ГЛАВЫ АДМИНИСТРАЦИИ МЕСТНОГО
САМОУПРАВЛЕНИЯ МОЗДОКСКОГО РАЙОНА
РЕСПУБЛИКИ СЕВЕРНАЯ ОСЕТИЯ-АЛАНИЯ
№144 г. Моздок
04.03.2024 г.
О проведении работ по защите персональных данных при их обработке
на объекте информатизации – «Информационная система персональных
данных Администрации местного самоуправления Моздокского района
Республики Северная Осетия-Алания для подключения к защищенной сети
передачи данных Государственной информационной системы «Единая
централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»
В целях исполнения статьи 13 Федерального закона от 27 июля 2006
№152-ФЗ «О персональных данных», в соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», во исполнение приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 1 ноября 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в целях исполнения требований приказа ФСБ России от 10 июля 2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», приказа Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) от 13 июня 2001 №152 « Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»:
3.1. Комиссии в срок до 21 марта 2024 провести определение класса защищенности информационной системы и уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных (далее по тексту – ИСПДн) для подключения к закрытому сегменту передачи данных (далее по тексту –ЗСПД).
3.2. Комиссии отразить результаты определения класса защищенности информационной системы и уровня защищенности персональных данных в акте классификации ИСПДн для подключения к ЗСПД.
8.1. Защиту персональных данных при их обработке в ИСПДн для подключения к ЗСПД, за обеспечение безопасности информации в ИСПДн для подключения к ЗСПД (Администратором безопасности ИСПДн для подключения к ЗСПД) начальника муниципального архива Администрации местного самоуправления Моздокского района – Потапенко В.В.
8.2. Функционирование в ИСПДн для подключения к ЗСПД (Администратором ИСПДн для подключения к ЗСПД) главного специалиста по информатизации - Мещерякова Н. А. и ведущего специалиста-программиста – Мысикова Е.В. отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района.
8.3. Обеспечение функционирования и безопасности криптографических средств на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо РСО-Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» главного специалиста по информатизации отдела по информационным технологиям, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района - Мещерякова Н.А.
17.1. Руководствоваться Инструкцией по обращению со средствами криптографической защиты информации на объекте информатизации – «Информационная система персональных Администрации местного самоуправления Моздокского района Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»».
17.2. Обеспечить прохождение пользователям, которым необходимо получить доступ к работе с СКЗИ, прохождение инструктажа по правилам работы с СКЗИ.
Врио Главы Администрации С. Никифоров
Исп. И. Заварзина, тел. 3-47-85
Приложение 1
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Комиссия по определению класса защищенности информационной системы и уровня защищенности персональных данных при их обработке на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия-Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»
|
Председатель комиссии: |
|
|
|
начальник отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района
|
– |
Заварзина И.А. |
|
Члены комиссии: |
|
|
|
главный специалист по информатизации отдела по информационным технологиям, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района
|
– |
Мещеряков Н.А. |
|
ведущий специалист-программист отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района |
– |
Мысиков Е.В. |
Приложение 2
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
ПЕРЕЧЕНЬ
информации ограниченного доступа, обрабатываемой на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо
Республики Северная Осетия-Алания для подключения к защищенной сети передачи данных ГИС ЕЦП»
|
№ п/п |
Наименование информации ограниченного доступа |
Категория информации ограниченного доступа |
|
1. |
Информация, содержащая персональные данные субъектов, обрабатываемые в ИСПДн для подключения 1. Фамилия, имя, отчество (при наличии) лица, о котором запрашивается в муниципальном архиве информация о стаже, размере заработной платы и др. 2. Дата рождения (число, месяц, год рождения) лица, о котором запрашивается в муниципальном информация о стаже, размере заработной платы и др. 3. Документы, содержащие информацию о смене фамилии (имени, отчества), в том числе свидетельство о заключении брака, о перемене имени и др. 4. Документ о трудовой деятельности (трудовая книжка или выписка из трудовой книжки, за исключением случаев утраты трудовой книжки), содержащие информацию о предприятии, его структурном подразделении, должности лица, о котором запрашивается информация. 5. Даты рождения детей (в случаях, когда ребенок родился в период трудовой деятельности женщины, за который необходима справка о заработной плате); Иные сведения, позволяющие осуществить поиск документов, необходимых для исполнения запросов. |
Персональные данные |
|
2. |
Технологическая информация системы защиты информации ИСПДн для подключения к ЗСПД, в том числе: - управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.); - технологическая информация средств доступа к ИСПДн для подключения к ЗСПД (аутентификационная информация, ключи и атрибуты доступа и др.); - информация о системе защиты информации, в т. ч. персональных данных, ее составе и структуре, принципах, средствах защиты и технических решениях защиты; - информационные ресурсы (файлы и другие), содержащие информацию о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах; - служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации, в т. ч. персональных данных. |
Иная защищаемая |
Лист ознакомления
|
Ф.И.О. |
Должность |
Подпись, дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 3
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Порядок
доступа сотрудников в помещения, в которых ведется обработка
защищаемой информации, в том числе персональных данных, на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо
Республики Северная Осетия для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
(далее – Порядок)
1 Общие положения
1.1 Настоящий Порядок доступа сотрудников в помещения, в которых ведется обработка защищаемой информации, в том числе персональных данных, на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД) (далее- Порядок)определяет правила доступа сотрудников в помещения, в которых ведется обработка защищаемой информации, в том числе персональных данных, в рабочее и нерабочее время, а также в нештатных ситуациях; перечень помещений, предназначенных для обработки защищаемой информации, в т. ч. персональных данных, ИСПДн для подключения к ЗСПД и перечень лиц, имеющих право доступа в помещения с элементами ИСПДн для подключения к ЗСПД.
1.2 Настоящий Порядок обязателен для применения и исполнения всеми сотрудниками, допущенными к обработке информации в ИСПДн для подключения к ЗСПД.
1.3 Ответственность за соблюдение требований настоящего Порядка несут сотрудники структурных подразделений Администрации местного самоуправления Моздокского районо Республики Северная Осетия с правом юридического лица и без него, участвующих в обработке защищаемой информации, в том числе персональных данных, в ИСПДн для подключения к ЗСПД, а также руководители данных структурных подразделений.
1.4 Контроль за соблюдением требований настоящего Порядка обеспечивают ответственные за функционирование в ИСПДн для подключения к ЗСПД (Администратором ИСПДн для подключения к ЗСПД) главный специалист по информатизации и ведущий специалист-программист отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района.
2 Требования к помещениям, в которых ведется обработка защищаемой информации, в том числе персональных данных, ИСПДн для подключения к ЗСПД
2.1 Бесконтрольный доступ посторонних лиц в помещения с элементами ИСПДн для подключения к ЗСПД исключён.
2.2 Все помещения ИСПДн для подключения к ЗСПД должны быть оборудованы входными дверьми с замками, запирающимися на ключ, и приспособлениями для опечатывания, либо соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений. Особое внимание при оснащении техническими средствами, препятствующими осуществлению несанкционированного проникновения или пребывания, рекомендуется уделить помещениям, в которых будут расположены СКЗИ.
3 Организация порядка по режиму допуска в помещения, в которых обработка защищаемой информации, в том числе персональных данных, ИСПДн для подключения к ЗСПД
3.1 Перечень помещений, предназначенных для обработки защищаемой информации, в том числе персональных данных на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)» установлен приложение 1 к настоящему Порядку.
Схема границ контролируемой зоны объекта информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия для подключения к защищенной сети передачи Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»», в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию и средства защиты информации, а также средства обеспечения функционирования установлена приложение 5 в настоящему распоряжению.
3.2 Доступ сотрудников структурных подразделений Администрации местного самоуправления Моздокского районо Республики Северная Осетия с правом юридического лица и без него, в помещения, в которых осуществляется обработка защищаемой информации, в том числе персональных данных, организовывается на основании перечня лиц, имеющих право доступа в помещения с элементами ИСПДн для подключения к ЗСПД определен согласно приложения 2 к настоящему Порядку.
3.3 Доступ посторонних лиц в помещения ИСПДн для подключения к ЗСПД, должен осуществляется только ввиду служебной необходимости. Данные лица допускаются в помещения только по согласованию с начальником структурного подразделения и с разрешения администратора безопасности ИСПДн для подключения к ЗСПД и имеют право пребывания в помещениях только под контролем ответственных лиц
3.4 На момент присутствия посторонних лиц в помещениях ИСПДн для подключения к ЗСПД, работниками муниципального архива Администрации местного самоуправления Моздокского районо Республики Северная Осетия должны быть приняты меры по недопущению ознакомления посторонних лиц с защищаемой информацией (например, мониторы повёрнуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке или накрыты чистыми листами бумаги).
3.5 В нерабочее время помещения ИСПДн для подключения к ЗСПД работники муниципального архива Администрации местного самоуправления Моздокского районо Республики Северная Осетия должны запираться на ключ и опечатываться или ставиться на охрану. При этом все окна и двери в смежные помещения должны быть надёжно закрыты, съемные носители информации должны быть убраны в запираемые шкафы (сейфы), АРМ и принтер выключены. В случае оснащения помещения техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений, помещение сдается под охрану.
3.6 Устройства вывода (отображения) информации (экраны мониторов автоматизированных рабочих мест пользователей, а также принтеры) должны быть расположены так, чтобы возможность несанкционированного просмотра выводимой на них информации исключалась.
Двери в помещения имеют надежные замки, закрывающиеся на ключ.
Окна помещений должны быть оснащены непрозрачными жалюзи (шторами).
Проинструктировать пользователей о работе в ИСПДн для подключения к ЗСПД, в том числе и о расположении мониторов АРМ.
Реализованный в ИСПДн для подключения к ЗСПД механизм защиты технических средств должен соответствовать требованиям, предъявляемым к информационным системам, для которых установлена необходимость обеспечения четвертого уровня защищенности персональных данных.
3.7 Для защиты помещений, в которых расположены ТС ИСПДн для подключения к ЗСПД, работники муниципального архива Администрации местного самоуправления Моздокского районо Республики Северная Осетия должны приниматься меры для минимизации воздействий огня (оборудованы датчиками охранно-пожарной сигнализации), воды, пыли, а также кражи.
3.8 ТС ИСПДн для подключения к ЗСПД и размещенное совместно с ними вспомогательное оборудование работники муниципального архива Администрации местного самоуправления Моздокского районо Республики Северная Осетия должно подвергаться регулярным осмотрам с целью выявлений изменения конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.).
3.9 Работники и должностные лица Администрации местного самоуправления Моздокского районо Республики Северная Осетия, получившие доступ к ИСПДн для подключения к ЗСПД не должны покидать помещение, в котором ведется обработка защищаемой информации, в том числе персональных данных, оставляя в нем без присмотра посторонних лиц, включая работников и должностных лиц Администрации местного самоуправления Моздокского районо Республики Северная Осетия, не уполномоченных на обработку защищаемой информации, в том числе персональных данных.
3.10 Дистрибутивы с ОС и прикладным ПО, а также дистрибутивы СЗИ и их дубликаты должны храниться у администратора безопасности.
Приложение 1
к Порядку доступа сотрудников в помещения, в которых ведется обработка защищаемой информации, в том числе персональных данных, на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
Перечень помещений, предназначенных для обработки защищаемой информации, в том числе персональных данных на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
|
№ п/п |
№ кабинета, помещения |
Адрес расположения |
|
1. |
Муниципальный архив Администрации местного самоуправления Моздокского района |
363753, РСО-Алания, г. Моздок, ул. Кирова, д.20, 1 этаж |
Приложение 2
к Порядку доступа сотрудников в помещения, в которых ведется обработка защищаемой информации, в том числе персональных данных, на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
Перечень лиц, имеющих право доступа в помещения с элементами объекта информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
|
№ |
Фамилия, имя, отчество |
Должность |
Наименование отдела, № помещения |
Ознакомлен |
|
1. |
Заварзина Ирина Анатольевна |
начальник отдела по информационным технологиям, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района |
муниципального архива Администрации местного самоуправления Моздокского района |
|
|
2. |
Мещеряков Николай Александрович |
главный специалист по информатизации отдела по информационным технологиям, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района |
муниципального архива Администрации местного самоуправления Моздокского района |
|
|
3. |
Мысиков Егор Владимирович |
ведущий специалист-программист отдела информационных технологий, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района |
муниципального архива Администрации местного самоуправления Моздокского района |
|
|
4. |
Потапенко Валентина Викторовна |
начальник муниципального архива Администрации местного самоуправления Моздокского района |
муниципального архива Администрации местного самоуправления Моздокского района |
|
|
5. |
Артамонова Оксана Леонидовна |
ведущий специалист муниципального архива Администрации местного самоуправления Моздокского района |
муниципального архива Администрации местного самоуправления Моздокского района |
|
Лист ознакомления
|
Ф.И.О. |
Должность |
Подпись, дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 4
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
ПЕРЕЧЕНЬ
лиц, допущенных к работе на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
|
№ п/п |
Фамилия, имя, отчество |
Должность |
Наименование отдела, |
Ознакомлен (дата, подпись) |
|
1. |
Мещеряков Николай Александрович |
главный специалист по информатизации отдела по информационным технологиям, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района |
муниципальный архив Администрации местного самоуправления Моздокского района |
|
|
2. |
Мысиков Егор Владимирович |
ведущий специалист-программист отдела информационных технологий, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района |
муниципальный архив Администрации местного самоуправления Моздокского района |
|
|
3. |
Потапенко Валентина Викторовна |
начальник муниципального архива Администрации местного самоуправления Моздокского района |
муниципальный архив Администрации местного самоуправления Моздокского района |
|
|
4. |
Артамонова Оксана Леонидовна |
ведущий специалист муниципального архива Администрации местного самоуправления Моздокского района |
муниципального архива Администрации местного самоуправления Моздокского района |
|
ПЕРЕЧЕНЬ
Перечень лиц, доступ которым к персональным данным, обрабатываемым на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо РСО-Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»», необходим для выполнения служебных (трудовых) обязанностей
|
№ |
Фамилия, имя, отчество |
Должность |
Наименование отдела, |
Ознакомлен (дата, подпись) |
|
1. |
Потапенко Валентина Викторовна |
Начальник муниципального архива Администрации местного самоуправления Моздокского района |
муниципального архива Администрации местного самоуправления Моздокского района |
|
|
2. |
Артамонова Оксана Леонидовна (на период отсутствия Потапенко В.В.) |
ведущий специалист муниципального архива Администрации местного самоуправления Моздокского района |
муниципального архива Администрации местного самоуправления Моздокского района |
|
Лист ознакомления
|
Ф.И.О. |
Должность |
Подпись, дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 5
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Схема границ контролируемой зоны объекта информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия для подключения к защищенной сети передачи Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» по адресу: 363753, РСО-Алания, г. Моздок, ул. Кирова, д.20, 1 этаж, Муниципальный архив
Рисунок 1 – Границы контролируемой зоны объекта информатизации
Границей контролируемой зоны объекта информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия-Алания для подключения к защищенной сети передачи Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» являются: ограждающие конструкции помещения.
Приложение 6
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
ответственного за обеспечение функционирования и безопасности криптографических средств на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
1 Общие положения
Настоящая Инструкция разработана в целях регламентации действий лиц, ответственных за обеспечение функционирования и безопасности криптографических средств (далее – Ответственный) на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД).
СКЗИ должны использоваться для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Администрации местного самоуправления Моздокского районо в рамках исполнения должностных обязанностей.
Пользователи СКЗИ – сотрудники Администрации местного самоуправления Моздокского районо, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Для работы пользователей с СКЗИ в ИСПДн для подключения к ЗСПД главному специалисту по информатизации отдела по информационным технологиям, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района необходимо реализовать ряд мероприятий:
При решении всех вопросов, связанных с обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться Инструкцией по обращению с СКЗИ в ИСПДн для подключения к ЗСПД.
На Ответственного возлагается осуществление следующих должностных функций:
На Ответственного возлагаются следующие обязанности:
В рамках исполнения возложенных на него обязанностей, Ответственный имеет право:
Лист ознакомления
с Инструкцией ответственного за обеспечение функционирования и
безопасности криптографических средств
|
№ п/п |
Фамилия, Имя, Отчество |
Должность |
Подпись, дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 7
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
ИНСТРУКЦИЯ
по обращению со средствами криптографической защиты информации на объекте информатизации – «Информационная система персональных Администрации местного самоуправления Моздокского района Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
1 Общие положения
Настоящая Инструкция в своем составе, терминах и определениях основывается на Положении о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ РФ от 9 февраля 2005 № 66, разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (далее – СКЗИ) на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского района Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД).
Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, в т.ч. ПДн.
СКЗИ должны использоваться для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
Персональный компьютер (ПК) - вычислительная машина, предназначенная для эксплуатации пользователем Администрации местного самоуправления Моздокского района в рамках исполнения должностных обязанностей.
Пользователи СКЗИ – работники и должностные лица Администрации местного самоуправления Моздокского района, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, направлены на сведение к минимуму возможности неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае, в Администрации местного самоуправления Моздокского района должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.
Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть соответствующим образом маркированы и должны использоваться, учитываться и храниться так же, как оригиналы.
Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ под роспись в соответствующих журналах поэкземплярного учета.
При обнаружении на рабочем месте, оборудованном СКЗИ, посторонних программ или вирусов, нарушающих работу указанных средств, работа со средствами защиты информации на данном рабочем месте должна быть прекращена и организуются мероприятия по анализу и ликвидации негативных последствий данного нарушения.
О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за обеспечение функционирования и безопасности криптосредств.
К компрометации ключей относятся следующие события:
Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия.
Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, не предъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
Мероприятия по розыску и локализации последствий компрометации информации ограниченного доступа, передававшейся (хранящейся) с использованием СКЗИ, организует и осуществляет Администрация местного самоуправления Моздокского района (обладатель скомпрометированной информации ограниченного доступа).
Лица, допущенные к работе с СКЗИ, обязаны:
Лица, допущенные к работе с СКЗИ, отвечают за исполнение своих функциональных обязанностей и сохранность информации ограниченного доступа, которая стала им известной вследствие исполнения им своих служебных обязанностей.
Ответственность лиц, допущенных к работе с СКЗИ, за неисполнение и (или) ненадлежащее исполнение своих обязанностей, предусмотренных соответствующими инструкциями (Инструкция ответственного за обеспечение функционирования и безопасности криптосредств, Инструкция пользователя СКЗИ), а также за разглашение информации ограниченного доступа, ставшей ему известной вследствие исполнения им своих служебных обязанностей, определяется действующим законодательством Российской Федерации.
Лист ознакомления
с Инструкцией по обращению со средствами
криптографической защиты информации
|
№ п/п |
Фамилия, Имя, Отчество |
Должность |
Подпись, дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 8
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
ИНСТРУКЦИЯ
пользователей средств криптографической защиты информации на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – Инструкция)
1 Общие положения
Настоящая Инструкция разработана в целях регламентации действий пользователей, допущенных к работе со средствами криптографической защиты информации (далее - СКЗИ) на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД).
Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и т.д.
СКЗИ должны использоваться для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
2 Термины и определения
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
Пользователи СКЗИ – работники организации или учреждения, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) - совокупность аппаратных и(или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3 Порядок получения допуска пользователей к работе с СКЗИ
Для работы с СКЗИ привлекаются физические лица, включенные в перечень пользователей СКЗИ, утвержденного соответствующим распоряжением Главы Администрации местного самоуправления Моздокского района. Рекомендуемый образец Перечня пользователей СКЗИ установлен в приложении 1 к настоящей Инструкции. Основанием для включения в перечень является Заключение о допуске к самостоятельной работе с СКЗИ. Решение о готовности пользователя к самостоятельной работе с СКЗИ принимает Ответственный за обеспечение функционирования и безопасности криптосредств на основании результатов принятого у пользователя зачета.
Для получения Заключение о допуске к самостоятельной работе с СКЗИ, пользователю необходимо выполнить следующее:
4 Обязанности пользователей СКЗИ
Пользователи СКЗИ обязаны:
Пользователь несет ответственность за то, чтобы на АРМ, на котором установлены СКЗИ, не были установлены и не эксплуатировались программы (в том числе, программы-вирусы), которые могут нарушить функционирование СКЗИ.
На АРМ, оборудованном СКЗИ, программное обеспечение должно быть лицензионным. При обнаружении на АРМ, оборудованном СКЗИ, посторонних программ или вирусов, работа с СКЗИ на данном рабочем месте должна быть прекращена и организованы мероприятия по анализу и ликвидации негативных последствий данного нарушения.
Все полученные обладателем информации ограниченного доступа экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.
Не допускается:
О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за функционирование и обеспечение безопасности криптосредств.
5 Ответственность пользователей СКЗИ
Пользователи СКЗИ отвечают за исполнение своих функциональных обязанностей и сохранность информации ограниченного доступа, которая стала ему известной вследствие исполнения им своих служебных обязанностей. Ответственность лиц, допущенных к работе с СКЗИ, за неисполнение и/или ненадлежащее исполнение своих обязанностей, предусмотренных соответствующими инструкциями (Инструкция по обращению с СКЗИ, Инструкция пользователя СКЗИ), а также за разглашение информации ограниченного доступа, ставшей ему известной вследствие исполнения им своих служебных обязанностей, определяется действующим законодательством Российской Федерации.
Лист ознакомления
с Инструкцией пользователей средств
криптографической защиты информации
|
№ п/п |
Фамилия, Имя, Отчество |
Должность |
Подпись, дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 1
к Инструкции пользователей средств криптографической защиты информации на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
Перечень пользователей СКЗИ в ИСПДн
|
№ п/п |
Фамилия, Имя, Отчество |
Должность |
Подпись, дата |
|
1 |
Мещеряков Николай Александрович |
главный специалист по информатизации отдела по информационным технологиям, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района |
|
|
2 |
Мысиков Егор Владимирович |
ведущий специалист-программист отдела информационных технологий, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 2
к Инструкции пользователей средств криптографической защиты информации на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
|
№ п/п |
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов |
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов |
Номера экземпляров (криптографические номера) ключевых документов |
Отметка о получении |
Отметка о выдаче |
||
|
От кого получены |
Дата и номер сопроводительного письма |
Ф.И.О. пользователя СКЗИ |
Дата и расписка в получении |
||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отметка о подключении (установке) СКЗИ |
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов |
Примечание |
||||
|
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку) |
Дата подключения (установки) и подписи лиц, произведших подключение (установку) |
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ |
Дата изъятия (уничтожения) |
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение) |
Номер акта или расписка об уничтожении |
|
|
9 |
10 |
11 |
12 |
13 |
14 |
15 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 3
к Инструкции пользователей средств криптографической защиты информации на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
ФОРМА
АКТ № ______ от «___» ____________ 20__ г.
об уничтожении криптографических ключей, содержащихся на ключевых носителях, и ключевых документов
(форма)
Комиссия _______________________________________________ в составе:
(название организации)
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
произвела уничтожение криптографических ключей, содержащихся на ключевых носителях, и ключевых документов:
|
№ |
Учетный номер ключевого носителя (документа) |
Номер (идентификатор) криптографического ключа, наименование документа |
Владелец ключа (документа) |
Количество ключевых носителей (документов) |
Номера экземпляров |
Всего уничтожается ключей (документов) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Всего уничтожено _______ криптографических ключей на _______ ключевых носителях.
Уничтожение криптографических ключей выполнено путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.
Записи Акта сверены с записями в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Факт списания с учета ключевых носителей в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:
|
Ответственный за обеспечение функционирования и безопасности криптосредств |
____________________/___________________ |
|
Члены комиссии: |
|
|
|
____________________/_________________ ____________________/_________________ ____________________/_________________ |
Приложение 4
к Инструкции пользователей средств криптографической защиты информации на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
Форма
20__
|
№ п/п |
Дата |
Тип и |
Записи по |
Используемые криптоключи |
Отметка об |
Примечание |
|||
|
Тип |
Серийный, криптографический |
Номер разового |
Дата |
Подпись |
|||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
В настоящем журнале прошнуровано,
пронумеровано и скреплено
___ листов
Ответственный за ведение журнала
__________________________________
______________________
Приложение 9
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
ответственному за защиту информации и обеспечение защиты персональных данных при их обработке на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
(далее – Инструкция)
1.1 Настоящая Инструкция определяет обязанности ответственного за защиту информации (далее – Ответственный за ЗИ) на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»» (далее – ИСПДн для подключения к ЗСПД).
1.2 Ответственный за ЗИ назначается распоряжением Главы Администрации местного самоуправления Моздокского района или начальником структурного подразделения.
1.3 Ответственный за ЗИ в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России, ФСБ России в области защиты информации, внутренними организационно-распорядительными документами.
1.4 Ответственный за ЗИ по всем вопросам, связанным с защитой информационных ресурсов ИСПДн для подключения к ЗСПД, действует в соответствии с положениями данной Инструкции и во взаимодействии с Администраторами ИСПДн для подключения к ЗСПД.
1.5 Ответственный за ЗИ по вопросам защиты информации курирует работу Администраторов ИСПДн для подключения к ЗСПД.
Ответственный за ЗИ в ИСПДн для подключения к ЗСПД:
2.1 Осуществляет планирование работ по защите информации в ИСПДн для подключения к ЗСПД.
2.2 Организует и проводит работы по подготовке организационных и распорядительных документов по защите информации.
2.3 Организует и проводит работы по контролю эффективности проводимых мероприятий и принимаемых мер по защите информации.
2.4 Организует и проводит в установленном порядке расследование причин и условий появления нарушений защиты информации в ИСПДн для подключения к ЗСПД.
2.5 Осуществляет доведение до сведения пользователей и администраторов ИСПДн для подключения к ЗСПД требований действующих нормативно-правовых и законодательных актов Российской Федерации в области защиты информации.
2.6 Организует и руководит выполнением работ по комплексной защите информации в ИСПДн для подключения к ЗСПД, обеспечивая эффективное применение всех имеющихся организационных и инженерно-технических мер в целях защиты информации ограниченного доступа.
2.7 Обеспечивает контроль за выполнением требований нормативно-технической документации, за соблюдением установленного порядка выполнения работ, а также действующего законодательства при решении вопросов, касающихся защиты информации.
Ответственный за ЗИ в ИСПДн для подключения к ЗСПД имеет право:
3.1 Требовать от пользователей и администраторов ИСПДн для подключения к ЗСПД безусловного соблюдения установленной технологии обработки информации и выполнения требований локальных документов, регламентирующих вопросы обеспечения защиты информации.
3.2 Давать пользователям и администраторам ИСПДн для подключения к ЗСПД обязательные для исполнения указания и рекомендации по вопросам информационной безопасности (далее – ИБ).
3.3 Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ИСПДн для подключения к ЗСПД.
3.4 Осуществлять взаимодействие с руководством Учреждения и персоналом ИСПДн для подключения к ЗСПД по вопросам обеспечения безопасности информации.
3.5 Запрашивать и получать от начальников и специалистов структурных подразделений Учреждения информацию и материалы, необходимые для организации своей работы.
3.6 Вносить на рассмотрение руководства предложения по улучшению состояния защиты информации в ИСПДн для подключения к ЗСПД.
3.7 Принимать участие в проведении мероприятий по контролю за обеспечением безопасности информации в ИСПДн для подключения к ЗСПД.
4.1 Ответственные за ЗИ, виновные в несоблюдении настоящей Инструкции, расцениваются как нарушители законодательства РФ в области защиты информации и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
Приложение 10
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
Администратору безопасности объекта информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения
к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере»
(ГИС ЕЦП)»» (далее – Инструкция)
1.1 Настоящая Инструкция определяет обязанности Администратора безопасности объекта информатизации – ««Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных ГИС ЕЦП» (далее – ИСПДн для подключения к ЗСПД).
1.2 Администратор безопасности назначается распоряжением Главы Администрации местного самоуправления Моздокского района или начальником структурного подразделения
1.3 Администратор безопасности в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России, ФСБ России, регламентирующими документами Администрации местного самоуправления Моздокского района и другими документами.
1.4 Администратор безопасности по вопросам обеспечения безопасности информации подчиняется ответственному за защиту информации.
1.5 Рабочее место Администратора безопасности должно быть оборудовано средствами физической защиты (личный сейф, железный шкаф или другое).
1.6 Администратор безопасности осуществляет методическое руководство пользователей ИСПДн для подключения к ЗСПД в вопросах обеспечения правильной работы с используемыми в ИСПДн для подключения к ЗСПД средствами защиты информации (далее - СЗИ).
1.7 Требования Администратора безопасности, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми пользователями ИСПДн для подключения к ЗСПД.
1.8 Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн для подключения к ЗСПД, состояние и поддержание установленного уровня защиты ИСПДн для подключения к ЗСПД.
2.1 Основными задачами Администратора безопасности являются:
2.2 В рамках выполнения основных задач Администратор безопасности осуществляет:
Администратор безопасности обязан:
3.1 Знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты информации, обрабатываемой в ИСПДн для подключения к ЗСПД.
3.2 Участвовать в установке, настройке и сопровождении СЗИ, используемых в ИСПДн для подключения к ЗСПД.
3.3 Вести журнал учета средств защиты информации.
3.4 Участвовать в приемке новых программных средств обработки информации.
3.5 Обеспечить доступ к защищаемой информации пользователям ИСПДн для подключения к ЗСПД согласно их правам доступа при получении оформленного соответствующим образом разрешения (заявки).
3.6 Уточнять в установленном порядке обязанности пользователей ИСПДн для подключения к ЗСПД при обработке ПДн.
3.7 Вести контроль осуществления резервного копирования информации.
3.8 Анализировать состояние защиты ИСПДн для подключения к ЗСПД.
3.9 Контролировать правильность функционирования средств защиты информации и неизменность их настроек.
3.10 Контролировать физическую сохранность технических средств обработки информации.
3.11 Контролировать исполнение пользователями ИСПДн для подключения к ЗСПД введенного режима безопасности, а также правильность работы с элементами ИСПДн для подключения к ЗСПД и средствами защиты информации.
3.12 Контролировать исполнение пользователями правил парольной политики.
3.13 Вести контроль над процессом осуществления резервного копирования объектов защиты в ИСПДн для подключения к ЗСПД.
3.14 Еженедельно анализировать журнал учета событий, регистрируемых средствами защиты, с целью контроля действий пользователей и выявления возможных нарушений.
3.15 Не допускать установку, использование, хранение и размножение в ИСПДн для подключения к ЗСПД программных средств, не связанных с выполнением функциональных задач.
3.16 Вести контроль за соблюдением установленного в ИСПДн для подключения к ЗСПД порядка организации работы с машинными носителями информации.
3.17 Не допускать к работе на элементах ИСПДн для подключения к ЗСПД посторонних лиц.
3.18 Осуществлять периодические контрольные проверки автоматизированных рабочих мест (АРМ) пользователей ИСПДн для подключения к ЗСПД.
3.19 Оказывать помощь пользователям ИСПДн для подключения к ЗСПД в части применения средств защиты и консультировать по вопросам введенного режима защиты.
3.20 В случае необходимости информировать руководство о состоянии защиты ИСПДн для подключения к ЗСПД и о нештатных ситуациях и допущенных пользователями нарушениях установленных требований по защите информации.
3.21 В случае отказа работоспособности СЗИ ИСПДн для подключения к ЗСПД принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
3.22 В случае выявления нарушений режима безопасности ПДн, а также возникновения внештатных и аварийных ситуаций принимать необходимые меры с целью ликвидации их последствий.
3.23 В случае изменения используемых информационных технологий, состава и размещения средств и систем информатики, условий их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в «Аттестате соответствия») произвести извещение органа по аттестации, выдавшего «Аттестат соответствия».
3.24 Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки информации, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта не рекомендуется передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации. При передачи ремонтным организациям узлов и блоков с элементами накопления и хранения информации, проводится гарантированное уничтожение защищаемой информации с использованием сертифицированных средств защиты от НСД.
Администратор безопасности имеет право:
4.1 Отключать от ресурсов ИСПДн для подключения к ЗСПД пользователей, осуществивших НСД к защищаемым ресурсам ИСПДн для подключения к ЗСПД для исполнения указания и рекомендации по вопросам ИБ.
4.2 Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ИСПДн для подключения к ЗСПД.
4.3 Осуществлять контроль информационных потоков, генерируемых пользователями ИСПДн для подключения к ЗСПД при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.
4.4 Осуществлять взаимодействие с руководством и персоналом ИСПДн для подключения к ЗСПД по вопросам обеспечения ИБ.
4.5 Запрещать устанавливать на автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.
4.6 Запрашивать и получать от пользователей системы информацию и материалы, необходимые для организации своей работы.
4.7 Вносить на рассмотрение руководства предложения по улучшению состояния безопасности ПДн, обрабатываемых на ИСПДн для подключения к ЗСПД.
4.8 Принимать участие в проведении мероприятий по контролю за обеспечением безопасности персональных данных.
4.9 Вносить изменения в конфигурацию ИСПДн для подключения к ЗСПД и предварительно произведя анализ потенциального воздействия планируемых изменений, согласовав внесение планируемых изменений с должностным лицом (работником), ответственным за обеспечение безопасности ПДн и получив разрешение органа по аттестации, выдавшего «Аттестат соответствия» на ИСПДн для подключения к ЗСПД.
4.10 Действовать в обход установленных процедур идентификации и аутентификации только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).
5.1 К попыткам НСД относятся:
5.2 При выявлении факта/попытки НСД Администратор безопасности обязан:
Администраторы безопасности, виновные в несоблюдении Настоящей инструкции расцениваются как нарушители Федерального законодательства РФ и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
|
|
|
Приложение 11
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
администратору объекта информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
1.1 Настоящая Инструкция определяет обязанности администратора объекта информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных ГИС ЕЦП» (далее – ИСПДн для подключения к ЗСПД).
1.2 Администратор ИСПДн для подключения к ЗСПД в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России, ФСБ России, регламентирующими документами Администрации местного самоуправления Моздокского района и другими документами в сфере защиты информации.
1.3 Администратор ИСПДн для подключения к ЗСПД подчиняется Главе Администрации местного самоуправления Моздокского района.
1.4 Методическое руководство работой Администратора ИСПДн для подключения к ЗСПД в вопросах обеспечения безопасности информации осуществляется ответственным за защиту информации.
1.5 Администратор ИСПДн для подключения к ЗСПД отвечает за обеспечение устойчивой работоспособности программных и аппаратных элементов ИСПДн для подключения к ЗСПД.
1.6 Администратор ИСПДн для подключения к ЗСПД несет персональную ответственность за качество проводимых им работ по обеспечению работоспособности программных и аппаратных элементов ИСПДн для подключения к ЗСПД, в т.ч. за их установку и настройку.
Администратор ИСПДн для подключения к ЗСПД обязан:
2.1 Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.2 Обеспечивать установку, настройку и своевременное обновление элементов автоматизированной системы:
2.3 Обеспечивать работоспособность элементов ИСПДн для подключения к ЗСПД и вычислительной сети.
2.4 Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.
2.5 В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн для подключения к ЗСПД принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
2.6 Проводить периодический контроль принятых мер по защите, в пределах, возложенных на него функций.
2.7 Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации, в пределах возложенных полномочий.
2.8 Информировать Администратора безопасности ИСПДн для подключения к ЗСПД о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн для подключения к ЗСПД.
2.9 Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн для подключения к ЗСПД.
2.10 Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации.
2.11 Присутствовать при выполнении технического обслуживания элементов ИСПДн для подключения к ЗСПД, сторонними физическими людьми и организациями.
2.12 Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.
Администратор ИСПДн для подключения к ЗСПД имеет право:
3.1 Отключать от ресурсов ИСПДн для подключения к ЗСПД пользователей, осуществивших НСД к защищаемым ресурсам ИСПДн для подключения к ЗСПД или нарушивших другие требования по ИБ.
3.2 Давать пользователям обязательные для исполнения указания и рекомендации по вопросам обеспечения нормального функционирования программных и аппаратных элементов ИСПДн для подключения к ЗСПД и локальной вычислительной сети.
3.3 Осуществлять контроль информационных потоков, генерируемых пользователями ИСПДн для подключения к ЗСПД при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.
3.4 Осуществлять взаимодействие с руководством и персоналом ИСПДн для подключения к ЗСПД по вопросам нормального функционирования программных и аппаратных элементов ИСПДн для подключения к ЗСПД и локальной вычислительной сети.
3.5 Запрещать устанавливать на автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.
3.6 Запрашивать и получать от начальников и специалистов структурных подразделений Учреждения информацию и материалы, необходимые для организации своей работы.
3.7 Вносить на рассмотрение руководства предложения по улучшению нормального функционирования программных и аппаратных элементов ИСПДн для подключения к ЗСПД и локальной вычислительной сети.
3.8 Принимать участие в проведении мероприятий по контролю за обеспечением безопасности персональных данных.
3.9 Действовать в обход установленных процедур идентификации и аутентификации только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).
Администраторы ИСПДн для подключения к ЗСПД, виновные в несоблюдении Настоящей инструкции расцениваются как нарушители Федерального закона и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
|
|
|
Приложение 12
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
о порядке работы пользователя на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
1.1 Пользователь осуществляет обработку защищаемой информации, в том числе персональных данных, на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского района Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных ГИС ЕЦП» (далее – ИСПДн для подключения к ЗСПД).
1.2 Пользователем является каждый работник Администрации местного самоуправления Моздокского районо, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты ИСПДн для подключения к ЗСПД.
1.3 Пользователь несет персональную ответственность за свои действия.
1.4 Пользователь в своей работе руководствуется настоящей инструкцией, нормативными документами ФСТЭК России, ФСБ России, регламентирующими документами Учреждения и другими документами.
1.5 Методическое руководство работой пользователя в части выполнения положений законодательства Российской Федерации и внутренних документов Администрации местного самоуправления Моздокского районо в области обеспечения защиты информации осуществляется администратором безопасности ИСПДн для подключения к ЗСПД.
Пользователь информационной системы, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн для подключения к ЗСПД, несет персональную ответственность за свои действия и обязан:
2.1 Решать поставленные задачи работникам муниципального архива Администрации местного самоуправления Моздокского района в соответствии с полномочиями доступа к ресурсам ИСПДн для подключения к ЗСПД, присвоенными администратором безопасности данному пользователю. При этом для хранения файлов, содержащих конфиденциальные сведения, разрешается использовать только соответствующим образом учтенные носители информации.
2.2 Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций и распоряжений, регламентирующих порядок действий по защите информации.
2.3 Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты).
2.4 Знать и строго выполнять правила работы со средствами защиты информации, установленными на ИСПДн для подключения к ЗСПД.
2.5 Хранить в тайне свой пароль. Периодически менять пароль в соответствии с Инструкцией по организации парольной защиты.
2.6 По окончании работы пользователь обязан произвести стирание остаточной информации на несъемных носителях (жестких дисках) и в оперативной памяти. Одним из способов стирания остаточной информации в оперативной памяти является перезагрузка АРМ.
2.7 В случае отказа системы в идентификации пользователя, либо не подтверждения личного пароля немедленно обратиться к администратору безопасности.
2.8 Строго соблюдать требования Инструкции по организации антивирусной защиты. В случае обнаружения вирусов немедленно сообщить об этом администратору безопасности.
2.9 Знать и соблюдать установленные требования по учету, хранению машинных носителей информации.
2.10 Немедленно ставить в известность администратора безопасности и в случае подозрения, а также при обнаружении фактов совершения попыток несанкционированного доступа (далее – НСД) к ресурсам ИСПДн для подключения к ЗСПД:
2.11 Для получения консультаций по вопросам работы АРМ и настройке программного обеспечения необходимо обращаться к администратору ИСПДн для подключения к ЗСПД, по вопросам работы средств защиты информации – к администратору безопасности.
2.12 Принимать меры по реагированию, в случае возникновения нештатных и аварийных ситуаций, с целью ликвидации их последствий, в пределах, возложенных на него функций.
2.13 Пользователям запрещается:
3.1 Работа в сетях общего доступа и (или) международного информационного обмена (сети Интернет и других) (далее – Сеть) на элементах ИСПДн для подключения к ЗСПД, должна проводиться при служебной необходимости.
Пользователь ИСПДн для подключения к ЗСПД имеет право в отведенное ему время решать поставленные задачи в соответствии с его полномочиями к ресурсам ИСПДн для подключения к ЗСПД и вверенным ему техническим и программным средствам.
Пользователь ИСПДн для подключения к ЗСПД, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн для подключения к ЗСПД, несет персональную ответственность за свои действия.
Также пользователь ИСПДн для подключения к ЗСПД несет ответственность по действующему законодательству за разглашение сведений конфиденциального характера, ставших известными ему по роду работы.
Пользователи, виновные в несоблюдении настоящей Инструкции, расцениваются как нарушители законодательства РФ в области защиты информации и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Приложение 13
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
по организации парольной защиты на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания
для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа
в социальной сфере» (ГИС ЕЦП)»»
1.1. Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) при организации доступа на объект информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского района Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных ГИС ЕЦП» (далее – ИСПДн для подключения к ЗСПД).
1.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей для доступа к ИСПДн для подключения к ЗСПД Администрации местного самоуправления Моздокского района, возлагается на администратора безопасности ИСПДн для подключения к ЗСПД Учреждения (далее – администратор безопасности).
1.3. Повседневный контроль за действиями пользователей при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора безопасности.
2.1. Личные пароли должны генерироваться и распределяться централизованно администратором безопасности с учетом следующих требований:
2.2 Ответственность за правильность формирования и распределения паролей возлагается на администратора безопасности.
2.3 Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 180 дней.
2.4 Блокировка программно-технических средств ИСПДн для подключения к ЗСПД или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации должна составлять от 3 до 15 минут.
2.5 Внеплановая смена личного пароля или удаление (блокирование) учетной записи пользователя системы в случае прекращения его полномочий (увольнение и т.п.) должна производиться администратором безопасности немедленно после окончания последнего сеанса работы данного пользователя с системой.
2.6 В случае прекращения полномочий администратора безопасности производится полная внеплановая смена всех паролей.
2.7 В случае компрометации личного пароля пользователя системы должны быть немедленно предприняты меры в соответствии с п. 2.4 или п. 2.5. настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
2.8 Использование в ИСПДн для подключения к ЗСПД 2-х последних значений паролей при создании новых паролей не допустимо.
2.9 Хранение пользователем значений своих паролей на бумажном носителе допускается только в опечатанном печатью конверте в сейфе у администратора безопасности.
2.10 При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т. п.). Вводимые символы пароля должны отображаться условными знаками «*», «·» или иными знаками.
2.11 Повседневный контроль за действиями исполнителей при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора безопасности.
2.12 Временные пароли, заданные при внедрении системы защиты информации ИСПДн для подключения к ЗСПД сотрудниками сторонних организаций, рекомендуется изменить при первом входе в систему.
2.13 Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
3.1 Ответственность за соблюдение требований хранения и использования паролей возлагается на их владельца.
3.2 Ответственность за соблюдение требований, а также за своевременное информирование о необходимости смены паролей в подразделении возлагается на администратора безопасности ИСПДн для подключения к ЗСПД.
|
|
|
Приложение 14
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
о действиях лиц, допущенных к работе на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
1.1 Настоящая инструкция определяет действия лиц, допущенных к работе на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского района Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных ГИС ЕЦП» (далее – ИСПДн для подключения к ЗСПД) в случае возникновения инцидентов в процессах обработки информации, в т. ч. Персональных данных.
1.2 Положения настоящей инструкции обязательны для исполнения всеми должностными лицами, допущенными к работе в ИСПДн для подключения к ЗСПД в части выполнения возложенных на них обязанностей.
1.3. Общими требованиями ко всем лицам, допущенным к работе на ИСПДн для подключения к ЗСПД, в случае возникновения нештатной ситуации или другого инцидента являются:
2.1 Сбой программного обеспечения.
2.1.1 Администратор ИСПДн для подключения к ЗСПД выясняет причину сбоя программного обеспечения. Если привести систему в работоспособное состояние своими силами (в том числе после консультаций с разработчиками программного обеспечения) не удалось, копия акта и сопроводительных материалов (а также файлов, если это необходимо) направляются разработчику программного обеспечения для устранения причин, приведших к сбою. О произошедшем инциденте администратор ИСПДн для подключения к ЗСПД сообщает руководителю Учреждения для принятия решения, по существу.
2.2 Отключение электропитания технических средств ИСПДн для подключения к ЗСПД.
2.2.1 Администратор ИСПДн для подключения к ЗСПД проводит анализ на наличие потерь и (или) разрушения данных и программного обеспечения, а также проверяют работоспособность оборудования. В случае необходимости производится восстановление программного обеспечения и данных из последней резервной копии с составлением акта. О произошедшем инциденте администратор ИСПДн для подключения к ЗСПД сообщает руководителю Учреждения для принятия решения, по существу.
2.3 Выход из строя технических средств ИСПДн для подключения к ЗСПД (рабочих станций, источников бесперебойного питания, программно-аппаратных средств межсетевого экранирования и т.д.).
2.3.1 Администратор ИСПДн для подключения к ЗСПД совместно с администратором безопасности ИСПДн для подключения к ЗСПД выполняют мероприятия по ремонту неисправного технического средства ИСПДн для подключения к ЗСПД.
2.3.2 В случае необходимости уведомить о выходе из строя технических средств ИСПДн для подключения к ЗСПД администратора ИСПДн для подключения к ЗСПД.
2.3.3 При необходимости производятся работы по восстановлению программного обеспечения из эталонных копий с составлением акта. О произошедшем инциденте необходимо сообщить администратору безопасности для принятия решения, по существу.
2.4 Обнаружение вредоносной программы в программной среде средств автоматизации ИСПДн для подключения к ЗСПД.
2.4.1 При обнаружении вредоносной программы (ВП) производится ее локализация с целью предотвращения ее дальнейшего распространения. При этом зараженную рабочая станцию рекомендуется физически отсоединить от локальной вычислительной сети, и администратор безопасности ИСПДн для подключения к ЗСПД проводит анализ состояния рабочей станции.
2.4.2 После ликвидации ВП проводится внеочередная проверка на всех средствах локальной вычислительной системы с применением обновленных антивирусных баз. При необходимости производится восстановление программного обеспечения из эталонных копий с составлением акта.
2.4.3 По факту появления ВП в локальной вычислительной сети может быть проведено служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем.
2.5 Утечка информации.
2.5.1 При обнаружении утечки информации ставится в известность администратор безопасности ИСПДн для подключения к ЗСПД. По факту может быть произведена процедура служебного расследования. Если утечка информации произошла по техническим причинам, проводится анализ защищенности процессов ИСПДн для подключения к ЗСПД и, если необходимо, принимаются меры по устранению каналов утечки и предотвращению их возникновения.
2.6 Взлом операционной системы средств автоматизации ИСПДн для подключения к ЗСПД (несанкционированное получение доступа к ресурсам операционной системы).
2.6.1. При обнаружении взлома рабочей станции ставятся в известность администратор ИСПДн для подключения к ЗСПД и администратор безопасности ИСПДн для подключения к ЗСПД.
2.6.2. По возможности производится временное отключение рабочей станции от локальной вычислительной сети ИСПДн для подключения к ЗСПД для проверки на наличие ВП.
2.6.3. Администратором безопасности ИСПДн для подключения к ЗСПД проверяется целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, проводится анализ состояния файлов - скриптов и журналов сервера, производится смена всех паролей, которые имели отношение к данному серверу.
2.6.4 В случае необходимости производится восстановление программного обеспечения из эталонных копий с составлением акта.
2.6.5 По результатам анализа ситуации проверяется вероятность проникновения несанкционированных программ в ИСПДн для подключения к ЗСПД, после чего проводятся аналогичные работы по проверке и восстановлению программного обеспечения и данных на других информационных узлах ИСПДн для подключения к ЗСПД.
2.7 Попытка несанкционированного доступа (НСД).
2.7.1. При попытке НСД администратором безопасности ИСПДн для подключения к ЗСПД проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД. По результатам анализа, в случае необходимости (есть реальная угроза НСД), принимаются меры по предотвращению НСД.
2.7.2 Проводится внеплановая смена паролей. В случае появления обновлений программного обеспечения, устраняющих уязвимости системы безопасности, администратором ИСПДн для подключения к ЗСПД устанавливаются такие обновления.
2.7.3 По факту попытки НСД может быть проведено служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем Учреждения.
2.7.4 В случае установления в ходе служебного расследования факта осуществления попытки НСД со стороны внешних по отношению к ИСПДн для подключения к ЗСПД субъектов, лицами, уполномоченными на проведение такого расследования, принимаются меры по фиксации и документированию факта инцидента и готовятся материалы для передачи в компетентные органы дознания для проведения предварительного расследования, установления субъекта-нарушителя, определения наличия состава преступления и принятия решения о возбуждении уголовного дела.
2.8 Компрометация ключевой информации (паролей доступа).
2.8.1 При компрометации ключевой информации (пароля доступа) администратором безопасности ИСПДн для подключения к ЗСПД принимаются необходимые меры по минимизации возможного (или нанесенного) ущерба.
2.8.2 О произошедшем инциденте сообщается руководителю Учреждения для принятия решения, по существу.
2.9 Физическое повреждение или хищение оборудования технических средств ИСПДн для подключения к ЗСПД.
2.9.1 Сотрудником, обнаружившим физическое повреждение элементов ИСПДн для подключения к ЗСПД, ставятся в известность: администратор ИСПДн для подключения к ЗСПД, администратор безопасности ИСПДн для подключения к ЗСПД.
2.9.2 Администратором безопасности ИСПДн для подключения к ЗСПД проводится анализ с целью оценки возможности утечки или повреждения информации. Определяется причина повреждения элементов ИСПДн для подключения к ЗСПД и возможные угрозы информационной безопасности.
2.9.3 О факте повреждения элементов ИСПДн для подключения к ЗСПД в случае необходимости администратор безопасности ИСПДн для подключения к ЗСПД докладывает руководителю Учреждения.
2.9.4 В случае возникновения подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование.
2.9.5 Администратором безопасности ИСПДн для подключения к ЗСПД проводится проверка программного обеспечения на целостность и на наличие ВП, а также проверка целостности данных и анализ электронных журналов.
2.9.6 При необходимости администратором ИСПДн для подключения к ЗСПД проводятся мероприятия по восстановлению программного обеспечения из эталонных копий с составлением акта.
2.10 Невыполнение установленных правил ИБ (правил работы ИСПДн для подключения к ЗСПД), использование ИСПДн для подключения к ЗСПД с нарушением требований, установленных в нормативно-технической и (или) конструкторской документации.
2.10.1 Сотрудником, обнаружившим невыполнение установленных правил ИБ, использование ИСПДн для подключения к ЗСПД с нарушением требований, установленных в нормативно-технической и (или) конструкторской документации, ставятся в известность администратор безопасности ИСПДн для подключения к ЗСПД.
2.10.2 Администратором безопасности ИСПДн для подключения к ЗСПД проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы информационной безопасности в результате инцидента.
2.10.3 Об обнаруженном факте администратор безопасности ИСПДн для подключения к ЗСПД в случае необходимости докладывает руководителю Учреждения.
2.10.4 При необходимости по решению руководителя Учреждения по фактам выявленных нарушений проводится служебное расследование.
2.11 Ошибки сотрудников.
2.11.1 В случае возникновения сбоя, связанного с ошибками сотрудников, администратором безопасности ИСПДн для подключения к ЗСПД проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы информационной безопасности в результате инцидента и необходимость восстановления программного обеспечения.
2.11.2 При необходимости проводятся мероприятия по восстановлению программного обеспечения и данных из эталонных копий с составлением акта.
2.11.3 В случае нанесения значительного ущерба вследствие ошибок работников по решению руководства Учреждения может быть проведено служебное расследование.
2.12 Отказ в обслуживании.
2.12.1 Сотрудником, обнаружившим отказ в обслуживании, ставятся в известность администратор безопасности ИСПДн для подключения к ЗСПД.
2.12.2. Администратором безопасности ИСПДн для подключения к ЗСПД проводится анализ с целью определения причин, вызвавших отказ в обслуживании.
2.12.3 Администратором безопасности ИСПДн для подключения к ЗСПД проводится проверка программного обеспечения на целостность и на наличие ВП, а также проверка целостности данных и анализ электронных журналов.
2.12.4 При необходимости, проводятся мероприятия по восстановлению программного обеспечения с составлением акта.
2.12.5 О причинах инцидента и принятых мерах администратор безопасности ИСПДн для подключения к ЗСПД в случае необходимости информирует руководителя Учреждения.
2.13 Несанкционированные изменения состава программных и аппаратных средств (конфигурации) ИСПДн для подключения к ЗСПД.
2.13.1 В случае обнаружения несанкционированного изменения состава программных и аппаратных средств (конфигурации) ИСПДн для подключения к ЗСПД администратором безопасности ИСПДн для подключения к ЗСПД проводится анализ с целью оценки возможности утечки или повреждения информации. Определяются возможные угрозы ИБ в результате инцидента.
2.13.2 Администратором ИСПДн для подключения к ЗСПД совместно с администратором безопасности ИСПДн для подключения к ЗСПД проводятся мероприятия по восстановлению программного обеспечения, а также (при необходимости) проверка на наличие компьютерных ВП.
2.13.3 Об инциденте необходимо доложить руководителю Учреждения.
2.14 Техногенные и природные проявления нештатных ситуаций.
2.14.1 При стихийном бедствии, пожаре или наводнении, грозящем уничтожению или повреждению информации (данных), сотруднику, обнаружившему факт возникновения нештатной ситуации:
2.14.2 После оперативной ликвидации причин, вызвавших пожар или наводнение, назначается внутренняя комиссия по устранению последствий инцидента.
2.14.3 Комиссия определяет ущерб (состав и объем уничтоженных оборудования и информации) и причины, по которым произошло происшествие, а также выявляет виновных.
|
|
|
Приложение 15
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
по организации резервного копирования на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
Настоящая инструкция определяет действия, связанные с функционированием на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД), меры и средства поддержания непрерывности работы и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн для подключения к ЗСПД.
Целью настоящего документа является превентивная защита элементов ИСПДн для подключения к ЗСПД от предотвращения потери защищаемой информации.
Задачей данной инструкции является:
Действие настоящей инструкции распространяется на всех пользователей, имеющих доступ к ресурсам ИСПДн для подключения к ЗСПД, а также на основные системы обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:
Пересмотр настоящего документа осуществляется по мере необходимости, но не реже раза в два года.
Ответственным сотрудником за реагирование на инциденты безопасности, приводящие к потере защищаемой информации, назначается администратор безопасности ИСПДн для подключения к ЗСПД.
для подключения к ЗСПД
Под резервным копированием информации понимается создание избыточных копий защищаемой информации в электронном виде для быстрого восстановления работоспособности ИСПДн для подключения к ЗСПД в случае возникновения аварийной ситуации, повлекшей за собой повреждение или утрату данных.
Резервное копирование и хранение данных должно осуществлять на периодической основе:
Резервному копированию подлежит информация следующих основных категорий:
Данные о проведение процедуры резервного копирования, должны отражаться в специально созданном журнале учета.
Машинные носители информации, на которые произведено резервное копирование, должны быть учтены в журнале учета машинных носителей для архивного копирования (Приложение 2), который находится у администратора безопасности. В случае неотделимости носителей архивной информации от системы резервного копирования допускается их не маркировать и учитывать всю систему как одно целое.
Физический доступ к архивным копиям предоставляется только администратору ИСПДн для подключения к ЗСПД и администратору безопасности.
Передача машинных носителей с архивными копиями кому бы то ни было без документального оформления не допускается.
Носители должны храниться в несгораемом шкафу или помещении, оборудованном системой пожаротушения.
Носители должны храниться не менее года, для возможности восстановления данных.
Уничтожение отделяемых машинных носителей архивных копий производится установленным порядком в случае прихода их в негодность или замены типа носителя с обязательной записью в журнале их учета.
На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, осуществляется ежедневное копирование информации, подлежащей резервированию, с использованием средств файловых систем серверов, располагающих необходимыми объемами дискового пространства для её хранения.
В случае необходимости восстановление данных из резервных копий производится администратором ИСПДн для подключения к ЗСПД или администратором безопасности.
Восстановление данных из резервных копий происходит в случае их исчезновения или нарушения вследствие несанкционированного доступа в систему, воздействия вирусов, программных ошибок, ошибок работников и аппаратных сбоев.
Восстановление системного программного обеспечения и программного обеспечения общего назначения производится с их носителей в соответствии с инструкциями производителя.
Восстановление специализированного программного обеспечения производится с дистрибутивных носителей или их резервных копий в соответствии с инструкциями по установке или восстановлению данного программного обеспечения.
Восстановление информации, не относящейся к постоянно изменяемым базам данных, производится с резервных носителей. При этом используется последняя копия информации.
При частичном нарушении или исчезновении записей баз данных восстановление производится с последней ненарушенной ежедневной копии. Полностью информация восстанавливается с последней еженедельной копии, которая затем дополняется ежедневными частичными резервными копиями.
Ответственность за контроль над своевременным осуществлением резервного копирования и соблюдением настоящей инструкции, а также за выполнением требований по хранению архивных копий и предотвращению несанкционированного доступа к ним возлагается на администратора безопасности ИСПДн для подключения к ЗСПД.
|
|
|
Приложение 16
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
по защите информации о событиях безопасности на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
Настоящая инструкция по организации защиты информации о событиях безопасности на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД) определяет основные мероприятия по защите информации о событиях безопасности в ИСПДн для подключения к ЗСПД.
События безопасности, подлежащие регистрации в ИСПДн для подключения к ЗСПД, определяются с учетом способов реализации угроз безопасности информации. К событиям безопасности, подлежащим регистрации в ИСПДн для подключения к ЗСПД, отнесены любые проявления состояния информационной системы и ее системы защиты информации, указывающие на возможность нарушения конфиденциальности, целостности или доступности информации, доступности компонентов ИСПДн для подключения к ЗСПД, нарушения процедур, установленных организационно-распорядительными документами по защите информации, а также нарушения штатного функционирования средств защиты информации.
В ИСПДн для подключения к ЗСПД определены следующие события безопасности, подлежащие регистрации:
События безопасности, подлежащие регистрации ИСПДн для подключения к ЗСПД, и сроки хранения соответствующих записей регистрационных журналов, обеспечивают возможность обнаружения, идентификации и анализа инцидентов, возникших в ИСПДн для подключения к ЗСПД.
Так же подлежат регистрации события безопасности, связанные с применением выбранных мер по защите информации в ИСПДн для подключения к ЗСПД.
Перечень событий безопасности, регистрация которых осуществляется в текущий момент времени, определяется администратором безопасности, исходя из возможностей реализации угроз безопасности информации.
Срок хранения информации о зарегистрированных событиях безопасности должен составлять не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации.
Защита информации о событиях безопасности (записях регистрации (аудита)) обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, определенных в соответствии с методическими документами, и в том числе включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий.
Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только администратору безопасности ИСПДн для подключения к ЗСПД.
В ИСПДн для подключения к ЗСПД для обеспечения защиты информации о событиях безопасности, перед установкой СЗИ осуществляется синхронизация системного времени и даты. Администратор безопасности осуществляет контроль неизменности установленного системного времени и проводит периодическую проверку журналов регистрации событий, для контроля правильности отображения временных меток.
Сбор, запись и хранение информации о событиях безопасности осуществляется с помощью встроенных средств операционной системы и установленных СЗИ.
В целях предотвращения сбоев при регистрации событий безопасности СЗИ и операционной системы в ИСПДн для подключения к ЗСПД:
Приложение 17
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
о порядке изменения состава и конфигурации технических и программных средств на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – Инструкция)
Настоящей инструкцией регламентируется порядок проведения модификации программного обеспечения и технического обслуживания средств вычислительной техники на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД).
Право внесения изменений в конфигурацию программно-аппаратных средств информационных узлов (рабочих станций, серверов) и телекоммуникационного оборудования, предназначенного для обработки информации в ИСПДн для подключения к ЗСПД, предоставляется:
Изменение конфигурации аппаратно-программных средств защищенных рабочих станций (АРМ) и серверов кем-либо, кроме перечисленных лиц, запрещено.
Для внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций ИСПДн для подключения к ЗСПД начальнику структурного подразделения, в котором вносятся изменения, подается заявка на имя администратора безопасности по форме определенной приложение 2 к настоящей Инструкции, которая им рассматривается.
В заявках могут быть указаны следующие виды необходимых изменений в составе программных и аппаратных средств рабочих станций и серверов подразделения:
В заявке указываются условные наименования развернутых рабочих станций (АРМ) и серверов в соответствии с их паспортами. Программные средства указываются в соответствии с перечнем программных средств и программ, которые используются в ИСПДн для подключения к ЗСПД.
Администратор безопасности при согласовании заявки учитывает возможность совмещения решения новых задач (обработки информации) на указанных в заявке рабочих станциях (АРМ) или серверах в соответствии с требованиями по безопасности.
Все изменения в конфигурации технических и программных средств ИСПДн для подключения к ЗСПД должны производиться только после их согласования с органом по аттестации, выдавшим «Аттестат соответствия» на ИСПДн для подключения к ЗСПД.
После этого осуществляется непосредственное исполнение работ по внесению изменений в конфигурацию рабочих станций (АРМ) или серверов ИСПДн для подключения к ЗСПД.
Начальник структурного подразделения, в котором установлены аппаратно-программные средства, подлежащие модернизации, допускает уполномоченных исполнителей (администратора ИСПДн для подключения к ЗСПД и (или) администратора безопасности) к внесению изменений в состав аппаратных средств и ПО.
Установка, изменение (обновление) и удаление системных и прикладных программных средств производится администратором ИСПДн для подключения к ЗСПД.
Установка, снятие и внесение необходимых изменений в настройки СЗИ от НСД и средств контроля целостности файлов на рабочих станциях осуществляется администратором безопасности. Работы производятся в присутствии пользователя данной рабочей станции.
Установка или обновление подсистем ИСПДн для подключения к ЗСПД проводится в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
Модификация ПО на сервере осуществляется администратором ИСПДн для подключения к ЗСПД по согласованию с администратором безопасности.
После установки модифицированных модулей на сервер администратор безопасности устанавливает защиту целостности модулей на сервере (производит пересчет контрольных сумм с помощью специальных программных средств, прошедших оценку соответствия).
После проведения модификации ПО на рабочих станциях администратором безопасности должен быть проведен антивирусный контроль.
Установка и обновление общесистемного и прикладного ПО на рабочие станции (АРМ) и серверы производится с оригинальных лицензионных дистрибутивных носителей (компакт-дисков и др.), полученных установленным порядком.
Все добавляемые программные и аппаратные компоненты предварительно проверяются на работоспособность, контроль наличия проверок работоспособности осуществляет администратор ИСПДн для подключения к ЗСПД.
После установки (обновления) ПО, администратор ИСПДн для подключения к ЗСПД (при использовании специализированных СЗИ от НСД - администратор безопасности) производит настройку средств управления доступом к данному программному средству и проверяет работоспособность ПО и правильность настройки СЗИ.
После завершения работ по внесению изменений в состав аппаратных средств рабочей станции (АРМ), ее системный блок закрывается уполномоченным работником подразделения ИТ на ключ (при наличии штатных механических замков) и опечатывается (пломбируется, защищается специальной наклейкой) с возможностью постоянного визуального контроля за ее целостностью.
Уполномоченные исполнители работ производят соответствующую запись в журнале фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов) ИСПДн для подключения к ЗСПДпо форме определенной приложение 1 к настоящей Инструкции..
Администратор безопасности проводит периодический контроль за опечатыванием узлов и блоков ИСПДн для подключения к ЗСПД.
На обратной стороне заявки (Приложение 2) делается отметка о выполнении, и исполненная заявка передается администратору безопасности для хранения.
При изъятии рабочей станции (сервера) из состава ИСПДн для подключения к ЗСПД, ее передача на склад, в ремонт или в другое структурное подразделение для решения иных задач осуществляется только после того, как с данной рабочей станции (сервера) будут удалены все СЗИ и предприняты необходимые меры для затирания (удаления) защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом об уничтожении информации, хранившейся на диске компьютера.
Приложение 1
к Инструкции о порядке изменения состава и конфигурации технических и программных средств на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
(форма)
Журнал фактов вскрытия и опечатывания рабочих станций и серверов, выполнения профилактических работ, установки и модификации программных средств на элементах объекта информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения
к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа
в социальной сфере» (ГИС ЕЦП)»»
Начат «____» _____________ 20__ г.
Окончен «____» _____________ 20__ г.
На ______листах
_________________________________________________________ __________
должность и Ф.И.О. ответственного за ведение и хранение журнала Подпись
|
№ п/п |
Дата |
Краткое описание выполненной работы |
ФИО исполнителей и их подписи |
ФИО ответственного за эксплуатацию АРМ, подпись |
Подпись Администратора безопасности |
Примечание (ссылка на заявку) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 2 к Инструкции о порядке изменения состава и конфигурации технических и программных средств на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
(форма) Администратору безопасности информации ИСПДн для подключения к ЗСПД |
|
|
|
ЗАЯВКА
на внесение изменений в состав аппаратно-программных/программных
средств ИСПДн для подключения к ЗСПД
Прошу произвести следующие изменения конфигурации аппаратно-программных/программных средств ИСПДн для подключения к ЗСПД в
_____________________________________________________________________________
(наименование подразделения)
развернуть новую рабочую станцию, установить на (обновить на / снять с) нее _____________________ компоненты, необходимые для решения следующих задач: _____________________________________________________________________________
(наименование задач)
|
Начальник |
_________________________________________________________________ (наименование подразделения) |
||
|
«___» _____________ 20__ г. |
_________________________ (подпись) |
_________________________ (фамилия и инициалы) |
|
Отметка о выполнении:
________________________________ ______________
(фамилия, инициалы) (подпись)
«_____» ______________
Приложение 18
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
по обеспечению защиты информации при выводе из эксплуатации или после принятия решения об окончании обработки информации на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
1.1. Настоящая инструкция предназначена для обеспечения защиты информации при выводе из эксплуатации или после принятия решения об окончании обработки информации на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД).
2.1. Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации осуществляется оператором ИСПДн для подключения к ЗСПД, в соответствии с эксплуатационной документацией на систему защиты информации ИСПДн для подключения к ЗСПД и организационно-распорядительными документами по защите информации, и в том числе включает:
2.2. Архивирование информации, содержащейся в информационной системе, должно осуществляться при необходимости дальнейшего использования информации в деятельности оператора ИСПДн для подключения к ЗСПД.
2.3. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации на ИСПДн для подключения к ЗСПД, производится при необходимости передачи машинного носителя информации другому пользователю информационной системы или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения.
При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется гарантированная очистка (стирание) данных с этих машинных носителей информации в соответствии с утвержденным Порядком обращения, хранения и уничтожения машинных носителей защищаемой информации в ИСПДн для подключения к ЗСПД.
При выводе из эксплуатации элементов ИСПДн для подключения к ЗСПД, содержащих оптические носители информации (CD-дисков), используемые для хранения и обработки информации, осуществляется физическое уничтожение этих оптических носителей информации в соответствии с утвержденным порядком обращения, хранения и уничтожения машинных носителей информации в ИСПДн для подключения к ЗСПД.
3.1 Ответственность за соблюдение требований по обеспечения защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации возлагается на оператора.
|
|
|
Приложение 19
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
об использовании мобильных технических средств на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
Настоящая инструкция определяет порядок использования мобильных технических средств на объекте информатизации – ««Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД).
В качестве мобильных технических средств рассматриваются съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства).
При использовании мобильных технических средств в ИСПДн для подключения к ЗСПД запрещается:
Устройства ввода аудио (микрофоны) и видео (веб камеры) информации мобильных технических средств, используемых в ИСПДн для подключения к ЗСПД, должны быть отключены.
Администратором безопасности ИСПДн для подключения к ЗСПД обеспечивается:
Запрет использования в информационной системе, не входящих в ее состав (находящихся в личном использовании) съемных машинных носителей информации;
Запрет использования в информационной системе съемных машинных носителей информации, для которых не определен владелец (пользователь, организация, ответственные за принятие мер защиты информации);
Очистка машинного носителя информации мобильного технического средства, переустановка программного обеспечения и выполнение иных мер по защите информации мобильных технических средств, после их использования за пределами контролируемой зоны;
Предоставление доступа с использованием мобильных технических средств к объектам доступа информационной системы только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
Запрет использования устройств ввода аудио (микрофоны) и видео (веб-камеры) информации технических средств;
Подключение мобильных технических средств к ресурсам ИСПДн для подключения к ЗСПД должно осуществляться только по проводным каналам связи. Использование для подключения к ресурсам ИСПДн для подключения к ЗСПД беспроводных точек доступа (Wi-Fi и др.) запрещено.
Администратором безопасности ИСПДн для подключения к ЗСПД обеспечивается запрет подключения к беспроводным сетям доступа технических средств, имеющих в своем составе модули беспроводного доступа (моноблоки, стационарные АРМ, принтера и другие технические средства).
Ответственность за правильную эксплуатацию мобильных и технических средств, имеющих в своем составе модули беспроводного доступа, несут пользователи ИСПДн для подключения к ЗСПД и Администратор безопасности ИСПДн для подключения к ЗСПД.
Контроль за соблюдением пользователями правил эксплуатации мобильных технических средств и технических средств, имеющих в своем составе модули беспроводного доступа возлагается на Администратора безопасности ИСПДн для подключения к ЗСПД.
Контроль за соблюдением пользователями правил эксплуатации мобильных технических средств возлагается на администратора безопасности ИСПДн для подключения к ЗСПД.
|
|
|
Приложение 20
к распоряжению
Главы Администрации
местного самоуправления
Моздокского района
№144 от 04.03.2024 г.
Инструкция
по организации антивирусной защиты на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»»
1.1 Настоящая инструкция определяет требования к организации антивирусной защиты на объекте информатизации – «Информационная система персональных данных Администрации местного самоуправления Моздокского районо Республики Северная Осетия - Алания для подключения к защищенной сети передачи данных Государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (ГИС ЕЦП)»» (далее – ИСПДн для подключения к ЗСПД) от разрушающего воздействия компьютерных вирусов и устанавливает ответственность персонала ИСПДн для подключения к ЗСПД, осуществляющего эксплуатацию и сопровождение ИСПДн для подключения к ЗСПД за их выполнение.
1.2 К использованию в ИСПДн для подключения к ЗСПД допускаются только лицензионные и сертифицированные ФСТЭК России средства антивирусной защиты, закупленные у разработчиков (поставщиков) указанных средств.
1.3 Установка и настройка средств антивирусной защиты, а также обновление антивирусных баз на АРМ пользователей и серверах ИСПДн для подключения к ЗСПД, осуществляется Администратором безопасности ИСПДн для подключения к ЗСПД в соответствии с руководствами по применению конкретных антивирусных средств.
1.4 Средства антивирусной защиты должны быть установлены на все средства вычислительной техники (далее по тексту - СВТ) (при наличии технической возможности), входящие в состав ИСПДн для подключения к ЗСПД.
1.5 В ИСПДн для подключения к ЗСПД права по управлению (администрированию) средствами антивирусной защиты предоставлены только Администратору безопасности ИСПДн для подключения к ЗСПД.
1.6 Разработка и осуществление мероприятий по проведению антивирусного контроля осуществляется Ответственным за организацию и обеспечение защиты информации ИСПДн для подключения к ЗСПД с привлечением (при необходимости) Администратора безопасности ИСПДн для подключения к ЗСПД и/или специалистов лицензированной организации.
1.7 Должностные лица, допущенные к работе в ИСПДн для подключения к ЗСПД, не должны допускать использования в ИСПДН ФИС ФРДО программного обеспечения и данных, не связанных с выполнением должностных обязанностей.
1.8 В ИСПДн для подключения к ЗСПД обеспечивается централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на компонентах информационной системы (автоматизированных рабочих местах и серверах).
1.9 В ИСПДн для подключения к ЗСПД обеспечивается централизованное управление обновлением базы данных признаков вредоносных компьютерных программ (вирусов).
1.10 Администратор безопасности ИСПДн для подключения к ЗСПД обеспечивает получение из доверенных источников и установку обновлений базы данных признаков вредоносных компьютерных программ (вирусов).
1.11 Контроль целостности обновлений базы данных признаков вредоносных компьютерных программ (вирусов) обеспечивается путем автоматического получения или предварительно скачиваемых обновлений из официальных источников, например, с сервера обновлений производителя антивирусного средства.
1.12 В виртуальной инфраструктуре (при ее наличии) обеспечивается реализация и управление антивирусной защитой:
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на выделенном автономном компьютере. Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
2.4 Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
2.5 При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь обязан поставить в известность Администратора безопасности ИСПДн для подключения к ЗСПД, который обязан в таком случае провести внеочередной антивирусный контроль.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов Администратор безопасности ИСПДн для подключения к ЗСПД обязан:
2.6 Администратор безопасности ИСПДн для подключения к ЗСПД проводит лечение зараженных файлов путем выбора соответствующего пункта меню антивирусной программы и после этого вновь проводит антивирусный контроль.
2.7 В случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, Администратор безопасности ИСПДн для подключения к ЗСПД обязан запретить работу в ИСПДн для подключения к ЗСПД, поставить в известность Ответственного за организацию обработки и обеспечение защиты информации и в возможно короткие сроки обновить пакет антивирусных программ.
3.1 Ответственность за организацию антивирусной защиты ИСПДн для подключения к ЗСПД в соответствии с требованиями настоящей Инструкции возлагается на Администратора безопасности ИСПДн для подключения к ЗСПД.
3.2 Периодический контроль за состоянием антивирусной защиты в ИСПДн для подключения к ЗСПД, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции осуществляется Администратором безопасности ИСПДн для подключения к ЗСПД.
3.3 Пользователи ИСПДн для подключения к ЗСПД обязаны соблюдать требования настоящей Инструкции и должны быть ознакомлены с настоящей Инструкцией под роспись.
|
|
|
Лист ознакомления с приложением 8
«Об утверждении инструкций на объекте информатизации –
«Информационная система персональных данных
Администрации местного самоуправления Моздокского районо РСО-Алания
для подключения к защищенной сети передачи данных ГИС ЕЦП»
|
Ф.И.О. |
Должность |
Роль в ИСПДн |
Подпись, дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
