Инструкция пользователей и технология обработки персональных данных в информационных системах персональных данных тогбоу «Горельская школа-интернат для обучающихся с ограниченными возможностями здоровья»

Скачать 105.99 Kb.

Название	Инструкция пользователей и технология обработки персональных данных в информационных системах персональных данных тогбоу «Горельская школа-интернат для обучающихся с ограниченными возможностями здоровья»
Тип	Инструкция

rykovodstvo.ru > Руководство эксплуатация > Инструкция

ПРИЛОЖЕНИЕ

УТВЕРЖДЕНО

Приказом от 31.12.2015 № 643

ИНСТРУКЦИЯ

пользователей и технология обработки персональных данных

в информационных системах персональных данных

ТОГБОУ «Горельская школа-интернат для обучающихся с ограниченными возможностями здоровья»
1. Общие положения

1.1. Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных системах персональных данных (ИСПДн) при исполнении ими своих должностных обязанностей.

Перед началом обработки информации пользователи автоматизированной системы должны ознакомиться с требованиями настоящей инструкции, а также эксплуатационной документацией на используемые средства защиты.

Первичный доступ пользователей к автоматизированной обработке конфиденциальной информации в ИСПДн, в том числе персональных данных, осуществляется после проведения Администратором инструктажа по правилам работы в ИСПДн и порядку применения средств защиты информации.

1.2. Объект информатизации (ОИ) разрешается использовать для обработки информации содержащей персональные данные при соблюдении следующих условий:

– вспомогательные технические средства и системы, провода и кабели располагать от основных технических средств и систем (ОТСС) в соответствии с Предписаниями на эксплуатацию;

– подключение ОТСС осуществлять с использованием штатных кабелей;

– право работы на ОИ предоставляется Администратору информационной безопасности и пользователям;

– каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным, несет персональную ответственность за свои действия.
2. Обязанности пользователей.

Пользователи ИСПДн, обязаны строго соблюдать установленные правила работы на комплексах средств автоматизации и несут персональную ответственность за неукоснительное выполнение требований и мероприятий по защите информации на своих автоматизированных рабочих местах.

Пользователи обязаны:

знать и выполнять требования нормативных правовых документов по обеспечению информационной безопасности, а также настоящей Инструкции, организационно-распорядительных и эксплуатационных документов ИСПДн;
знать и соблюдать установленные требования по режиму обработки персональных данных, учету и хранению машинных носителей информации;
при работе в ИСПДн использовать только учтенные установленным порядком машинные носители информации, штатное общесистемное, прикладное и специальное программное обеспечение;
экран видеомонитора в помещении располагать во время работы так, чтобы исключалась возможность ознакомления посторонними лицами с отображаемой на нём информацией;
при выходе из помещения в течение рабочего дня выключать или блокировать рабочую станцию;
соблюдать правила работы со средствами защиты информации и установленный режим разграничения доступа к техническим средствам, программам, данным, файлам с конфиденциальной информацией, в том числе персональными данными при их обработке;
уметь пользоваться средствами антивирусной защиты и при необходимости проверять АРМ на наличие вредоносных программ – «вирусов»;
перед началом обработки на объекте вычислительной техники (ОВТ) файлов, хранящихся на съемных носителях информации, должны. Антивирусный контроль ОВТ должен осуществляться пользователем не реже одного раза в неделю;
перед началом работы получить у Администратора ИСПДн свои учётные данные (логин, пароль, идентификатор), надежно запоминать и хранить в тайне
докладывать Администратору о фактах компрометации пароля, несанкционированного доступа со стороны других пользователей, случаях утечки и нарушения целостности информации, обрабатываемой в ИСПДн, нарушениях целостности компонентов системы защиты информации;
информировать Ответственного специалиста по защите информации о нарушениях установленной технологии обработки защищаемой информации или нарушениях функционирования средств и систем защиты информации.

Всем пользователям ИСПДн запрещается:

проводить работы на средствах вычислительной техники без выполнения мероприятий по защите информации;
обрабатывать информацию с грифом, выше установленного для ИСПДн;
оставлять без контроля АРМ до окончания сеанса работы без его блокировки;
оставлять во время работы носители с конфиденциальной информацией без присмотра, передавать их посторонним лицам;
сообщать устно или письменно другим лицам личные имена учётных записей и пароли к ним;
осуществлять ввод паролей, допуская возможность ознакомления с ними посторонних лиц;
сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам ИСПДн;
хранить пароли на любых носителях (как бумажных, так и электронных);
самовольно вносить изменения в состав, конструкцию и размещение аппаратного обеспечения ИСПДн, открывать крышки устройств и блоков технических средств объекта информатизации;
устанавливать и использовать при работе в ИСПДн программное обеспечение, не входящее в перечень средств указанных в документации на ИСПДн,
изменять установленный алгоритм функционирования технических и программных средств;
осуществлять электропитание и заземление основных технических средств и систем (ОТСС) от нештатных сетей электропитания и заземления;
обрабатывать на ОВТ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам обработки информации;
создавать или модифицировать программы для средств вычислительной техники или вносить изменения в существующие программы, приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ИСПДн, а равно использование либо распространение таких программ или машинных носителей с такими программами;
отключать (блокировать), тиражировать, распространять (передавать) и модифицировать используемые в составе ИСПДн средства защиты информации;
допускать к результатам решения задач (в том числе промежуточным) лиц, не имеющих к ним прямого отношения;
пытаться работать от имени других пользователей;
уничтожать, копировать или производить какие-либо другие действия над документами, программами, файлами, базами данных других пользователей без их разрешения;
использовать для обработки и хранения защищаемой информации неучтенные установленным порядком машинные носители информации (CD и DVD диски, флеш накопители, съёмные / внешние жёсткие диски, дискеты и т.п.);
хранить на учтенных носителях информации программы и данные, не относящиеся к рабочей информации;
хранить носители с конфиденциальной информацией вблизи сильных источников электромагнитных излучений и прямых солнечных лучей;
работать на средствах ИСПДн при обнаружении компьютерных вирусов или каких-либо неисправностей;
осуществлять попытки НСД к конфиденциальной информации, в том числе персональным данным ИСПДн, в частности:

производить подбор пароля другого пользователя;
превышать свои полномочия при работе на АРМ;

проводить работы по исследованию обнаруженных компьютерных вирусов;
привлекать посторонних лиц для производства ремонта ОТСС без согласования со специалистом по защите информации
производить иные действия, ограничения на исполнение которых предусмотрены требованиями нормативных актов.

Пользователь имеет право:

доступа к аппаратным и программным средствам ИСПДн, необходимым для исполнения его должностных обязанностей, и в защищаемые помещения, в которых они расположены;
доступа к информационным ресурсам в соответствии с таблицей разграничения доступа (матрицей доступа) ИСПДн. Для каждой категории пользователей любой ресурс имеет свои значения атрибутов управления доступом, используемые при определении прав доступа пользователя к ресурсу;
обращаться к Администратору ИСПДн по вопросам защиты информации;
обращаться к Администратору с просьбой об оказании технической и методической помощи по обеспечению безопасности обрабатываемой в ИСПДн информации.

Пользователь несет ответственность:

за невыполнение и/или несвоевременное, некачественное, халатное выполнение своих должностных обязанностей;
за несоблюдение действующих инструкций, приказов и распоряжений;
за разглашение защищаемой информации, ставшей ему известной в ходе исполнения своих должностных обязанностей;
за нарушение правил внутреннего трудового распорядка, трудовой дисциплины, правил техники безопасности и противопожарной безопасности;
за правонарушения, совершенные в процессе осуществления своей деятельности в пределах, определенным действующим административным, уголовным и гражданским законодательством Российской Федерации.
за причинение материального ущерба в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.

3. Организация парольной защиты при работе на объекте информатизации.

3.1. Личные пароли доступа к объекту информатизации, системе защиты от несанкционированного доступа (НСД), выдаются пользователям Администратором ИСПДн, и при этом необходимо руководствоваться следующими требованиями:

– длина пароля должна быть не менее 6-ти буквенно-цифровых символов;

– пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования автоматизированной системы, общепринятые сокращения, и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об ответственном исполнителе;

– не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

– не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре;

– при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

– в числе символов пароля, обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры;

– не использовать ранее использованные пароли.

3.2. Лица, использующие паролирование, обязаны:

– четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;

– своевременно сообщать Администратору ИСПДн обо всех нештатных ситуациях, нарушениях работы подсистем защиты от НСД, возникающих при работе с паролями.

3.3. При организации парольной защиты запрещается:

– записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.;

– хранить пароли в записанном виде на отдельных листах бумаги;

– сообщать посторонним лицам свои пароли, а также сведения о применяемой системе защиты от НСД.
4. Порядок применения парольной защиты.

4.1. Полная плановая смена паролей на ОВТ проводится один раз в 3 месяца.

4.2. Удаление (в т.ч. внеплановая смена) личного пароля любого пользователя ОВТ должна производиться в следующих случаях:

– в случае подозрения на дискредитацию пароля;

– по окончании срока действия;

– в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) пользователя после окончания последнего сеанса работы данного с системой;

– по указанию Администратора ИСПДн.

4.3. Смена пароля осуществляется Администратором ИСПДн.

4.4. Для предотвращения доступа к персональным данным, находящейся в ПЭВМ, минуя ввод пароля, пользователь во время перерыва в работе обязан осуществить блокирование системы или выключить ПЭВМ.

4.5. Порядок применения (смены) паролей при работе на ПЭВМ, оборудованных системой защиты от НСД, приведен в эксплуатационной документации на СЗИ.
5. Порядок применение средств антивирусной защиты

Пользователь должен контролировать запуск и работу средства антивирусной защиты (антивирусного монитора), осуществляющего постоянные проверки файлов при операциях чтения/записи.

Обязательному входному антивирусному контролю подлежит любая информация (в том числе носители информации), поступающая на средства вычислительной техники, входящие в состав ИСПДн, а именно: программные средства общего и специального назначения, любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по каналам передачи данных, информация на съемных носителях (магнитных дисках, CD-ROM, Flash-накопителях и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед ее отправкой (записью на съемный носитель).

Периодическая проверка жестких дисков на отсутствие программных вирусов должна проводиться не реже одного раза в неделю. Обязательная проверка используемых в работе съёмных носителей информации должна осуществляться перед началом работы с ними.

При повреждении программных средств и информационных массивов программными вирусами должны выполняться мероприятия по восстановлению целостности поврежденных данных.

Обновление баз данных вирусных описаний и средств антивирусной защиты, используемых для защиты АРМ, должно осуществляться Администратором ИСПДн без участия пользователей.

При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно или совместно с Администратором ИСПДн должен провести внеочередной антивирусный контроль своей ПЭВМ.

В случае обнаружения зараженных компьютерными вирусами файлов пользователи обязаны:

приостановить работу;
принять меры по локализации программного вируса (отключить ПЭВМ от локальной вычислительной сети);
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов Администратора ИСПДн, руководителя подразделения, владельца зараженных файлов;
совместно с Администратором ИСПДн и владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
по возможности провести лечение зараженного файла. В случае невозможности вылечить зараженный файл, необходимо поместить его в карантин, выполнить процедуру по восстановлению незараженной копии исходного файла из имеющегося архива.

Непосредственную ответственность за соблюдение в повседневной деятельности установленных настоящим порядком правил антивирусной защиты информации и требований настоящей Инструкции несут сотрудники, за которыми закреплены соответствующие рабочие станции.

6. Технология обработки персональных данных

6.1. При первичном допуске к работе на ОВТ пользователь должен знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных документов по вопросам автоматизированной обработки информации, изучает инструкцию пользователя системы защиты от НСД «Dallas Lock 7.7», получает персональный идентификатор или личный текущий пароль у Администратора ИСПДн.

6.2. Пользователь включает ОВТ, визуально убеждается в исправности и нормальном функционировании ОВТ.

6.3. В процессе работы пользователь создает файлы и массивы информации на ОВТ с применением операционных систем Windows ХР, Windows Vista, Windows 7.

6.4. При необходимости вывод персональных данных из ОВТ осуществляется следующим образом:

– копированием на учтенные носители;

– на печатающие устройства.
7. Заключение.

7.1. Настоящая Инструкция доводится до пользователей информационной системы персональных данных под подпись.

7.2. Настоящая Инструкция вступает в силу с момента её подписания.

	Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных...		Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
	Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных...		Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации...
	Инструкция по работе ответственного за обеспечение безопасности персональных... Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение...		Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении...
	Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской...		Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных...
	Регламент обеспечения безопасности персональных данных при их обработке... Защита персональных данных от несанкционированного и непреднамеренного воздействия 12		Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке...
	Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных...		О защите персональных данных информационной системы персональных данных Оператор – Государственное учреждение – Новосибирское региональное отделение Фонда социального страхования Российской Федерации осуществляющее...
	Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных...		Настоящая инструкция разработана в соответствии с требованиями Правительства Российской Федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке...
	Администрация муниципального образования В целях обеспечения защиты персональных данных в информационных системах персональных данных администрации мо «Ахтубинский район»...		Обработки персональных данных и реализуемых требованиях к защите персональных данных Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,...

Похожие: