Приложение N 3. Инструкция администратора информационной безопасности в департаменте финансов Администрации города Салехарда. Приказ департамента финансов администрации г. Салехард Ямало-Ненецкого автономного округа от 11.01.2017 N 4 "Об утверждении инструкций по защите персональных данных в департаменте финансов Администрации города Салехарда"

Приложение N 3
к приказу
департамента финансов
администрации г. Салехард
от 11 января 2017 г. N 4

Инструкция
администратора информационной безопасности в департаменте финансов Администрации города Салехарда

Термины и определения

Автоматизированное рабочее место (АРМ) - это комплекс средств вычислительной техники и программного обеспечения, располагающийся непосредственно на рабочем месте работника и предназначенный для автоматизации его работы.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Администратор информационной безопасности - лицо, ответственное за защиту автоматизированных рабочих мест от несанкционированного доступа к информации.

Пользователь информационной системы персональных данных (ИСПДн) - лицо, назначаемое оператором для непосредственной обработки персональных данных в объеме служебной деятельности с использованием информационной системы персональных данных, а также результатов ее функционирования.

Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами.

Доступ к информации - возможность получения информации и ее использования.

Несанкционированный доступ (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, представляемых АРМ.

1. Общие положения

1.1. Настоящий документ разработан в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также другими нормативными правовыми актами по защите информации, и определяет порядок обеспечения безопасности информации при проведении работ администратором информационной безопасности (далее - АБ) в информационных системах персональных данных (далее - ИСПДн) департамента финансов Администрации города Салехарда (далее - Департамент финансов).

1.2. АБ назначается приказом Департамента финансов и получает неограниченные права на доступ к ресурсам ИСПДн.

1.3. АБ осуществляет общее руководство и контроль за обеспечением безопасности информации при работе пользователей ИСПДн (далее - пользователей) и обслуживающего персонала.

1.4. АБ осуществляет методическое руководство по информационной безопасности объектов информатизации.

2. Обязанности администратора информационной безопасности

АБ обязан:

2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций и приказов, регламентирующих порядок действий по защите информации.

2.2. Осуществлять учёт съёмных машинных носителей информации, их уничтожение, либо контроль процедуры их уничтожения.

2.3. Немедленно реагировать на сообщения пользователей о любых неисправностях в работе АРМ, СЗИ, системного и прикладного программного обеспечения (далее - ПО) ИСПДн.

2.4. Немедленно ставить в известность ответственного за обеспечение безопасности персональных данных обо всех неисправностях аппаратно-программных средств ИСПДн.

2.5. Присутствовать при выполнении технического обслуживания элементов ИСПДн сторонними специалистами в Департаменте финансов.

2.6. Осуществлять заведение и удаление учётных записей пользователей, управлять их полномочиями и поддержанием правил разграничения доступа в ИСПДн.

2.7. Управлять СЗИ в ИСПДн, в том числе параметрами настройки программного обеспечения, включая программное обеспечение СЗИ, управлением учётными записями пользователей, восстановление работоспособности СЗИ, генерацию, смену и восстановление паролей.

2.8. В случае отказа технических средств или программного обеспечения элементов ИСПДн, в том числе СЗИ, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

2.9. По указанию ответственного за обеспечение безопасности персональных данных, осуществлять разбирательства и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, нарушения правил работы с техническими и программными средствами ИСПДн, в том числе СЗИ, или по другим нарушениям, которые могут привести к снижению уровня защищенности персональных данных.

2.10. Осуществлять изменениями аутентификационной информации (средств аутентификации), заданной их производителями и (или) используемой при внедрении системы защиты информации ИСПДн.

2.11. Осуществлять установку обновлений программного обеспечения, включая программное обеспечение СЗИ, выпускаемых разработчиками (производителями) СЗИ или по их поручению.

2.12. Осуществлять регистрацию и анализ событий в ИСПДн, связанных с защитой информации.

2.13. Осуществлять информирование пользователей ИСПДн об угрозах безопасности информации, о правилах эксплуатации системы защиты информации ИСПДн и отдельных СЗИ, а также их обучение.

2.14. Осуществлять сопровождение функционирования системы защиты информации ИСПДн в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее и организационно-распорядительных документов по защите информации.

2.15. Осуществлять обнаружение и идентификацию инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и СЗИ, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов.

2.16. Осуществлять своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в ИСПДн.

2.17. Осуществлять анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий.

2.18. Осуществлять планирование и принятие мер по устранению инцидентов, в том числе по восстановлению ИСПДн и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов.

2.19. Осуществлять планирование и принятие мер по предотвращению повторного возникновения инцидентов.

2.20. Осуществлять анализ и оценку функционирования системы защиты информации ИСПДн, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации ИСПДн.

2.21. Осуществлять проверку состава технических средств, программного обеспечения и СЗИ.

2.22. Осуществлять контроль целостности печатей (пломб, наклеек) технических средств, используемых для обработки персональных данных.

2.23. Осуществлять еженедельное отслеживание появления новых видов уязвимостей ПО ИСПДн. По необходимости АБ производит устранение уязвимостей согласно рекомендациям разработчика.

2.24. Осуществлять периодический анализ изменения угроз безопасности информации в ИСПДн, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации.

2.25. Осуществлять контроль за событиями безопасности и действиями пользователей в ИСПДн. В частности, АБ обязан осуществлять постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации.

2.26. Осуществлять контроль (анализ) защищенности информации, содержащейся в ИСПДн.

2.27. Осуществлять документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИСПДн.

2.28. Осуществлять принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности информации о доработке (модернизации) системы защиты информации ИСПДн, повторной аттестации ИСПДн или проведении дополнительных аттестационных испытаний.

3. Права администратора информационной безопасности

АБ имеет право:

3.1. Инициировать прекращение обработки персональных данных, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты.

3.2. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности, несоблюдения условий хранения носителей персональных данных, нарушения правил работы с документами, содержащими персональные данные, несанкционированного доступа, утраты, порчи защищаемых носителей персональных данных и технических средств из состава информационных систем или по другим нарушениям, которые могут привести к снижению уровня защищенности персональных данных.

3.3. Проводить внеплановые проверки работоспособности СЗИ и соблюдения пользователями технологии обработки персональных данных.

3.4. Подавать свои предложения по совершенствованию мер защиты персональных данных в ИСПДн, разработке и принятии мер по предотвращению возможных опасных последствий нарушений, приводящих к снижению уровня защищенности персональных данных.

4. Доступ к ресурсам информационной системы персональных данных

4.1. Обязательными условиями получения доступа к ресурсам ИСПДн АБ являются:

- право доступа в помещение;

- наличие допуска к персональным данным;

- право доступа к ИСПДн;

- знание технологии обработки информации в ИСПДн с учётом требований информационной безопасности.

4.2. Идентификация АБ в ИСПДн осуществляется по уникальному имени и персональному идентификатору (при его наличии).

4.3. Длина пароля АБ - не менее 6 буквенно-цифровых символов.

4.4. Уникальное имя, персональный идентификатор (при его наличии) и пароль АБ получает в установленном порядке. АБ обязан их помнить и не допускать раскрытия, не допускается запись на каких-либо носителях в целях напоминания. Во время ввода пароля на клавиатуре должна быть исключена возможность его просмотра другими лицами. Не допускается оставление без присмотра и передача другим лицам персонального идентификатора (при его наличии).

4.5. При утере или подозрении на утечку своего имени, пароля или персонального идентификатора АБ должен немедленно изменить свои идентификационные данные и проконтролировать возможные изменения в настройках СЗИ.

4.6. Регистрация пользователя осуществляется АБ в соответствии с "Инструкцией по организации парольной защиты информационных систем персональных данных в департаменте финансов Администрации города Салехарда" и состоит в определении имени регистрируемого пользователя, присвоении ему персонального идентификатора (при его наличии) и назначении пароля.

4.7. При заведении новой учётной записи, АБ должен проверить личность пользователя и его должностные обязанности.

4.8. Предоставление пользователям прав доступа к объектам доступа ИСПДн должно осуществляться на основании задач, решаемых пользователями.

4.9. АБ не имеет права требовать у пользователей раскрытия их паролей, а также передачи ему персональных идентификаторов (при их наличии), кроме случая изменения идентификационных данных.

4.10. АБ имеет право требовать у пользователя изменения его пароля, но не имеет права самостоятельно изменять его пароль.

5. Порядок работы администратора безопасности информации с ресурсами информационной системы персональных данных

5.1. Проверка работоспособности и настройка системы доступа к ресурсам ИСПДн.

АБ присваивает пользователям идентификационные данные к ресурсам ИСПДн.

При этом должны выполняться следующие требования:

- АБ определяет политику изменения учётных данных пользователей и периодически контролирует ее соблюдение;

- АБ сообщает пользователю его уникальное имя и предоставляет возможность задать пароль, далее кодирует персональный идентификатор (при его наличии) пользователя;

- изменение учётных данных пользователя производится АБ по требованию ответственного за обработку персональных данных в структурном подразделении, а также периодически по утвержденному плану и в случае увольнения работника;

- АБ имеет право в целях тестирования уязвимости системы доступа (выявление простейших паролей) производить попытки взлома паролей пользователей, если попытка взлома была успешной, АБ обязан потребовать у пользователя изменение пароля.

5.2. Проверка работоспособности и настройка аппаратных и программных средств защиты информации (СЗИ).

АБ обязан перед началом работ включить и убедиться в работоспособности аппаратных СЗИ, в случае сбоя - работы прекратить.

В случае сбоя СЗИ, таких, как неправильная идентификация пользователей ИСПДн, АБ обязан приостановить обработку защищаемой информации до устранения неисправности. В случае производственной необходимости - отключить СЗИ и лично контролировать проведение работ пользователями.

5.3. Антивирусная защита ресурсов ИСПДн.

АБ разрабатывает и контролирует реализацию антивирусной политики, а именно:

- настраивает параметры антивирусной программы;

- контролирует работоспособность антивирусной программы;

- немедленно реагирует на сообщения пользователей ИСПДн о подозрительном поведении ПО, а также о появлении любых сообщений антивирусной программы и принимает соответствующие меры;

- имеет право на проведение внеплановой проверки на наличие вирусов;

- периодически (один раз в неделю) контролирует корректность процесса обновления антивирусных баз, а также исполняемых модулей антивирусной программы.

5.4. Хранение дистрибутивов программного обеспечения СЗИ.

АБ должен хранить дистрибутивы программного обеспечения СЗИ и прикладного программного обеспечения, установленного в ИСПДн Департамента финансов в месте, исключающем доступ посторонних лиц.

5.5. Проверка целостности системного и прикладного ПО.

Контролю целостности подлежат файлы ПО ИСПДн с расширениями: *.exe, *.com, *.dll, *.sys, *.vxd,*.drv.

5.6. Конфигурирование ИСПДн.

Конфигурационной единицей являются услуги, оборудование, программное обеспечение, здания, люди, документы и пр.

Управление изменениями и непосредственной реализация конфигурации осуществляет АБ.

В ходе управления конфигурацией аттестованной ИСПДн и ее системы защиты информации АБ обязан осуществлять:

- поддержание конфигурации ИСПДн и ее системы защиты информации (структуры системы защиты информации ИСПДн, состава, мест установки и параметров настройки СЗИ, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты информации (поддержание базовой конфигурации ИСПДн и ее системы защиты информации);

- управление изменениями базовой конфигурации ИСПДн и ее системы защиты информации, в том числе определение типов возможных изменений базовой конфигурации ИСПДн и ее системы защиты информации, санкционирование внесения изменений в базовую конфигурацию ИСПДн и ее системы защиты информации, документирование действий по внесению изменений в базовую конфигурацию ИСПДн и ее системы защиты информации, сохранение данных об изменениях базовой конфигурации ИСПДн и ее системы защиты информации, контроль действий по внесению изменений в базовую конфигурацию ИСПДн и ее системы защиты информации;

- анализ потенциального воздействия планируемых изменений в базовой конфигурации ИСПДн и ее системы защиты информации на обеспечение защиты информации, возникновение дополнительных угроз безопасности информации и работоспособность ИСПДн;

- определение параметров настройки программного обеспечения, включая программное обеспечение СЗИ, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию ИСПДн и ее системы защиты информации;

- внесение информации (данных) об изменениях в базовой конфигурации ИСПДн и ее системы защиты информации в документацию на систему защиты информации ИСПДн;

- принятие решения по результатам управления конфигурацией о повторной аттестации ИСПДн или проведении дополнительных аттестационных испытаний.

Обязанности по управлению изменениями в аппаратном и программном обеспечении и всех элементах документации, которые связаны с работой, поддержкой и сопровождением систем, находящихся в эксплуатации, возлагаются на АБ. При возникновении необходимости изменения конфигурации ИСПДн, аттестованной по требованиям безопасности информации, АБ согласовывает планируемые изменения с предприятием-лицензиатом, проводившим аттестационные испытания.

5.7. Вывод ресурсов ИСПДн из эксплуатации.

При невозможности ремонта различных ресурсов ИСПДн АБ обязан:

- физически уничтожать любые машинные носители, независимо от содержащейся на них информации; картриджи принтера, иные комплектующие могут быть использованы за пределами ИСПДн;

- факт выхода из строя и замены оборудования должен быть отражен в Техническом паспорте на ИСПДн.

5.8. Реагирование на сбои при регистрации событий безопасности.

Реагирование на сбои при регистрации событий безопасности осуществляется АБ путем изменения параметров сбора, записи и хранения информации о событиях безопасности в журналах СЗИ от НСД, в том числе отключение записи информации о событиях безопасности от части компонентов ИСПДн, запись поверх устаревших хранимых записей событий безопасности.

В случае выявления признаков инцидентов безопасности, АБ обязан:

- немедленно уведомить ответственного за организацию безопасности персональных данных Департамента финансов о данном факте;

- по возможности в максимально сжатые сроки установить причину возникновения инцидента и исключить возможность его повторения;

- восстановить работоспособность ИСПДн;

- по окончании работ по восстановлению работоспособности ИСПДн произвести запись в соответствующих журналах.

6. Действия при обнаружении попыток несанкционированного доступа

6.1. К попыткам несанкционированного доступа относятся:

- сеансы работы с ИСПДн незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, или срок действия полномочий которых истек, или превышающих свои полномочия по доступу к данным;

- действия постороннего лица, пытающегося получить доступ (или уже получившего доступ) к ИСПДн, при использовании учётной записи АБ или другого пользователя ИСПДн, методом подбора пароля, использования пароля, разглашенного владельцем учётной записи или любым другим методом.

6.2. При выявлении факта несанкционированного доступа АБ обязан:

- пресечь дальнейший несанкционированный доступ к ИСПДн;

- доложить ответственному за обеспечение безопасности персональных данных о факте несанкционированного доступа, его результате (успешный, неуспешный) и предпринятых действиях;

- известить ответственного за обработку персональных данных в структурном подразделении, в котором работает пользователь ИСПДн, от имени учётной записи которого была осуществлена попытка несанкционированного доступа, о факте несанкционированного доступа.

7. Ответственность

7.1. АБ несет персональную ответственность за:

- сохранность носителей информации и содержащейся на них информации в рабочее время;

- несоблюдение требований данной Инструкции и неправомерное использование ресурсов ИСПДн;

- СЗИ, применяемые в ИСПДн Департамента финансов;

- качество проводимых работ по обеспечению безопасности персональных данных и за все действия, совершенные от имени учётной записи АБ в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения несанкционированного использования учётной записи.

7.2. АБ при нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несет дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.