Приложение N 10. Инструкция по модификации технических и программных средств в информационных системах персональных данных департамента финансов Администрации города Салехарда. Приказ департамента финансов администрации г. Салехард Ямало-Ненецкого автономного округа от 11.01.2017 N 4 "Об утверждении инструкций по защите персональных данных в департаменте финансов Администрации города Салехарда"

Приложение N 10
к приказу
департамента финансов
администрации г. Салехард
от 11 января 2017 г. N 4

Инструкция
по модификации технических и программных средств в информационных системах персональных данных департамента финансов Администрации города Салехарда

Термины и определения

Автоматизированное рабочее место (АРМ) - это комплекс средств вычислительной техники и программного обеспечения, располагающийся непосредственно на рабочем месте работника и предназначенный для автоматизации его работы.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Администратор информационной безопасности - лицо, ответственное за защиту автоматизированных рабочих мест от несанкционированного доступа к информации.

Пользователь информационной системы персональных данных (ИСПДн) - лицо, назначаемое оператором для непосредственной обработки персональных данных в объеме служебной деятельности с использованием информационной системы персональных данных, а также результатов ее функционирования.

Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами.

Доступ к информации - возможность получения информации и ее использования.

Несанкционированный доступ (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, представляемых АРМ.

1. Порядок изменения конфигурации технических и программных средств

1.1. Настоящая Инструкция регламентирует обеспечение безопасности информации при проведении обновления (модификации) общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе информационных системах персональных данных (далее - ИСПДн) департамента финансов Администрации города Салехарда (далее - Департамент финансов).

1.2. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных ИСПДн предоставляется по согласованию с органом аттестации, проводившим аттестацию данной ИСПДн, а именно:

- в отношении системных и прикладных программных средств - администратору информационной безопасности;

- в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты - администратору информационной безопасности.

1.3. Изменение конфигурации аппаратно-программных средств ИСПДн кем-либо, кроме администратора информационной безопасности, ЗАПРЕЩЕНО.

1.4. Внесение всех изменений в конфигурацию системных и прикладных программных средств ИСПДн инициируется заявкой ответственного за обработку персональных данных в структурном подразделении (далее - ответственный в структурном подразделении). Форма заявки приведена в Приложении N 1.

1.5. В заявке могут указываться следующие виды необходимых изменений в состав аппаратных и программных средств ИСПДн:

- установка (развертывания) на автоматизированном рабочем месте (далее - АРМ) программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данном АРМ);

- обновление (замена) на АРМ программных средств, необходимых для решения определенной задачи (обновление версий программ используемых для решения определенных задач);

- удаление с АРМ программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной АРМ).

1.6. Заявку пользователя ИСПДн, в которой требуется произвести изменения конфигурации, рассматривает ответственный в структурном подразделении, визирует ее, утверждая тем самым производственную необходимость проведения указанных в заявке изменений.

После чего заявка передается администратору информационной безопасности для непосредственного исполнения работ по внесению изменений в конфигурацию ИСПДн, указанного в заявке АРМ.

1.7. Подготовка обновления (модификации) общесистемного и прикладного программного обеспечения ИСПДн, тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на компьютерах, (обновление) и удаление системных и прикладных программных средств производятся администратором информационной безопасности по согласованию с органом по аттестации, проводившим аттестацию данной ИСПДн. Работы производятся в присутствии ответственного в структурном подразделении.

1.8. Установка или обновление подсистем ИСПДн должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.

1.9. Установка или обновление программного обеспечения (далее - ПО) на ИСПДн производится с оригинальных лицензионных дистрибутивных носителей, полученных в установленном порядке.

1.10. Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, и, насколько это возможно, на отсутствие опасных функций.

1.11. После установки (обновления) ПО администратор информационной безопасности должен произвести требуемые настройки средств управления доступом к компонентам ИСПДн и проверить работоспособность ПО, правильность их настройки. Администратор информационной безопасности делает отметку о выполнении на обратной стороне заявки (Приложение N 2) и в техническом паспорте на ИСПДн.

1.12. Оригиналы заявок (документов), на основании которых производились изменения в составе программных средств АРМ, с отметками о внесении изменений в состав программных средств должны храниться вместе с техническим паспортом на ИСПДн у администратора информационной безопасности. Эти документы могут впоследствии использоваться:

- для восстановления конфигурации АРМ после аварий;

- для контроля правомерности установки на АРМ средств, для решения соответствующих задач при разборе конфликтных ситуаций;

- для проверки правильности установки и настройки средств защиты АРМ.

1.13. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора информационной безопасности и ответственным в структурном подразделении.

1.14. С целью соблюдения принципа персональной ответственности за свои действия каждому работнику, допущенному к работе на АРМ конкретной ИСПДн, должно соответствовать персональное уникальное имя (учётная запись пользователя), под которым он будет регистрироваться и работать на данном АРМ.

1.15. Использование несколькими работниками одного и того же имени пользователя ("группового имени") при работе в ИСПДн, ЗАПРЕЩЕНО.

1.16. Процедура регистрации (создания учётной записи) пользователя и предоставления ему (или изменения его) прав доступа к ресурсам ИСПДн инициируется заявкой ответственного в структурном подразделении.

В заявке указывается:

- содержание запрашиваемых изменений (регистрация нового пользователя ИСПДн, удаление учётной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ИСПДн ранее зарегистрированного пользователя);

- должность (с полным наименованием отдела), фамилия, имя и отчество сотрудника;

- имя пользователя (учётной записи) данного работника;

- полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач в ИСПДн).

1.17. Заявку рассматривает ответственный в структурном подразделение, визируя её, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных в заявке задач ресурсам ИСПДн. Затем подписывает задание администратору информационной безопасности на внесение необходимых изменений в списки пользователей соответствующих подсистем ИСПДн.

1.18. На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор информационной безопасности производит необходимые операции по созданию (удалению) учётной записи пользователя ИСПДн, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора), заявленных прав доступа к ресурсам ИСПДн и другие необходимые действия, указанные в задании. Для всех пользователей ИСПДн должен быть установлен режим принудительного запроса смены пароля для доступа к ресурсам ИСПДн, не реже одного раза в 3 месяца.

1.19. После внесения изменений в списки пользователей администратор информационной безопасности должен обеспечить настройку средств защиты соответствующую требованиям безопасности указанной ИСПДн. По окончании внесения изменений в списки пользователей ИСПДн в заявке делается отметка о выполнении задания за подписью исполнителя - администратора информационной безопасности.

1.20. Работнику, зарегистрированному в качестве нового пользователя ИСПДн, сообщается соответствующее ему имя пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации) и начальное (-ые) значение (- ия) пароля (-ей), которое (-ые) он обязан сменить при первом же входе в систему.

1.21. Исполненные заявка и задание (за подписью администратора безопасности ИСПДн) передаются руководителю на хранение.

Они могут впоследствии использоваться:

- для восстановления полномочий пользователей после аварий ИСПДн;

- для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;

- для проверки работниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам ИСПДн.