Приказ Федерального агентства железнодорожного транспорта от 16.10.2017 N 396 "О назначении ответственного за организацию обработки и обеспечение безопасности персональных данных в центральном аппарате Федерального агентства железнодорожного транспорта"

Во исполнение Федеральным агентством железнодорожного транспорта (Росжелдор) ч. 1 ст. 18.1, ч. 1 ст. 19, ч. 1 ст. 22.1 Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных", п. 9 приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", в соответствии с подпунктом 9.9 Положения о Федеральном агентстве железнодорожного транспорта, утвержденного постановлением Правительства Российской Федерации от 30.07.2004 N 397 приказываю:

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как "27.07.2006"

1. Признать утратившим силу приказ Росжелдора от 20.12.2016 N 580 "О назначении лица, ответственного за организацию обработки и обеспечение безопасности персональных данных в центральном аппарате Федерального агентства железнодорожного транспорта, и о проведении проверки".

2. Назначить начальника отдела информатизации федерального казенного учреждения "Управление служебных зданий федеральных органов исполнительной власти в области транспорта" (далее - ФКУ УСЗ) Г.Г. Блинова ответственным за организацию обработки и обеспечение безопасности персональных данных, обрабатываемых в информационных системах Росжелдора (администратором информационной безопасности).

3. Утвердить Инструкцию администратора информационной безопасности Федерального агентства железнодорожного транспорта.

4. В своей работе администратору информационной безопасности руководствоваться утвержденной настоящим приказом Инструкцией администратора информационной безопасности.

5. Назначить начальника отдела информатизации ФКУ УСЗ Г.Г. Блинова ответственным за защиту информации, содержащейся в государственных информационных системах Росжелдора.

6. Назначить администратором государственных информационных систем Федерального агентства железнодорожного транспорта начальника отдела информатизации ФКУ УСЗ Г.Г. Блинова.

7. Утвердить Инструкцию администратора государственных информационных систем Федерального агентства железнодорожного транспорта.

8. В своей работе администратору государственных информационных систем руководствоваться утвержденной настоящим приказом Инструкцией администратора государственных информационных систем.

9. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Росжелдора, курирующего вопросы информатизации Росжелдора.

Руководитель

В.Ю. Чепец

УТВЕРЖДЕНО
приказом Росжелдора
от 16.10.2017 N 396

Инструкция администратора информационной безопасности Федерального агентства железнодорожного транспорта

1. Общие положения

1.1. Администратор информационной безопасности (далее - администратор) назначается приказом руководителя Федерального агентства железнодорожного транспорта (Росжелдор).

1.2. Администратор подчиняется руководителю Росжелдора.

1.3. Администратор в своей работе руководствуется настоящей инструкцией, политикой в отношении обработки персональных данных и другими локальными актами по организации защиты информации в Росжелдоре, руководящими и нормативными документами ФСТЭК России.

1.4. Администратор отвечает за поддержание необходимого уровня безопасности объектов защиты.

1.5. Администратор является ответственным должностным лицом, уполномоченным на проведение работ по технической защите информации и поддержанию достигнутого уровня защиты государственных информационных систем, обрабатывающих персональные данные, и их ресурсов на этапах промышленной эксплуатации и модернизации.

1.6. Администратор должен иметь специальное рабочее место, размещенное в здании Росжелдора так, чтобы исключить несанкционированный доступ к нему посторонних лиц и других пользователей.

1.7. Рабочее место администратора должно быть оборудовано средствами физической защиты (личный сейф, железный шкаф или другое), подключением к государственным информационным системам, а также средствами контроля за техническими средствами защиты информации.

1.8. Администратор осуществляет методическое руководство пользователей и администраторов государственных информационных систем, в вопросах обеспечения безопасности персональных данных.

1.9. Администратор несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в государственных информационных системах, состояние и поддержание установленного уровня защиты.

2. Должностные обязанности

Администратор обязан:

2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних локальных актов, регламентирующих порядок действий по защите информации.

2.2. Осуществлять установку, настройку и сопровождение технических средств защиты информации (далее - СрЗИ).

2.3. Участвовать в контрольных и тестовых испытаниях и проверках элементов государственных информационных систем.

2.4. Участвовать в приемке новых программных средств.

2.5. Обеспечивать доступ к защищаемой информации пользователям государственных информационных систем согласно их правам доступа при получении оформленного соответствующим образом разрешения.

2.6. Уточнять в установленном порядке обязанности пользователей государственных информационных систем по обработке объектов защиты.

2.7. Вести контроль над процессом осуществления резервного копирования объектов защиты.

2.8. Осуществлять контроль над выполнением плана мероприятий по обеспечению защиты персональных данных.

2.9. Анализировать состояние защиты государственных информационных систем и их отдельных подсистем.

2.10. Контролировать неизменность состояния СрЗИ, их параметров и режимов защиты.

2.11. Контролировать физическую сохранность средств и оборудования государственных информационных систем.

2.12. Контролировать исполнение пользователями государственных информационных систем введенного режима безопасности, а также правильность работы с элементами государственных информационных систем и СрЗИ.

2.13. Контролировать исполнение пользователями инструкций антивирусной и парольной защиты.

2.14. Своевременно анализировать журнал учета событий, регистрируемых СрЗИ, с целью выявления возможных нарушений.

2.15. Контролировать установку, использование, хранение и размножение в государственных информационных систем только разрешенного к использованию программного обеспечения, перечень которого утвержден приказом руководителя Росжелдора.

2.16. Не допускать к работе на элементах государственных информационных систем посторонних лиц.

2.17. Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования СрЗИ государственных информационных систем.

2.18. Оказывать помощь пользователям государственных информационных систем в части применения СрЗИ и консультировать по вопросам введенного режима защиты информации.

2.19. Периодически представлять руководству отчет о состоянии защиты государственных информационных систем и о внештатных ситуациях на объектах государственных информационных систем и допущенных пользователями нарушениях установленных требований по защите информации.

2.20. В случае отказа работоспособности технических средств и программного обеспечения государственных информационных систем, в том числе СрЗИ принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

2.21. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

2.22. Незамедлительно информировать руководителя о выявленных признаках проведения компьютерных атак на информационные системы Росжелдора и информационно-телекоммуникационную инфраструктуру центрального аппарата Росжелдора.

УТВЕРЖДЕНО
приказом Росжелдора
от 16.10.2017 N 396

Инструкция администратора государственных информационных систем Федерального агентства железнодорожного транспорта

1. Общие положения

1.1. Администратор государственных информационных систем (далее - администратор ГИС) назначается приказом руководителя Федерального агентства железнодорожного транспорта (Росжелдор).

1.2. Администратор подчиняется руководителю Росжелдора.

1.3. Администратор в своей работе руководствуется настоящей инструкцией, политикой в отношении обработки персональных данных и другими регламентирующими документами Росжелдора, руководящими и нормативными документами ФСТЭК России.

1.4. Администратор отвечает за обеспечение устойчивой работоспособности элементов ГИС и средств защиты информации (далее - СрЗИ), при обработке персональных данных.

2. Должностные обязанности

Администратор обязан:

2.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций и распоряжений, регламентирующих порядок действий по защите информации.

2.2. Обеспечивать установку, настройку и своевременное обновление элементов ГИС:

- программного обеспечения автоматизированных рабочих мест и серверов (операционные системы, прикладное и специальное программное обеспечение);

- аппаратных средств;

- аппаратных и программных СрЗИ.

2.3. Обеспечивать работоспособность элементов ГИС и локальной вычислительной сети.

2.4. Осуществлять контроль над порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

2.5. Обеспечивать функционирование и поддерживать работоспособность СрЗИ в рамках, возложенных на него функций.

2.6. В случае отказа работоспособности технических средств и программного обеспечения элементов ГИС, в том числе СрЗИ, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

2.7. Проводить периодический контроль принятых мер по защите информации, в пределах, возложенных на него функций.

2.8. Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонального пароля пользователем ГИС.

2.9. Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации.

2.10. Информировать ответственного за обеспечение защиты персональных данных (администратора информационной безопасности) о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ГИС.

2.11. Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ГИС или СрЗИ.

2.12. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации.

2.13. Присутствовать при выполнении технического обслуживания элементов ГИС, сторонними физическими лицами и организациями.

2.14. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.