Приложение 13. Инструкция администраторов автоматизированной системы администрации муниципального образования города Михайловска Шпаковского района Ставропольского края. Постановление администрации муниципального образования города Михайловска Шпаковского района Ставропольского края от 16.03.2015 N 338 "О защите персональных данных в администрации муниципального образования города Михайловска Шпаковского района Ставропольского края"

Приложение 13

к постановлению

администрации муниципального

образования города Михайловска

Шпаковского района

Ставропольского края

от 16 марта 2015 г. N 338

Инструкция
администраторов автоматизированной системы администрации муниципального образования города Михайловска Шпаковского района Ставропольского края

ГАРАНТ:

Нумерация раздела приводится в соответствии с источником

1.1. Настоящая инструкция определяет общие функции, права и обязанности администраторов автоматизированной системы администрации муниципального образования города Михайловска Шпаковского района Ставропольского края (далее - администрация), в соответствии с утверждаемым постановлением администрации перечнем должностей муниципальных служащих в администрации муниципального образования города Михайловска Шпаковского района Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных администрации муниципального образования города Михайловска Шпаковского района Ставропольского края (далее - администраторы АС), по вопросам обеспечения информационной безопасности при подготовке и обработке персональных данных в информационных системах персональных данных администрации, входящих в состав автоматизированных рабочих мест администрации (далее соответственно - АРМ, ИСПДн).

1.2. Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

1.3. Администраторы АС обеспечивают правильное использование и функционирование автоматизированной системы администрации, а также установленных средств защиты информации от несанкционированного доступа и средств криптографической защиты информации (далее соответственно - СЗИ, НСД, СКЗИ).

1.4. Администраторы АС имеют все права доступа ко всем ИСПДн администрации.

1.5. Администраторы АС в своей деятельности руководствуются Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", постановлением Правительства Российской Федерации от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", руководящими и нормативными документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федеральной службы безопасности Российской Федерации (ФСБ России), правовыми актами администрации в области защиты персональных данных, эксплуатационной документацией на установленные СЗИ от НСД.

2. Основные функции администратора АС

2.1. Основными функциями администраторов АС являются:

1) поддержание необходимого уровня безопасности ИСПДн администрации;

2) контроль за выполнением требований нормативных правовых актов Российской Федерации по защите персональных данных, при проведении работ на АРМ и обработке персональных данных в ИСПДн;

3) обеспечение руководства над функционированием системы парольной защиты автоматизированной системы администрации;

4) выдача пользователям персонального логина и пароля для доступа к АРМ;

5) учет и выдача пользователям индивидуальных электронных идентификаторов (RU-Token и так далее);

6) работа с учетными записями пользователей (удаление, регистрация новых пользователей), их правильная настройка и разграничение прав доступа пользователей к защищаемым ресурсам ИСПДн согласно разрешительной системе доступа;

7) контроль доступа пользователей к работе на АРМ и в ИСПДн, в соответствии с перечнем должностей муниципальной службы в администрации, замещение которых дает право обработки персональных данных либо доступа к персональным данным с использованием автоматизированной обработки персональных данных, утверждаемым постановлением администрации;

8) просмотр системного журнала СЗИ от НСД;

9) контроль за работоспособностью СКЗИ;

10) своевременная корректировка разрешительной системы доступа:

изменение списка постоянных пользователей (ввод или удаление пользователя из ИСПДн);

изменение прав доступа к защищаемым программным ресурсам или портам ввода-вывода ИСПДн;

настройка и сопровождение подсистемы регистрации и учета действий пользователей при работе на АРМ, в том числе и в части периодического контроля за печатью файлов пользователей на принтере и соблюдением установленных правил и параметров регистрации и учета документов, бумажных и машинных носителей информации персональных данных;

11) реализация политики в части настройки средств криптографической защиты информации, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь получает возможность работать с элементами ИСПДн;

12) контроль за отсутствием на машинных носителях персональных данных остаточной информации по окончании работы пользователей;

13) осуществление контроля за регистрацией и порядком работы пользователей с машинными носителями информации, поступающими из сторонних организаций;

14) поддержание установленного порядка и правил антивирусной защиты информации, обрабатываемой на АРМ и серверах;

15) контроль за соблюдением пользователями инструкции по организации антивирусного контроля в администрации;

16) контроль за вскрытием и ремонтом (модернизацией) АРМ, недопущением доступа посторонних лиц к информации, содержащей персональные данные во время вскрытия, ремонта, модернизации АРМ или устройств, входящих в состав АРМ, опечатыванием АРМ (устройств), с последующим составлением акта вскрытия АРМ, по форме приложения 1 к настоящей Инструкции;

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

18) контроль срока действия сертификатов соответствия ФСТЭК России на СЗИ от НСД, установленных на АРМ;

19) контроль за реализацией требований по обеспечению безопасности информации при использовании паролей и их своевременную смену в АРМ и ИСПДн;

20) проведение проверки целостности носителей с использованием стандартных средств операционной системы, установленных на АРМ;

21) ведение журналов администрации:

поэкземплярного учета средств защиты информации (СЗИ) по форме приложения 3 к настоящей Инструкции;

поэкземплярного учета средств криптографической защиты информации (СКЗИ) по форме приложения 4 к настоящей Инструкции.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Слова "по форме приложения 4 к настоящей Инструкции" следует читать: "по форме приложения 2 к настоящей Инструкции"

3. Права администраторов АС

3.1. Администраторы АС имеют право:

1) требовать от пользователей соблюдения установленной технологии обработки информации и исполнения настоящей Инструкции;

2) участвовать в анализе ситуаций, касающихся функционирования средств защиты информации, и расследованиях фактов (попыток) НСД;

3) требовать от пользователей прекращения обработки информации в ИСПДн в случае:

нарушения установленного порядка работ;

нарушения работоспособности средств и систем защиты информации или окончания срока действия сертификатов соответствия ФСБ России или ФСТЭК России;

получения информации о возможном проведении технической разведки в отношении ИСПДн.

4. Обязанности администраторов АС

4.1. Администраторы АС обязаны:

1) знать и выполнять требования нормативных правовых актов Российской Федерации, а также правовых актов администрации в области защиты персональных данных;

2) обеспечивать доступ пользователей к ресурсам ИСПДн в строгом соответствии с постановлением администрации;

3) обеспечивать установку, настройку и своевременное обновление:

ИСПДн;

программного обеспечения АРМ и серверов (операционные системы, прикладное и специальное программное обеспечение);

программно-аппаратных СЗИ от НСД;

СЗИ от НСД и средств криптографической защиты информации;

4) обеспечивать работоспособность ИСПДн;

5) обеспечивать работоспособность локальной вычислительной сети администрации;

6) обеспечивать правильное функционирование и поддерживать работоспособность СЗИ от НСД в пределах, возложенных на него функций;

7) принимать меры в случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;

8) осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных документов;

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

10) обеспечить установку программных средств системы антивирусной защиты ИСПДн с последующей проверкой их работоспособности;

11) обеспечить сопровождение, включающее регулярное обновление программных средств системы антивирусной защиты. При возникновении нештатных ситуаций организовать оперативное восстановление системы защиты антивирусной защиты ИСПДн;

12) осуществлять контроль за обновлением антивирусных баз на АРМ;

13) регистрировать и анализировать факты, связанные с обнаружением вредоносных программ в ИСПДн;

14) при выявлении действий вредоносных программ приостановить доступ пользователей к ресурсам ИСПДн до устранения последствий;

15) проводить периодический контроль принятых мер по защиты, в пределах, возложенных на него функций;

16) хранить, осуществлять прием и выдачу персональных паролей пользователей;

17) обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации;

18) информировать ответственного за организацию обработки персональных данных о фактах и попытках НСД к ИСПДн, о неправомерных действиях пользователей ИСПДн или иных лиц, приводящих к нарушению требований по защите информации, а также об иных нарушениях требований информационной безопасности ИСПДн;

19) обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации;

20) присутствовать при выполнении технического обслуживания элементов ИСПДн, сторонними физическими и юридическими лицами;

21) принимать меры по реагированию, в случае возникновения нештатных и аварийных ситуаций, с целью ликвидации их последствий;

22) проводить инструктаж пользователей по правилам работы на АРМ, с установленной СЗИ от НСД;

23) вносить изменения в документацию ИСПДн в соответствии с требованиями нормативных документов в части, касающейся СЗИ от НСД;

24) проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учет и принимать меры к их устранению;

25) контролировать целостность (неизменность, сохранность) программного обеспечения, разрешительной системы доступа, а при обнаружении фактов изменения проверяемых параметров немедленно докладывать ответственному за организацию обработки и защиту персональных данных;

26) обеспечивать своевременную корректировку полномочий сотрудников администрации в разрешительную систему доступа;

27) требовать от пользователей прекращения обработки информации в ИСПДн при появлении информации о возможном проведении технической разведки в отношении ИСПДн;

28) блокировать учетные записи пользователей на АРМ в случае окончания срока действия сертификата соответствия ФСТЭК России, ФСБ России на любое СЗИ, из используемых в ИСПДн, до момента его продления. В случае непродления сертификата соответствия ФСТЭК России на СЗИ поставить в известность орган по аттестации, проводивший аттестацию ИСПДн, для принятия совместного решения.

5. Ответственность

5.1. Администраторы АС несут дисциплинарную ответственность за неисполнение (ненадлежащее исполнение) своих обязанностей, указанных в пункте 4 настоящей Инструкции.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Слова "указанных в пункте 4 настоящей Инструкции" следует читать: "указанных в разделе 4 настоящей Инструкции"

5.2. Администраторы АС виновные в несоблюдении требований настоящей Инструкции, несут гражданско-правовую, уголовную, дисциплинарную и иную ответственность в порядке, предусмотренном законодательством Российской Федерации.