АДМИНИСТРАЦИЯ

ПРИСТЕНСКОГО РАЙОНА КУРСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ 

от 30 мая 2024  № 309 – па

п. Пристень 

О назначении ответственных за защиту информации и обеспечение защиты персональных данных при их обработке в информационной системе «Кадры и обращения граждан» в Администрации Пристенского района

Курской области

Во исполнение Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных», постановления Правительства Российской Федерации № 1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Администрация Пристенского района Курской области ПОСТАНОВЛЯЕТ:

1. Назначить ответственным за защиту информации и обеспечение защиты персональных данных при их обработке в информационной системе «Кадры и обращения граждан» в Администрации Пристенского района Курской области заместителя главы администрации, управляющего делами Администрации Пристенского района Курской области – В.В. Катыхина.

2. Утвердить прилагаемую инструкцию администратора безопасности информации информационной системы «Кадры и обращения граждан» в Администрации Пристенского района Курской области.

3.Возложить на консультанта отдела юридического сопровождения, муниципальных услуг, защиты информации и ИКТ Администрации Пристенского района Курской области – А.А. Дронову функциональные обязанности администратора безопасности информации информационной системы «Кадры и обращения граждан» в Администрации Пристенского района Курской области.

4. Утвердить прилагаемую инструкцию администратора информационной системы «Кадры и обращения граждан» в Администрации Пристенского района Курской области.

5. Признать утратившим силу Постановление Администрации Пристенского района Курской области от 13 мая 2021 № 266 – па «О назначении ответственных за защиту информации и обеспечение защиты персональных данных при их обработке в информационной системе «Кадры и обращения граждан» в Администрации Пристенского района Курской области» (в ред. от 29.12.2023 № 801 – па).

6. Контроль за исполнением настоящего распоряжения возложить на заместителя главы администрации, управляющего делами Администрации Пристенского района Курской области – В. В. Катыхина.

7. Постановление вступает в силу со дня его подписания.

Глава Пристенского района

Курской области                                                                             В.В. Петров

УТВЕРЖДЕНА

постановлением Администрации

Пристенского района

 Курской области

 от 30 мая 2024  № 309 – па

ИНСТРУКЦИЯ

администратора безопасности информации информационной системы «Кадры и обращения граждан»

в Администрации Пристенского района Курской области

1. 1.                Общие положения

1.1. Администратор безопасности информации (далее – Администратор) назначается постановлением Администрации Пристенского района Курской области (далее - Администрация).

1.2. Администратор подчиняется руководителю Администрации и ответственному за организацию обработки персональных данных.

1.3. Администратор в своей работе руководствуется настоящей инструкцией, принятыми локальными нормативными актами Администрации в области обработки персональных данных, руководящими и нормативными документами ФСТЭК России, ФСБ России, законодательством РФ в области защиты персональных данных.

1.4. Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение безопасности информации (персональных данных) в информационных системах (далее - ИС) Администрации.

1.5. Методическое руководство работой Администратора осуществляется ответственным за организацию обработки персональных данных.

1. 2.                Обязанности

Основными действиями Администратора при выполнении своих обязанностей являются:

2.1.         Проведение инструктажа и консультации пользователей ИС по соблюдению установленного режима конфиденциальности при обработке конфиденциальной информации (персональных данных) в ИС.

2.2.         Взаимодействие с органом по аттестации ИС (организация, имеющая лицензию ФСТЭК России на работы по аттестации информационных систем по безопасности информации) по вопросам обеспечения защиты информации и сопровождения системы защиты информации.

2.3.         Управления учетными записями пользователей.

2.4.         Выполнение, учет и контроль изменений, вносимых:

-                   в списки пользователей ИС;

-                   в перечень защищаемых информационных ресурсов ИС;

-                   в перечень съемных машинных носителей информации.

2.5.         Организация и проведение периодического и внеочередного контроля работы пользователей.

2.6.         Контроль выполнения пользователями ИС установленного режима конфиденциальности при обработке защищаемой информации, в том числе, соблюдения режима конфиденциальности при обращении с персональными идентификаторами, со съемными машинными носителями информации.

2.7.         Участие в процедурах контроля операций по безопасному удалению личных файлов пользователя при прекращении полномочий учетной записи, форматированию персонального идентификатора (токена) при прекращении полномочий учетной записи и создание новой учетной записи, присвоение электронного идентификатора, пароля новой учетной записи в случае такой необходимости.

2.8.         Организация и участие в служебных расследованиях для выяснения причин утечки или воздействия на обрабатываемую в ИС информацию, компрометации паролей (электронных идентификаторов) с целью выяснения величины нанесенного ущерба безопасности информации и выработки новых или совершенствования принятых технических и организационных мер по защите информации от реализации угрозы в будущем.

2.9.         При возникновении необходимости, организация и участие в мероприятиях, связанных с событиями вскрытия, опечатывания, модификации состава, ремонта и т.д. технических средств ИС. Опечатывание корпусов технических средств ИС. Составление актов о вскрытии и опечатывании корпусов технических средств.

2.10.    В случае отказа работоспособности технических средств и программного обеспечения элементов ИС, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

2.11.    Информировать ответственного за организацию обработки персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИС.

2.12.    Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИС или средств защиты.

2.13.    Обеспечивать контроль и строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации. В случае, если ИС имеет действующий аттестат соответствия требованиям по безопасности информации, вышедшие из строя элементы и блоки средств вычислительной техники заменяются с согласования органа по аттестации, выдавшим аттестат соответствия.

2.14.    Присутствовать при выполнении технического обслуживания элементов ИС, сторонними физическими лицами и организациями.

2.15.    Принимать меры по реагированию в случае возникновения внештатных и аварийных ситуаций с целью ликвидации их последствий.

2.16.    Не допускать к работе на рабочих станциях и серверах структурного подразделения посторонних лиц.

2.17.    Осуществлять контроль монтажа оборудования структурного подразделения специалистами сторонних организаций.

2.18.    Участвовать в мероприятиях по выбору средств защиты информации.

2.19.    Обобщать результаты своей деятельности и готовить предложения по ее совершенствованию.

2.20.    При изменении конфигурации автоматизированной системы вносить соответствующие изменения в паспорт АС, обрабатывающей информацию ограниченного доступа. В случае, если ИС имеет действующий аттестат соответствия требованиям по безопасности информации, изменения согласовываются с органом по аттестации, выдавшим аттестат соответствия.

2.21.    Обеспечивать контроль и строгое выполнение требований по соблюдению установленного режима эксплуатации и обеспечения безопасности СКЗИ и криптографических ключей.

2.22.    Участвовать в периодических мероприятиях по контролю за обеспечением уровня защищенности информации, содержащейся в информационной системе.

1. 3.                Права

Администратор имеет право:

3.1. Требовать от пользователей ИС выполнения принятых локальных нормативных актов в области обеспечения безопасности информации.

3.2. Участвовать в разработке мероприятий по совершенствованию системы защиты информации в ИС.

3.3. Обращаться к руководителю Администрации и ответственному за организацию обработки персональных данных по вопросам связанных с выполнением обязанностей Администратора.

1. 4.                Действия при обнаружении попыток НСД

4.1. При возникновении нештатных ситуаций и/или инцидентов информационной безопасности Администратор руководствуется инструкцией о действиях лиц, допущенных к работе в информационных системах в случае возникновения нештатных ситуаций и иными организационно-распорядительными документами, утвержденными в Администрации.

4.2. К попыткам НСД относятся:

-                   сеансы работы с телекоммуникационными ресурсами информационной системы незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий, которых не входят операции доступа к определенным данным или манипулирования ими;

-                   действия третьего лица, пытающегося получить доступ (или получившего доступ) к информационным ресурсам информационной системы с использованием учетной записи администратора или другого пользователя информационной системы, в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.

4.3. При выявлении факта/попытки НСД Администратор обязан:

-                   прекратить доступ к информационным ресурсам со стороны выявленного участка НСД;

-                   доложить в случае необходимости ответственному за безопасность и руководителю Администрации о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;

-                   известить начальника структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД; 

-                   проанализировать характер НСД;

-                   по решению руководства осуществить действия по выяснению причин, приведших к НСД;

-                   предпринять меры по предотвращению подобных инцидентов в дальнейшем.

1. 5.                Действия по управлению идентификаторами (учетными записями) пользователей и устройств в информационных системах

5.1. К функциям по управлению идентификаторами пользователей и устройств в информационной системе относится:

-                   формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;

-                   присвоение идентификатора пользователю и (или) устройству;

-                   предотвращение повторного использования идентификатора пользователя и (или) устройства в течение установленного оператором периода времени;

-                   блокирование идентификатора пользователя и (или) устройства.

Администратором должно быть исключено повторное использование идентификатора пользователя в течение не менее одного года;

Администратором должно быть обеспечено блокирование идентификатора пользователя через период времени неиспользования не более 90 дней.

5.2. К функциям по управлению учетными записями пользователей относится:

-определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);

-объединение учетных записей в группы (при необходимости);

-верификация пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;

-заведение, активация, блокирование и уничтожение учетных записей пользователей;

-пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью не реже одного раза в год;

-предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в информационной системе и взаимодействующими с ней информационными системами.

В информационных системах запрещается использование гостевых (анонимных) и временных учетных записей пользователей, а также более одной привилегированной учетной записи администратора.

Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).

Администратор должен оперативно вносить изменения в учетные записи пользователей в случаях изменения сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях.

Все пользователи должны иметь ограниченный набор прав доступа, каждый доступ должен быть обоснован производственной необходимостью и предоставляться только для выполнения служебных задач. В случае изменения состава задач пользователя права пользователя должны быть пересмотрены, излишние права отозваны.

Управление учетными записями пользователей информационных систем, имеющих аттестат соответствия требованиям безопасности информации, осуществляется в соответствии с техническим паспортом информационной системы и аттестационной документацией.

При необходимости внесения изменений в учетные записи пользователей (изменение, заведение, активация, блокирование, уничтожение), изменения согласовываются с органом по аттестации, выдавшим аттестат соответствия.

5.3. При реализации функций по управлению идентификаторами пользователей и устройств в информационной системе, управлению учетными записями пользователей Администратор руководствуется утвержденной в Администрации организационно-распорядительной документацией и эксплуатационной документацией на средства защиты информации (СЗИ), реализующие соответствующие функции.

В процессе работы администратору запрещается:

-                   Использовать для постоянного хранения и обработки конфиденциальной информации каталоги несъемных носителей, за исключением выделенных каталогов;

-                   Осуществлять попытки несанкционированного доступа к ресурсам операционной системы;

-                   В рамках выделенных ресурсов и полномочий доступа к ним обрабатывать информацию с уровнем конфиденциальности, выше заявленного при регистрации;

-                   Покидать помещение с незаблокированной учетной записью;

-                   Отключать установленные средства защиты информации;

-                   Использовать машинные носители без их предварительной проверки антивирусными средствами;

-                   Несанкционированно устанавливать программное обеспечение;

-                   Несанкционированно менять параметры конфигурации ранее установленных программных средств;

-                   Запрещается передавать в любом виде или сообщать идентификаторы и пароли для доступа другим лицам, в том числе и своим руководителям;

-                   Хранение пароля на любых твердых носителях, позволяющих другим лицам получить информацию о пароле;

-                   Использовать информацию, полученную в результате доступа к БД, в целях, не предусмотренных его функциональными обязанностями;

-                   Использовать удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования ИС и ее системы защиты информации;

-                   Ответственность за сохранность и правильное использование информации, ставшей известной в процессе обработки конфиденциальной информации, несет администратор;

-                   Возможность получения технического доступа к конфиденциальной информации не дает права администратору обработки такой информации, если им не предоставлены права доступа к этой информации. Такие действия рассматриваются как попытки несанкционированного доступа;

-                   При выявлении инцидентов с доступом к конфиденциальной информации доступ администратора к ней может быть ограничен до окончания расследования инцидента, о чем Администратор уведомляется в кратчайшие сроки. По результатам служебного расследования нарушитель может быть лишен прав доступа к конфиденциальной информации, материалы расследования могут быть направлены в соответствующие службы для привлечения нарушителя к ответственности;

-                   Администратор несет ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования этой учетной записи;

-                   При нарушениях Администратором правил, связанных с информационной безопасностью, он несет ответственность, установленную действующим законодательством.

УТВЕРЖДЕНА

постановлением Администрации

Пристенского района

Курской области

от 30 мая 2024  № 309 – па

ИНСТРУКЦИЯ

администратора информационной системы

«Кадры и обращения граждан»

в Администрации Пристенского района Курской области

1.Общие положения

1.1    Настоящая Инструкция определяет обязанности администратора информационных систем Администрации Пристенского района Курской области (далее – Администратор ИС).

1.2 Администратор ИС назначается постановлением Администрации Пристенского района Курской области.

1.3    Администратор ИС в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России, ФСБ России, регламентирующими документами Учреждения и другими документами в сфере защиты информации.

1.4    Администратор ИС подчиняется руководителю Администрации Пристенского района Курской области и ответственному за организацию обработки персональных данных.

1.5 Методическое руководство работой Администратора ИС в вопросах обеспечения безопасности информации осуществляется ответственным за защиту информации.

1.6 Администратор ИС отвечает за обеспечение устойчивой работоспособности программных и аппаратных элементов информационной системы.

1.7 Администратор ИС несет персональную ответственность за качество проводимых им работ по обеспечению работоспособности программных и аппаратных элементов информационной системы, в т.ч. за их установку и настройку.

1.8 Администратор ИС при выполнении своих обязанностей должен исключить удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы.

2.Должностные обязанности

Администратор ИС обязан:

2.1 Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации.

2.2 Обеспечивать установку, настройку и своевременное обновление элементов автоматизированной системы:

-программного обеспечения автоматизированных рабочих мест (АРМ) (операционные системы, прикладное и специальное программное обеспечение (ПО);

-аппаратных средств;

-аппаратных и программных средств защиты.

2.3 Обеспечивать работоспособность элементов информационной системы и вычислительной сети.

2.4 Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

2.5 В случае отказа работоспособности технических средств и программного обеспечения элементов информационной системы принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

2.6 Проводить периодический контроль принятых мер по защите, в пределах, возложенных на него функций.

2.7 Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации, в пределах возложенных полномочий.

2.8 Информировать Администратора безопасности информационной системы о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам информационной системы.

2.9 Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования информационной системы.

2.10 Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки защищаемой информации, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации.

2.11 Присутствовать при выполнении технического обслуживания элементов информационной системы, сторонними физическими людьми и организациями.

2.12 Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

3.Права Администратора ИС

Администратор ИС имеет право:

3.1 Отключать от ресурсов информационной системы пользователей, осуществивших НСД к защищаемым ресурсам информационной системы или нарушивших другие требования по ИБ.

3.2 Давать пользователям обязательные для исполнения указания и рекомендации по вопросам обеспечения нормального функционирования программных и аппаратных элементов информационной системы и локальной вычислительной сети.

3.3 Осуществлять контроль информационных потоков, генерируемых пользователями информационной системы при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.

3.4 Осуществлять взаимодействие с руководством и персоналом информационной системы по вопросам нормального функционирования программных и аппаратных элементов информационной системы и локальной вычислительной сети.

3.5 Запрещать устанавливать на автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.

3.6 Запрашивать и получать от начальников и специалистов структурных подразделений Учреждения информацию и материалы, необходимые для организации своей работы.

3.7 Вносить на рассмотрение руководства предложения по улучшению нормального функционирования программных и аппаратных элементов информационной системы и локальной вычислительной сети.

3.8 Принимать участие в проведении мероприятий по контролю за обеспечением безопасности информации.

3.9 Действовать в обход установленных процедур идентификации и аутентификации только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).

4. Ответственность Администратора ИС

4.1 Администраторы информационной системы, виновные в несоблюдении Настоящей инструкции расцениваются как нарушители Федерального закона и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.