Приложение 6. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных министерства финансов Ставропольского края. Приказ Министерства финансов Ставропольского края от 23.12.2010 N 191 "Об обработке и обеспечении безопасности персональных данных в информационных системах персональных данных министерства финансов Ставропольского края" (с изменениями и дополнениями)

Приложение 6

к приказу

министерства финансов

Ставропольского края

от 23 декабря 2010 г. N 191

Инструкция
по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных министерства финансов Ставропольского края

1. Общие положения

1.1. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных министерства финансов Ставропольского края (далее - Инструкция) включает в себя описание взаимоувязанного комплекса организационно-технических мер по проведению работ по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационной системы персональных данных (далее - ИСПДн).

1.2. Требования настоящей Инструкции распространяются на всех должностных лиц и сотрудников министерства финансов Ставропольского края (далее - министерство), использующих в работе ИСПДн (далее - пользователи ИСПДн).

1.3. Пользователи ИСПДн знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.

1.4. Ознакомление с требованиями Инструкции пользователей ИСПДн осуществляет администратор информационной безопасности ИСПДн (далее - администратор) под роспись в листе ознакомления с инструкцией по установке, модификации и техническому обслуживанию программного и аппаратных средств систем персональных данных министерства по форме согласно приложению 1 с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.

1.5. В случае невозможности исполнения требований Инструкции в полном объеме при возникновении нештатных ситуаций, порядок установки, модификации и технического обслуживания программного обеспечения и аппаратных средств систем персональных данных министерства определяется администратором по согласованию с начальником отдела информатизации министерства.

В целях настоящей Инструкции под нештатными ситуациями, возникающими в процессе установки, модификации и технического обслуживания программного обеспечения и аппаратных средств систем персональных данных следует понимать следующие: отказ, сбой, ошибка в работе технических средств, форс-мажорные обстоятельства.

2. Порядок проведения работ

2.1. Все изменения конфигурации технических и программных средств автоматизированных рабочих мест ИСПДн (далее - рабочих станций) министерства должны производиться в соответствии с действующим законодательством.

2.2. Все изменения конфигурации технических и программных средств серверов, входящих в состав ИСПДн министерства, должны производиться только по согласованию с начальником отдела информатизации министерства.

2.3. Все изменения конфигурации технических и программных средств рабочих станций и серверов (далее - объекты информатизации), входящих в состав ИСПДн министерства, отражаются в Техническом паспорте объекта информатизации согласно приложению 2. Запрещается изменение состава, в том числе ввод новых программных средств, осуществляющих обработку персональных данных (далее - ПДн) на объектах информатизации, аттестованных по требованиям безопасности информации.

2.4. Право внесения изменений в конфигурацию аппаратно-программных средств рабочих станций ИСПДн министерства предоставляется администратору.

2.5. Изменение конфигурации аппаратно-программных средств рабочих станций и серверов кем-либо, кроме администратора, запрещено.

2.6. Установка и настройка программного средства осуществляется администратором согласно эксплуатационной документации.

2.7. Запрещается установка и использование на персональных электронных вычислительных машинах (далее - ПЭВМ) (серверах) программного обеспечения (далее - ПО), не связанного с выполнением должностных обязанностей.

2.8. Установка (обновление) ПО (системного, тестового и т.п.) на рабочих станциях и серверах производится с эталонных копий программных средств, хранящихся у администратора. Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также отсутствие вредоносного программного кода в соответствии с Инструкцией по организации антивирусной защиты информационных систем персональных данных министерства.

2.9. После установки (обновления) ПО администратор должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства) в соответствии с требованиями разработчика ПО и совместно с пользователем ПЭВМ проверить правильность настройки средств защиты.

2.10. В случае обнаружения недекларированных (не описанных в документации) возможностей программного средства, пользователи ИСПДн немедленно докладывают начальнику своего подразделения и администратору. Использование программного средства до получения специальных указаний запрещается.

2.11. После завершения работ по внесению изменений в состав аппаратных средств защищенных ПЭВМ системный блок должен быть опечатан (опломбирован, защищен специальной наклейкой) администратором.

2.12. При изъятии ПЭВМ из состава рабочих станций, обрабатывающих ПДн, ее передача на склад, в ремонт или в другое подразделение для решения иных задач, осуществляется только после того, как администратор снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания (уничтожения) защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом затирания информации по форме согласно приложению 3 за подписью администратора.

2.13. Допуск новых пользователей к решению задач с использованием вновь развернутого ПО (либо изменение их полномочий доступа) осуществляется согласно Инструкции по наделению пользователей информационных систем персональных данных уникальными учетными записями и правами доступа к ресурсам информационных систем персональных данных министерства.

2.14. Оригиналы заявок (документов), на основании которых производились изменения в составе технических или программных средств ПЭВМ с отметками о внесении изменений в состав аппаратно-программных средств, хранятся у администратора.

3. Ответственные за организацию и контроль выполнения инструкции

3.1. Ответственность за соблюдение требований Инструкции возлагается на пользователей ИСПДн и администратора министерства.

3.2. Ответственность за организацию контрольных и проверочных мероприятий по вопросам установки, модификации технических и программных средств возлагается на администратора.

3.3. Ответственность за общий контроль информационной безопасности возлагается на ответственного за защиту информации и персональных данных министерства.