).
- Восстановление информации из резервных копий
- В случае необходимости, восстановление данных из резервных копий производится ответственными сотрудниками.
- Восстановление данных из резервных копий происходит в случае ее исчезновения или нарушения вследствие несанкционированного доступа в систему, воздействия вирусов, программных ошибок, ошибок работников и аппаратных сбоев.
- Восстановление системного программного обеспечения и программного обеспечения общего назначения производится с их носителей в соответствии с инструкциями производителя.
- Восстановление специализированного программного обеспечения производится с дистрибутивных носителей или их резервных копий в соответствии с инструкциями по установке или восстановлению данного программного обеспечения.
- Восстановление информации, не относящейся к постоянно изменяемым базам данных, производится с резервных носителей. При этом используется последняя копия информации.
- При частичном нарушении или исчезновении записей баз данных восстановление производится с последней ненарушенной ежедневной копии. Полностью информация восстанавливается с последней еженедельной копии, которая затем дополняется ежедневными частичными резервными копиями.
- Срок действия и порядок внесения изменений
- Настоящая Инструкция вступает в силу с момента его утверждения и действует бессрочно.
- Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящую Инструкцию вносятся приказом Руководителя Комитета.
Управляющий делами
Исполнительного комитета Г.А. Юсупова
Приложение № 5
к постановлению Исполнительного комитета Алексеевского муниципального района Республики Татарстан
от _23.07.2020___ № _287__
ИНСТРУКЦИЯ
по обращению со съемными машинными носителями
персональных данных в Исполнительном комитете
Алексеевского муниципального района Республики Татарстан
- Термины и определения
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Съемный машинный носитель персональных данных – сменный носитель персональных данных, предназначенный для записи и считывания персональных данных, представленных в стандартных кодах;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Общие положения
- Настоящая Инструкция по обращению со съемными машинными носителями персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан (далее – Инструкция), разработана в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
- Настоящая Инструкция регламентирует порядок учета, хранения и регистрации выдачи съемных машинных носителей персональных данных (далее – СМНПДн).
- Под СМНПДн в настоящей Инструкции понимаются следующие носители информации:
- оптические диски (CD, DVD) однократной и многократной записи;
- электронные накопители информации (флэш-память, съемные жесткие диски);
- иные носители информации.
- Требования настоящей Инструкции являются обязательными для исполнения всеми работниками Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Комитет), использующими в своей работе СМНПДн.
- Все работники Комитета, использующие СМНПДн, должны быть ознакомлены с требованиями настоящей Инструкцией под подпись.
- Настоящая Инструкция является дополнением к действующим локальным нормативным актам (внутренним документам) по вопросам обеспечения безопасности сведений конфиденциального характера, в том числе и ПДн, и не исключает обязательного выполнения их требований.
- Правила обращения со съемными машинными носителями персональных данных
- Обращение со СМНПДн должно осуществляется таким образом, чтобы исключались их утрата, порча и несанкционированный доступ к ним посторонних лиц.
- При обращении со СМНПДн, выполняются следующие основные правила:
- СМНПДн учитываются и выдаются под подпись;
- СМНПДн, срок эксплуатации которых истек, уничтожаются в установленном порядке;
- для выноса СМНПДн за пределы контролируемой зоны, запрашивается специальное разрешение у ответственного за обеспечение безопасности ПДн в ИСПДн (далее – Ответственный), а факт выноса фиксируется;
- право на перемещение СМНПДн за пределы контролируемой зоны, имеют только те лица, которым оно необходимо для выполнения своих должностных обязанностей (функции);
- все СМНПДн должны хранится в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособленными для опечатывания замочных скважин или кодовыми замками;
- допускается хранение СМНПДн вне сейфов (металлических шкафов) при условиях уничтожения (стирания) ПДн и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов) с использованием средств стирания данных и остаточной информации, либо если на съемном машинном носителе ПДн хранятся только ПДн в зашифрованном виде с использованием средств криптографической защиты информации.
- СМНПДн должен использоваться, не более срока эксплуатации, установленного изготовителем материального носителя.
- Порядок хранения и учета съемных машинных носителей персональных данных
- СМНПДн, должны иметь специальную маркировку. Тип маркировки выбирается Ответственным.
- Все находящиеся на хранении и в обращении СМНПДн учитываются Ответственным в «Журнале учета съемных машинных носителей персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан», форма которого установлена в Приложении 1 к настоящей Инструкции.
- В нерабочее время и время отсутствия необходимости использования ПДн СМНПДн должны храниться в хранилищах СМНПДн.
- Перечень хранилищ определяется в «Журнале учета хранилищ носителей персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан».
- Пользователи для выполнения работ получают СМНПДн у Ответственного. При получении делаются соответствующие записи в «Журнале учета съемных машинных носителей персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан».
- Порядок уничтожения съемных машинных носителей персональных данных
- Уничтожение ПДн производится только в следующих случаях:
- обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно;
- в случае достижения цели обработки ПДн;
- в случае отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн.
- СМНПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.
- Уничтожение СМНПДн осуществляется комиссией по уничтожению, назначенной приказом Руководителя Комитета.
- При уничтожении СМНПДн необходимо:
- убедиться в необходимости уничтожения СМНПДн;
- убедиться в том, что уничтожаются только та информация, которая предназначена для уничтожения;
- уничтожить СМНПДн подходящим способом, в соответствии с настоящей Инструкцией или способом, указанным в соответствующем требовании или распорядительном документе.
- При уничтожении СМНПДн применяются следующие способы:
- измельчение в бумагорезательной (бумагоуничтожительной) машине – для документов, исполненных на бумаге;
- тщательное вымарывание (с проверкой тщательности вымарывания) информации, подлежащей уничтожению – для сохранения возможности обработки иных данных, зафиксированных в документе;
- измельчение в специальной мультирезательной (мультиуничтожительной) машине или физическое уничтожение (разрушение) носителей информации – для СМНПДн на оптических дисках;
- физическое уничтожение частей СМНПДн – разрушение или сильная деформация – для носителей информации на жестком магнитном диске (уничтожению подлежат внутренние диски и микросхемы); SSD-дисках, USB- и Flash-носителях (уничтожению подлежат модули и микросхемы долговременной памяти);
- стирание с помощью сертифицированных средств уничтожения информации – для записей в базах данных и отдельных документов на машинном носителе.
- По результатам уничтожения СМНПДн комиссией составляется «Акт уничтожения съемных машинных носителей персональных данных», форма которого установлена в Приложении 2 к настоящей Инструкции.
- Ответственность
- Ответственным за хранение, учет и выдачу СМНПДн, является Ответственный.
- Все работники Комитета, использующие СМНПДн и Ответственный несут ответственность за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных действующим законодательством Российской Федерации. За несоблюдение требований законодательства Российской Федерации предусмотрена гражданская, уголовная, административная, дисциплинарная ответственность.
- Срок действия и порядок внесения изменений
- Настоящая Инструкция вступает в силу с момента его утверждения и действует бессрочно.
- Настоящая Инструкция подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящую Инструкцию вносятся приказом Руководителя Комитета.
Управляющий делами
Исполнительного комитета Г.А. Юсупова
с постановлением Исполнительного комитета Алексеевского муниципального района Республики Татарстан от «___» ____________ 2020 г. № ______