МУНИЦИПАЛЬНОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ «МНОГОФУНКЦИОНАЛЬНЫЙ ЦЕНТР ПРЕДОСТАВЛЕНИЯ ГОСУДАРСТВЕННЫХ И МУНИПАЛЬНЫХ УСЛУГ ТОТЕМСКОГО МУНИЦИПАЛЬНОГО РАЙОНА»
(МБУ «МФЦ Тотемского района»)
ПРИКАЗ
«
|
28
|
»
|
декабря
|
20
|
15
|
г.
|
№
|
31
|
|
|
|
|
|
О назначении администратора безопасности
ИСПДн «АИС МФЦ Тотемского района»
Во исполнение требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» и Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
П Р И К А З Ы В А Ю:
Назначить администратором безопасности ИСПДн «АИС МФЦ Тотемского района» инженер-программиста, Игнатьевскую Татьяну Александровну.
Утвердить Инструкцию администратора безопасности ИСПДн «АИС МФЦ Тотемского района» (приложение).
Администратору информационной безопасности в своей работе руководствоваться положениями законодательства Российской Федерации в области технической защиты информации и Инструкцией администратора безопасности ИСПДн «АИС МФЦ Тотемского района».
Контроль за исполнением приказа оставляю за собой.
Директор Н.П. Кокина
Приложение
к Приказу от____________№______
ИНСТРУКЦИЯ
администратора безопасности ИСПДн «АИС МФЦ Тотемского района» Муниципальное бюджетное учреждение «Многофункциональный центр предоставления государственных и муниципальных услуг Тотемского муниципального района»
1. Общие положения
1.1. Настоящая инструкция определяет круг задач, основные права и обязанности администратора безопасности ИСПДн «АИС МФЦ Тотемского района» Муниципальное бюджетное учреждение «Многофункциональный центр предоставления государственных и муниципальных услуг Тотемского муниципального района» (далее – МФЦ).
1.2. Администратор безопасности ИСПДн «АИС МФЦ Тотемского района» (далее - администратор) - лицо, выполняющее функции по администрированию (управлению) ИСПДн «АИС МФЦ Тотемского района», эксплуатируемой в МФЦ, и её системой защиты персональных данных (т.е. выполнять работы по установке, настройке и сопровождению средств защиты информации (далее – СЗИ), используемых в ИСПДн «АИС МФЦ Тотемского района»).
1.3. Администратор назначается приказом директора МФЦ.
1.4. Администратор подчиняется непосредственно директору МФЦ.
1.5. Администратор в своей работе руководствуется настоящей инструкцией, действующими нормативными правовыми актами Российской Федерации в области технической защиты информации, локальными актами МФЦ по вопросам обработки и защиты персональных данных.
1.6. Администратор в пределах своих функциональных обязанностей обеспечивает безопасность персональных данных, содержащихся и обрабатываемых в ИСПДн «АИС МФЦ Тотемского района».
1.7. Администратор должен иметь выделенное рабочее место, размещенное в помещении МФЦ таким образом, чтобы исключить несанкционированный доступ к нему посторонних лиц.
Администратор должен быть обеспечен металлическим хранилищем (сейфом, шкафом и т.п.) индивидуального пользования для хранения носителей информации, СЗИ, эксплуатационной и технической документации к ним, а также документов, содержащих персональные данные.
2. Обязанности
Администратор обязан:
2.1. Знать и выполнять требования действующих нормативных правовых актов Российской Федерации, а также локальных актов МФЦ, регламентирующих деятельность по обработке и защите персональных данных.
2.2. Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн «АИС МФЦ Тотемского района», программного обеспечение АРМ (операционные системы, прикладное и специальное программное обеспечение).
2.3. Обеспечивать работоспособность элементов ИСПДн «АИС МФЦ Тотемского района».
2.4. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных.
2.5. В случае потери работоспособности элементов ИСПДн «АИС МФЦ Тотемского района» принимать меры по своевременному восстановлению и выявлению причин, приведших к этому.
2.6. Управлять (заводить, активировать, блокировать и удалять) учетными записями пользователей ИСПДн «АИС МФЦ Тотемского района».
2.7. Генерировать ключи, личные идентификаторы (персональные пароли) и осуществлять их выдачу пользователям ИСПДн «АИС МФЦ Тотемского района», осуществлять контроль за правильностью использования персонального пароля пользователями ИСПДн «АИС МФЦ Тотемского района».
2.8. Контролировать соблюдение пользователями ИСПДн «АИС МФЦ Тотемского района» требований инструкций и утвержденной технологии обработки персональных данных в ИСПДн «АИС МФЦ Тотемского района».
2.9. Информировать ответственного за организацию обработки персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн «АИС МФЦ Тотемского района».
2.10. Присутствовать при выполнении технического обслуживания элементов ИСПДн «АИС МФЦ Тотемского района» сторонними физическими людьми и организациями.
2.11. Устанавливать, настраивать и сопровождать СЗИ в ИСПДн «АИС МФЦ Тотемского района».
2.12. Управлять СЗИ и поддерживать их функционирование.
2.13. Резервировать СЗИ или осуществлять контроль за их резервированием.
2.14. Участвовать в приемке новых СЗИ.
2.15. Предоставлять пользователям права доступа к объектам доступа (программам, файлам, каталогам, портам и устройствам ввода-вывода) ИСПДн «АИС МФЦ Тотемского района», основываясь на задачах, решаемых пользователями ИСПДн «АИС МФЦ Тотемского района». Правила разграничения доступа реализуются на основе разрешительной системы (матрицы) доступа, разработанной администратором.
2.16. Уточнять в установленном порядке обязанности пользователей при обработке персональных данных в ИСПДн «АИС МФЦ Тотемского района».
2.17. Обеспечивать с помощью программных средств блокирование сеанса доступа пользователя после установленного времени его бездействия (неактивности) или по запросу пользователя. Блокирование сеанса доступа пользователя в ИСПДн «АИС МФЦ Тотемского района» должно обеспечивать временное приостановление работы пользователя со средством вычислительной техники, с которого осуществлялся работа в ИСПДн «АИС МФЦ Тотемского района». Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса. Блокирование сеанса доступа пользователя в ИСПДн «АИС МФЦ Тотемского района» должно сохраняться до прохождения им повторной идентификации и аутентификации.
2.18. Контролировать целостность эксплуатируемого в ИСПДн «АИС МФЦ Тотемского района» программного обеспечения, в том числе самих СЗИ, их параметров и режимов с целью недопущения, выявления несанкционированных модификаций.
2.19. Контролировать физическую сохранность оборудования ИСПДн «АИС МФЦ Тотемского района», СЗИ, эксплуатационной и технической документации СЗИ, носителей персональных данных, носителей программных СЗИ.
2.20. Не допускать установку, использование, хранение и распространение в ИСПДн «АИС МФЦ Тотемского района» программных средств, не связанных с выполнением пользователями служебных (должностных) обязанностей.
2.21. Обеспечивать периодический контроль установленного (инсталлированного) в ИСПДн «АИС МФЦ Тотемского района» программного обеспечения на предмет соответствия его перечню программного обеспечения, разрешенному к установке в ИСПДн «АИС МФЦ Тотемского района», а также на предмет отсутствия программного обеспечения, запрещенного к установке.
2.22. Осуществлять текущий, внеплановый (например, после сбоев) и периодический (не реже 3 раз в год) контроль работоспособности СЗИ.
2.23. Контролировать соблюдение пользователями требований инструкций и утвержденной технологии обработки персональных данных в ИСПДн «АИС МФЦ Тотемского района».
2.24. Обеспечивать сбор, запись и хранение информации о событиях безопасности в ИСПДн «АИС МФЦ Тотемского района». В ИСПДн «АИС МФЦ Тотемского района» подлежат регистрации следующие события: вход (выход), а также попытки входа пользователей в ИСПДн «АИС МФЦ Тотемского района» и загрузка (прекращение работы) операционной системы; подключение машинных носителей информации и вывод информации на носители информации; запуск (завершение) программ и процессов, связанных с обработкой персональных данных в ИСПДн «АИС МФЦ Тотемского района». Состав и содержание информации о событиях безопасности должны обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно).
2.25. Выявлять подозрительные действия пользователей и попытки несанкционированного доступа к персональным данным, обрабатываемым в ИСПДн «АИС МФЦ Тотемского района», путем анализа системных журналов безопасности. В случае обнаружения или выявления таких попыток немедленно докладывать директору МФЦ и ответственному за организацию обработки персональных данных.
2.26. Консультировать пользователей по вопросам защиты персональных данных в ИСПДн «АИС МФЦ Тотемского района».
2.27. Вносить предложения по изменению содержания локальных актов МФЦ с целью соответствия реальным условиям или в случае изменения требований законодательства.
2.28. Осуществлять ведение журналов:
Журнал учета машинных носителей персональных данных;
Журнал контроля установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации.
2.29. Предоставлять директору МФЦ и ответственному за организацию обработки персональных данных отчет о состоянии защиты ИСПДн «АИС МФЦ Тотемского района», своевременно докладывать о внештатных ситуациях, выявленных нарушениях требований по защите персональных данных.
2.30. В случае отказа технических средств или программного обеспечения ИСПДн «АИС МФЦ Тотемского района», в том числе СЗИ, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу.
2.31. Принимать меры по реагированию в случае возникновения внештатных и аварийных ситуаций с целью ликвидации их последствий.
3. Права
Для выполнения возложенных задач и функций администратор наделяется следующими правами:
3.1. Требовать от всех пользователей ИСПДн «АИС МФЦ Тотемского района» выполнения установленной технологии обработки персональных данных, инструкций и иных нормативно-правовых документов по обеспечению безопасности персональных данных.
3.2. Обращаться к директору МФЦ с предложением о приостановке процесса обработки персональных данных или отстранению от работы пользователя в случаях нарушения установленной технологии обработки персональных данных или нарушения режима конфиденциальности, нарушения работы СЗИ и иных угроз безопасности персональных данных.
3.3. Вносить предложения по совершенствованию организационных, технологических и технических мер защиты персональных данных.
4. Ответственность
4.1. За ненадлежащее исполнение или неисполнение обязанностей, предусмотренных настоящей Инструкцией, администратор может быть привлечен к дисциплинарной ответственности, в соответствии с Трудовым кодексом Российской Федерации.
4.2. Администратор несет персональную ответственность по законодательству Российской Федерации за разглашение конфиденциальной информации, ставшей известной ему по роду работы.
5. Срок действия инструкции
5.1. Изменения и дополнения в настоящую инструкцию утверждаются Приказом директора МФЦ и доводятся до сведения ответственных сотрудников под роспись.
5.2. Настоящая инструкция вступает в силу со дня ее утверждения и действует до ее отмены либо замены новой инструкцией.
С инструкцией ознакомлен (а)
Инженер-программист _______________ Т.А.Игнатьевская
«___»___________2015 г.
|
