Приложение N 1. Приказ Министерства образования Новосибирской области от 12.12.2018 N 3223 "О внесении изменений в приказ министерства образования Новосибирской области от 07.05.2018 N 1097 и признании утратившими силу отдельных приказов министерства образования, науки и инновационной политики Новосибирской области"

приложение N 1
к приказу Минобразования
Новосибирской области
от 12 декабря 2018 г. N 3223

"Инструкция пользователя
по обеспечению безопасности при возникновении нештатных ситуаций, в информационных системах министерства образования Новосибирской области
(далее - Инструкция)
(утв. приказом Минобразования Новосибирской области от 7 мая 2018 г. N 1097)

I. Общие положения

1. Настоящая Инструкция разработана в соответствии с требованиями:

Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке и информационных системах персональных данных".

2. Данная инструкция определяет порядок действий пользователя при возникновении нештатной ситуации при работе с персональными данными в информационной системе персональных данных (далее - ИС) министерства образования Новосибирской области (далее - министерство) и по реагированию на нештатные ситуации, связанные с работой в ИС.

3. Пользователем ИС (далее - Пользователь) является сотрудник министерства, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИС согласно приказу списка лиц, которым необходим доступ к персональным данным, обрабатываемым в ИС, для выполнения своих должностных обязанностей.

4. Пользователь в своей работе руководствуется, кроме должностных и технологических инструкций, действующими нормативными, организационно-распорядительными документами по вопросам информационной безопасности.

5. Положения инструкции обязательны для исполнения всеми пользователями и доводятся до сотрудников под роспись. Пользователь должен быть предупрежден о возможной ответственности за ее нарушение.

II. Общий порядок действий при возникновении нештатных ситуаций

6. В настоящей Инструкции под нештатной ситуацией понимается происшествие, связанное со сбоем в функционировании элементов ИС, предоставляемых пользователям ИС, а так же с вероятностью потери защищаемой информации.

7. К нештатным ситуациям относятся следующие ситуации:

сбой в работе программного обеспечения ( "зависание" компьютера, медленная скорость работы программы, ошибки в работе программы и т. п.);

отключение электричества;

сбой в локальной вычислительной сети (отсутствие доступа в локальную сеть, отсутствие доступа в интернет, отсутствие связи с сервером и т. п.);

выход из строя сервера;

потеря данных (отсутствие возможности сохранить внесенные данные, отсутствие связи с сервером, повреждение файлов и т. п.);

обнаружен вирус;

обнаружена утечка информации (взлом учетной записи пользователя, обнаружение посторонних устройств в системном блоке, обнаружена попытка распечатывания или сканирования документов на принтере и т. п.);

взлом системы (web-сервера, и др.) или несанкционированный доступ;

попытка несанкционированного доступа (обнаружены попытки подбора пароля, доступ постороннего лица в помещение и т. п.);

компрометация ключей (утеря носителя ключевой информации и т. п.), несанкционированный доступ постороннего лица в место физического хранения носителя информации, к устройству хранения информации, визуальный осмотр носителя информации посторонним лицом или подозрение, что данные факты имели место, взлом учетной записи пользователя);

компрометация пароля (взлом учетной записи пользователя, визуальный осмотр посторонним лицом клавиатуры при вводе пароля пользователем и т. п.);

физическое повреждение локально-вычислительной сети (далее - ЛВС) или персонального компьютера (далее - ПК) (не включается ПК, при попытке включения отображается синий или черный экраны, повреждены провода и т. п.);

стихийное бедствие;

иные нештатные ситуации, не включенные в данный список, но влекущие за собой повреждение элементов ИС и возможность потери защищаемой информации, и названные таковыми пользователем ИС или администратором безопасности ИС.

8. При возникновении нештатных ситуаций во время работы сотрудник, обнаруживший нештатную ситуацию, немедленно ставит в известность администратора ИСПДн (либо администратора информационной безопасности, либо ответственного за организацию обработки персональных данных в министерстве). В случае, если поставить в известность администратора ИСПДн (либо администратора информационной безопасности, либо ответственного за организацию обработки персональных данных в министерстве) не представляется возможным, пользователем, обнаружившим нештатную ситуацию, составляется служебная записка в свободной форме с описанием нештатной ситуации, и передается руководителю подразделения.

9. Администратор ИСПДн (либо администратор информационной безопасности) проводит предварительный анализ ситуации и, в случае невозможности исправить положение, ставит в известность своего непосредственного начальника для определения дальнейших действий.

10. По факту возникновения и устранения нештатной ситуации заносится запись в "Журнал учета нештатных ситуаций ИС, выполнения профилактических работ, установки и модификации программных средств на рабочих станциях и серверах ИС министерства.

11. При необходимости, проводится служебное расследование по факту возникновения нештатной ситуации и выяснению ее причин.

III. Особенности действий при возникновении наиболее распространенных нештатных ситуаций

12. Сбой программного обеспечения. администратор ИСПДн (либо администратор информационной безопасности) совместно с сотрудником, у которого произошла нештатная ситуация, выясняют причину сбоя. Если исправить ошибку своими силами не удалось, в департамент информатизации и развития телекоммуникационных технологий Новосибирской области направляется информационное сообщение с сопроводительными материалами о возникшей ситуации.

13. Отключение электричества. администратор ИСПДн (либо администратор информационной безопасности) совместно с сотрудником, у которого произошла нештатная ситуация, проводят анализ на наличие потерь и (или) разрушения данных и программного обеспечения (далее - ПО), а так же проверяют работоспособность оборудования. В случае необходимости, производится восстановление ПО и данных из последней резервной копии.

14. Сбой в локальной вычислительной сети (ЛВС). администратор ИСПДн (либо администратор информационной безопасности) проводит анализ на наличие потерь и (или) разрушения данных и ПО. В случае необходимости, производится восстановление ПО и данных из последней резервной копии.

15. Выход из строя сервера. администратор ИСПДн (либо администратор информационной безопасности), ответственный за эксплуатацию сервера, проводит меры по немедленному вводу в действие резервного сервера (если есть) для обеспечения непрерывной работы пользователей ИСПДн министерства. При необходимости производятся работы по восстановлению ПО и данных из резервных копий.

16. Потеря данных. При обнаружении потери данных администратор ИСПДн (либо администратор информационной безопасности) проводит мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др.). При необходимости, производится восстановление ПО и данных из резервных копий.

17. Обнаружен вирус. При обнаружении вируса производится локализация вируса с целью предотвращения его дальнейшего распространения, для чего следует физически отсоединить "зараженный" компьютер от ЛВС и провести анализ состояния компьютера. Анализ проводится администратором ИСПДн (либо администратором информационной безопасности). Результатом анализа может быть попытка сохранения (спасения данных), так как после перезагрузки ЭВМ данные могут быть уже потеряны. После успешной ликвидации вируса, сохраненные данные также необходимо подвергнуть проверке на наличие вируса. При обнаружении вируса следует руководствоваться "Инструкцией по организации антивирусной защиты на объектах вычислительной техники в министерстве образования Новосибирской области". После ликвидации вируса необходимо провести внеочередную антивирусную проверку на всех ЭВМ министерства с применением обновленных антивирусных баз. При необходимости производится восстановление ПО и данных из резервных копий. Проводится служебное расследование по факту появления вируса в ЭВМ (ЛВС).

18. Обнаружена утечка информации. При обнаружении утечки информации ставится в известность администратор информационной безопасности (либо администратор ИСПДн). Проводится служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищенности системы и, если необходимо, принимаются меры по устранению уязвимостей и предотвращению их возникновения.

19. Взлом системы (Web-сервера и др.) или несанкционированный доступ (НСД). При обнаружении взлома сервера проводится, по возможности, временное отключение сервера от сети для проверки на вирусы и троянских закладок. Возможен временный переход на резервный сервер. Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особенно тщательно проверить целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, а также проанализировать состояние файлов-скриптов и журналы сервера. Необходимо сменить все пароли, которые имели отношение к данному серверу. В случае необходимости производится восстановление ПО и данных из эталонного архива и резервных копий. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в ЛВС министерства, после чего провести аналогичные работы по проверке и восстановлению ПО и данных на других ЭВМ. По факту взлома сервера проводится служебное расследование.

20. Попытка несанкционированного доступа (НСД). При обнаружении