Об утверждении Инструкции по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовет Суджанского района



АДМИНИСТРАЦИЯ

УЛАНКОВСКОГО СЕЛЬСОВЕТА

СУДЖАНСКОГО РАЙОНА

ПОСТАНОВЛЕНИЕ

от 30 октября 2020 года N 61

Об утверждении Инструкции

по защите конфиденциальной информации

в информационных системах Администрации

Уланковского сельсовет Суджанского района

В соответствии с постановлением Губернатора Курской области №261-пг от 28.08.2020 года «Об утверждении инструкции по защите конфиденциальной информации в информационных системах органов исполнительной власти Курской области», в целях организации защиты конфиденциальной информации в информационных системах органов местного самоуправления Администрации Уланковского сельсовета Суджанского района, Администрация Уланковского сельсовета Суджанского района постановляет:

1. Утвердить прилагаемую инструкцию по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета Суджанского района (далее- Инструкция).

2.Заместителю главы Администрации сельсовета организовать работу по обеспечению безопасности конфиденциальной информации в соответствии с требованиями Инструкции.

3.Контроль за исполнением настоящего постановления оставляю за собой.

4.Постановление вступает в силу со дня его подписания.

Глава Уланковского сельсовета

Суджанского района                                                                       В.И.Погуляев

Утверждена

постановлением Администрации

Уланковского сельсовета

Суджанского района

от 30.10.2020г. №61

ИНСТРУКЦИЯ

по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета

Суджанского района

1. Термины, определения и сокращения

1.1. Термины и определения

В настоящей Инструкции по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета Суджанского района используются следующие основные термины и определения:

1.Автоматизированное рабочее место комплекс средств вычислительной техники и программного обеспечения, располагающийся непосредственно на рабочем месте сотрудника и предназначенный для автоматизации его работы.

2. Государственная информационная система Курской области — это внешне ориентированная информационная система Курской области, предполагающая участие в сборе и обработке информации, доступа к ней органов исполнительной власти Курской области, органов местного самоуправления, граждан, организаций в соответствии с федеральным законодательством и законодательством Курской области, созданная на основании правового акта государственного органа, в том числе органа государственной власти Курской области, в целях реализации полномочий региональных государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

3. Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

4.Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

5.Конфиденциальная информация документированная информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и распоряжением Губернатора Курской области от 17.05.2012 №360-рг «Об утверждении Перечня сведений конфиденциального характера».

6. Оператор информационной системы - Администрация Уланковского сельсовета Суджанского района, структурные подразделения Администрации Уланковского сельсовета Суджанского района и их подведомственные организации, сторонняя организация, заключившая соответствующий договор, сотрудники которого осуществляют деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

7. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (субъекту персональных данных).

8. Система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

9. Средства защиты информации — программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.

10.Угроза безопасности информации совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

1.2. Принятые сокращения

1.2.1 ИС — информационная система.

1.2.2. ПДн — персональные данные.

1.2.3. ИСПДн — информационная система персональных данных.

1.2.4. ГИС — государственная информационная система Курской области.

1.2.6. МНИ — машинный носитель информации.

1.2.7. АРМ — автоматизированное рабочее место.

1 2.8. ПО — программное обеспечение.

1.2.9. СЗИ — система защиты информации.

1 2.10. УБИ — угрозы безопасности информации.

1.2.1 l. ОРД — организационно-распорядительная документация.

.2.12. ТЗ — техническое задание.

1.2.l3. НСД — несанкционированный доступ.

l.2.14. Инструкция — Инструкция по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета Суджанского района.

1.2.15.Комитет-комитет цифрового развития и связи Курской области.

1.2.16.ОКУ «ЦЭВ»-Областное казенное учреждение «Центр электронного взаимодействия».

1.2.17. Администрация сельсовета - Администрация Уланковского сельсовета Суджанского района.

2. Общее Положение

Настоящая Инструкция предназначена для организации и проведения работ по обеспечению безопасности защищаемой информации в ИС (ГИС, ИСПДн и ИС, содержащие сведения для служебного пользования).

К защищаемой информации относятся ПДн и конфиденциальная информация.

2.1. Цель и задачи защиты информации в информационных системах Администрации Уланковского сельсовета Суджанского района

Целью защиты конфиденциальной информации является предотвращение утечки, хищения, утраты и искажения информации, ее уничтожения, блокирования, модификации и копирования лицами, не имеющими на это права и других форм вмешательства в ИС, а также установление порядка организации и проведения работ по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну в ИС на всех стадиях (этапах) создания ИС, в ходе ее эксплуатации и вывода из эксплуатации.

Задачами защиты конфиденциальной информации являются:

-выявление возможных каналов утечки информации;

-предотвращение или существенное затруднение несанкционированного доступа к конфиденциальной информации;

-оценка возможностей технических средств разведки и реальной опасности утечки конфиденциальной информации;

-предотвращение утечки информации по техническим каналам;

-разработка и осуществление экономически обоснованных технических и организационных мероприятий по защите информации;

-соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности и достоверности информации в системах ее обработки;

-сохранение возможности управления процессом обработки и пользования конфиденциальной информацией;

-организация контроля над состоянием защиты информации.

2.2. Нормативно-методическое обеспечение

1. Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации».

2. Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных».

3. Постановление Правительства Российской Федерации от 21 марта 2012 г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5.Постановление Правительства Российской Федерации от 6 июля 2015 г. №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (далее постановление Правительства Российской Федерации от 6 июля 2015 г. №676).

6.Приказ ФАПСИ от 13 июня 2001 года №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

7.Приказ ФСТЭК России от 11 февраля 2013 года №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее - приказ ФСТЭК России от I февраля 2013 года №17).

8.Приказ ФСТЭК России от 18 февраля 2013 года №2l «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

9.Приказ ФСБ России от 10 июля 2014 года №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

10.ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее — ГОСТ 34.601).

11. ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».

12. ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем».

13. ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».

14. ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения» (далее - ГОСТ 5 1583).

15. ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования» (далее - ГОСТ 51624).

16.»Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК России от 14 февраля 2008 года.

17.»Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)» ФСТЭК России от 15 февраля 2008 года.

18.Распоряжение Администрации Суджанского района Курской области от 19.09.2018 №303 «Об утверждении Основных направлений политики информационной безопасности Администрации Суджанского района Курской области».

3. Порядок создания, ввода в эксплуатацию,

эксплуатации и вывода из эксплуатации систем

защиты информации

3.1. Формирование требований к защите информации в информационных системах

Определение требований к СЗИ, содержащейся в ИС, осуществляется руководителем или ответственными лицами, назначенными руководителем ОРВ и включает:

-принятие решения о необходимости защиты информации, содержащейся в ИС;

-классификацию ИС по требованиям защиты информации, определение уровня защищенности ПДн при их обработке в ИС;

- определение УБИ, реализация которых может привести к нарушению безопасности информации в ИС, и разработку на их основе модели угроз безопасности информации;

- определение требований к СЗИ.

При принятии решения о необходимости защиты информации, содержащейся в ИС, осуществляется:

- анализ целей создания ИС и задач, решаемых этой ИС;

- определение информации, подлежащей обработке в ИС;

- анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИС;

-принятие решения о необходимости создания СЗИ, а также определение целей и задач защиты информации в ИС, основных этапов создания СЗИ и функций по обеспечению защиты информации, содержащейся в ИС.

При классификации ИС результат              оформляется              актом классификации ИС.

Результаты определения уровня защищенности ПДн при их обработке в ИС оформляются актом определения уровня защищенности.

УБИ определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей ИС, возможных способов реализации УБИ и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

В качестве исходных данных для определения УБИ используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России.

По результатам определения УБИ при необходимости разрабатываются рекомендации по корректировке характеристик ИС, направленные на блокирование (нейтрализацию) отдельных УБИ.

В модель угроз безопасности информации входит описание ИС и ее характеристик, а также описание УБИ, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей ИС, способов реализации УБИ и последствий от нарушения свойств безопасности информации.

Требования к СЗИ определяются в зависимости от класса защищенности ИС, уровня защищенности ПДн при их обработке в ИС и УБИ, включенных в модель угроз безопасности информации.

3.2. Разработка системы защиты информации

Разработка СЗИ ИС осуществляется в соответствии с ТЗ на создание ИС и (или) ТЗ на создание СЗИ ИС с учетом модели угроз безопасности информации, предусмотренной подпунктом «г» пункта l (2) Требований к порядку создания развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 года №676, ГОСТ 34.601, ГОСТ 51583 и ГОСТ 51624 и, в том числе, включает:

-проектирование СЗИ;

-разработку эксплуатационной документации на СЗИ;

-макетирование (при необходимости) и тестирование СЗИ.

Разработка СЗИ может осуществляться специализированными организациями, имеющими лицензии на этот вид деятельности, на договорной основе.

СЗИ не должна препятствовать достижению целей создания ИС и ее функционированию. При разработке СЗИ учитывается ее информационное взаимодействие с иными ИС и информационно-телекоммуникационными сетями.

При проектировании СЗИ осуществляются следующие мероприятия:

1) определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным ПО, иные объекты доступа) ;

2) определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в ИС;

3) выбираются меры защиты информации, подлежащие реализации в СЗИ,

4) определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

5) определяется структура СЗИ, включая состав (количество) и места размещения ее элементов;

6) осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности ИС, уровня защищенности ПДн при их обработке в ИС;

7) определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей ИС, приводящих к возникновению УБИ;

8) определяются меры защиты информации при информационном взаимодействии с иными ИС и информационно-телекоммуникационными сетями.

ТЗ формируется в соответствии с подпунктами «а» и «в» пункта l (l) Требований к порядку создания развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 года №676, с учетом требований к защите информации, содержащейся в ИС.

Для разработки модели угроз безопасности информации Органы местного самоуправления могут использовать Типовую модель угроз безопасности информационных систем персональных данных органов государственной власти Курской области, утвержденную Комиссией по информационной безопасности при Губернаторе Курской области.

Макетирование (при необходимости) и тестирование СЗИ производится для проверки работоспособности и совместимости средств защиты информации, выполнения соответствующих требований к СЗИ и (или) корректировки проектных решений по созданию СЗИ ИС.

3.3. Внедрение системы защиты информации

Внедрение СЗИ организуется в соответствии с проектной и эксплуатационной документацией на СЗИ и, в том числе, включает:

1) установку и настройку СЗИ в ИС;

2) разработку ОРД, определяющей правила и процедуры, реализуемые ОРВ для обеспечения защиты информации в ИС в ходе ее эксплуатации;

3) внедрение организационных мер защиты информации;

4) предварительные испытания СЗИ (при необходимости) ;

5) опытную эксплуатацию СЗИ (при необходимости) ;

6) анализ уязвимостей ИС и принятие мер защиты информации по их устранению;

7) приемочные испытания СЗИ (при необходимости).

Установка и настройка средств защиты информации в ИС проводится в соответствии с эксплуатационной документацией на СЗИ и документацией на средства защиты информации.

Разрабатываемая ОРД по защите информации определяет правила и процедуры:

1) планирования мероприятий по защите информации в ИС;

2) выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИС и (или) к возникновению УБИ, и реагирования на них;

3) управления конфигурацией аттестованной ИС и СЗИ;

4) контроля за обеспечением уровня защищенности информации, содержащейся в ИС;

5) информирования и обучения персонала ИС;

6) защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации.

При внедрении организационных мер защиты информации осуществляются:

1) реализация правил разграничения доступа (матрица доступа), регламентирующих права доступа субъектов доступа к объектам доступа, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения и введение ограничений на действия пользователей;

2) проверка полноты и детальности описания в ОРД по защите информации действий пользователей и администраторов ИС по реализации организационных мер защиты информации;

3) отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Предварительные испытания СЗИ включают проверку работоспособности СЗИ, а также принятие решения о возможности опытной эксплуатации СЗИ.

Опытная эксплуатация СЗИ включает проверку функционирования СЗИ, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации СЗИ.

Анализ уязвимостей ИС проводится в целях оценки возможности преодоления нарушителем СЗИ и предотвращения реализации УБИ. Анализ уязвимостей ИС включает анализ уязвимостей средств защиты информации, технических средств и ПО ИС. При анализе уязвимостей ИС проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и ПО, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и ПО, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и ПО.

В случае выявления уязвимостей ИС, приводящих к возникновению дополнительных УБИ, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

По результатам анализа уязвимостей должно быть подтверждено, что в ИС отсутствуют уязвимости, содержащиеся в банке данных УБИ ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

Приемочные испытания СЗИ ИС включают проверку выполнения требований к СЗ ИС в соответствии с ТЗ на создание СЗИ ИС.

3.4. Аттестация информационной системы

Аттестация ИС организуется руководителем ОРВ или, по решению руководителя ОИВ, администратором безопасности ИС и (или) ответственным за организацию обработки ПДн в ИС, и включает проведение комплекса аттестационных испытаний, в результате которых подтверждается соответствие СЗИ ИС с ТЗ на создание СЗИ ИС и модели угроз безопасности информации ИС.

Аттестат соответствия выдается на весь срок эксплуатации СЗИ ИС, в соответствии с приказом ФСТЭК России от 1.02.2013 №17.

Администратор безопасности информации ИС в ходе эксплуатации ИС обеспечивает поддержку соответствия СЗИ аттестату соответствия в рамках реализации мероприятий, предусмотренных настоящей Инструкцией.

Повторная аттестация (переаттестация) ИС осуществляется по окончании срока действия сертификатов средств защиты информации, изменении класса защищенности ИС или других изменений в СЗИ ИС. При изменении состава УБИ или проектных решений, реализованных при создании СЗИ, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Ввод в эксплуатацию СЗИ ИС осуществляется в соответствии с Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» и при наличии аттестата соответствия.

3.5. Обеспечение защиты информации в ходе эксплуатации

Обеспечение защиты информации в ходе эксплуатации аттестованной ИС осуществляется администратором безопасности информации ИС, в соответствии с эксплуатационной документацией на СЗИ и ОРД по защите информации и в том числе включает:

1) планирование и контроль мероприятий по защите информации в ИС;

2) анализ УБИ в ИС;

3) управление (администрирование) СЗИ;

4) выявление инцидентов и реагирование на них;

5) управление конфигурацией ИС и ее СЗИ;

6) информирование и обучение персонала ИС;

7) контроль за обеспечением уровня защищенности информации, содержащейся в ИС.

В ходе планирования мероприятий по защите информации в ИС осуществляется:

1) определение лиц, ответственных за планирование и контроль мероприятий по защите информации в ИС;

2) определение лиц, ответственных за выявление инцидентов и реагирование на них;

3) разработка, утверждение и актуализация плана мероприятий по защите информации в ИС;

4) определение порядка контроля выполнения мероприятий по защите информации в ИС, предусмотренных утвержденным планом.

Планирование мероприятий по защите информации в ИС и контроль выполнения мероприятий              осуществляются              в               соответствии              с приложением №4 к настоящей Инструкции.

В ходе анализа УБИ в ИС осуществляется выявление, анализ и устранение известных уязвимостей ИС.

Периодичность проведения указанных работ определяется в плане мероприятий по защите информации.

В ходе управления (администрирования) СЗИ осуществляются:

-определение администратора безопасности СЗИ ИС;

-управление учетными записями пользователей ИС и поддержание в актуальном состоянии правил разграничения доступа в ИС;

- управление средствами защиты информации в ИС;

- управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования ИС;

- обеспечение функционирования СЗИ в ходе ее эксплуатации, включая ведение эксплуатационной документации и ОРД по защите информации.

В ходе выявления инцидентов и реагирования на них осуществляются:

-обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, ПО и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

-своевременное информирование операторами ИС и администраторами ИС лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в ИС;

- анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

-планирование и принятие мер по устранению и повторному возникновению инцидентов, в том числе по восстановлению ИС и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов, руководствуясь приложением №5 к настоящей Инструкции.

В ходе управления конфигурацией ИС и ее СЗИ осуществляются:

1) определение лиц, которым разрешены действия по внесению изменений в конфигурацию ИС и ее СЗИ, их полномочия;

2) определение компонентов ИС и ее СЗИ, подлежащих изменению в рамках управления конфигурацией (идентификация объектов управления конфигурацией) : программно-аппаратные, программные средства, включая средства защиты информации, их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;

3) управление изменениями ИС и ее СЗИ: разработка параметров настройки, обеспечивающих защиту информации, анализ потенциального воздействия планируемых изменений на защиту информации, санкционирование внесения изменений в ИС и ее СЗИ, документирование действий по внесению изменений в ИС и сохранение данных об изменениях конфигурации ИС;

4) контроль действий по внесению изменений в ИС и ее СЗИ.

В ходе информирования и обучения персонала ИС осуществляются:

1) информирование персонала ИС о появлении актуальных УБИ, о правилах безопасной эксплуатации ИС;

2) доведение до персонала ИС требований по защите информации, а также положений ОРД по защите информации с учетом внесенных в них изменений;

3) обучение персонала ИС правилам эксплуатации отдельных средств защиты информации и блокированию УБИ и реагированию на инциденты.

В ходе контроля за обеспечением уровня защищенности информации, содержащейся в ИС, осуществляются:

1) контроль (анализ) защищенности информации с учетом особенностей функционирования ИС;

2) анализ и оценка функционирования ИС и ее СЗИ, включая анализ и устранение уязвимостей и иных недостатков в функционировании СЗИ;

З) документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в ИС;

4) принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в ИС, о необходимости доработки (модернизации) ее СЗИ.

Регулярные мероприятия по обеспечению безопасности защищаемой информации проводятся в соответствии с планом мероприятий по защите информации. Внутренние проверки режима защиты информации проводятся в соответствии с планом внутренних проверок режима защиты информации. По результатам проведения внутренней проверки составляется акт (справка) с результатами внутренней проверки режима защиты информации в ОМСУ.

3.6. Обеспечение защиты информации при выводе из эксплуатации информационной системы

Обеспечение защиты информации при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации осуществляется администратором безопасности информации ИС ОМСУ в соответствии с эксплуатационной документацией на СЗИ ИС и ОРД по защите информации и, в том числе, включает: архивирование информации, содержащейся в ИС; уничтожение (стирание) данных и остаточной информации с МНИ и (или) уничтожение МНИ.

Архивирование информации, содержащейся в ИС, должно осуществляться при необходимости дальнейшего использования информации в деятельности ОМСУ в соответствии с постановлением Губернатора Курской области от 05.08.2009 №252 «О Положении о реестре и паспортах информационных систем Курской области».

Уничтожение (стирание) данных и остаточной информации с МНИ производится при необходимости передачи МНИ другому оператору ИС или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения. При выводе из эксплуатации МНИ, на которых осуществлялись хранение и обработка информации, осуществляется его физическое уничтожение и составляется акт уничтожения защищаемой информации.

4. Мероприятия по защите конфиденциальной информации в Администрации Уланковского сельсовета Суджанского района

4.1. Мероприятия по защите конфиденциальной информации

В целях защиты информации в ИС проводятся правовые, организационные, программно-технические, технические, специальные (криптографические) и другие мероприятия.

Правовые мероприятия предусматривают разработку ОРД в соответствии с пунктом 4.2 настоящей Инструкции.

Организационные мероприятия предусматривают:

1) назначение ответственного за организацию обработки ПДн (в должности не ниже заместителя руководителя), типовые обязанности которого приведены в приложении №1 к настоящей Инструкции;

2) назначение администратора безопасности информации в ИС, типовые обязанности которого приведены в приложении №2 к настоящей Инструкции;

3) назначение пользователей ПДн, типовые обязанности которых приведены в приложении №3 к настоящей Инструкции;

4) подбор и подготовку кадров для работы в ИС;

5) повышение квалификации работников, обеспечивающих безопасность информации, в соответствии с постановлением Правительства Российской Федерации от 06 мая 2016 г. №399 «Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса»;

6) осуществление постоянного контроля над процессом обработки защищаемой информации.

Программно-технические и технические мероприятия обеспечивают:

1) создание СЗИ в соответствии с ТЗ на создание ИС и (или) ТЗ на создание СЗИ ИС с учетом модели угроз безопасности информации, сформированные в соответствии с пунктом 3.1 настоящей Инструкции;

2) проведение мероприятий по защите информации в ИС;

3) предотвращение утечки обрабатываемой информации путем исключения НСД;

4) предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации;

5) выявление внедренных программных или аппаратных закладочных устройств;

6) предотвращение перехвата информации, распространяющейся по техническим каналам, путем их выявления и локализации.

4.2. Рекомендованный перечень организационно-распорядительной документации

1. Модель угроз безопасности информации.

2. Техническое задание на создание СЗИ ИС.

3.Распоряжение Администрации Уланковского сельсовета о назначении лиц, ответственных за обеспечение безопасности ПДн в ИС.

4. Функциональные обязанности администратора безопасности информации в ИС.

5. Распоряжение Администрации Уланковского сельсовета об определении перечня помещений, предназначенных для обработки защищаемой информации в ИС, и организации режима обеспечения безопасности в них.

6. Перечень лиц, имеющих доступ в кабинет, в котором обрабатывается защищаемая информация, в том числе ПДн.

7.Список лиц, допущенных к работе в ИС.

8. Перечень лиц, доступ которых к ПДн, подлежащим обработке в ИСПДн в составе ИС, необходим для выполнения ими служебных обязанностей.

9.Перечень защищаемых информационных ресурсов ИС.

10. Технический паспорт ИС.

11. Перечень параметров настройки ПО в ИС.

12. Данные по уровню подготовки кадров, обеспечивающих защиту информации в ИС.

13. Приказ об определении совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определении на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ в ИС.

14. Акт определения совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определения на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ в ИС в составе ИС.

15.Распоряжение Администрации Уланковского сельсовета о классификации ИС.

16. Акт классификации ИС.

17. Инструкция по организации режима обеспечения безопасности помещений ИС.

18. Инструкция о действиях сотрудников при возникновении чрезвычайных ситуаций (стихийных бедствий, техногенных катастроф, наводнений, пожаров) в помещениях ИС.

19. Инструкция администратора безопасности информации в ИС.

20. Инструкция по работе пользователей в ИС.

21. Инструкция по парольной защите.

22.Инструкция по антивирусной защите.

23. Инструкция по учету и маркированию МНИ.

24. Инструкция по обеспечению доступности информации в ИС.

25. Расписка в ознакомлении лиц, доступ которых к информации ограниченного доступа, обрабатываемой в ИС, необходим для выполнения ими своих служебных обязанностей с перечнем и содержанием нормативных правовых актов, в том числе локальных, устанавливающих требования по соблюдению конфиденциальности персональных данных, а также требований по обеспечению безопасности информации ограниченного доступа, в том числе персональных данных, и мер ответственности за их несоблюдение.

26. Порядок хранения, использования и передачи ПДн сотрудников.

27. Документ, определяющий политику в отношении обработки ПДН.

28. Распоряжение Администрации Уланковского сельсовета о комиссии по уничтожению защищаемой информации.

29.Распоряжение Администрации Уланковского сельсовета об обеспечении безопасности МНИ.

30. Инструкция ответственного за реализацию мер, необходимых для обеспечения сохранности защищаемой информации в части обработки ПДн и исключающих НСД при хранении МНИ.

31.Перечень мест хранения МНИ, содержащих защищаемую информацию.

32.Распоряжение Администрации Уланковского сельсовета о назначении ответственного за планирование и контроль мероприятий по защите информации в ИС.

33. Распоряжение Администрации Уланковского сельсовета о сотрудниках, ответственных за выявление инцидентов информационной безопасности и реагирование на них.

34.Распоряжение Администрации Уланковского сельсовета о сотрудниках, которым разрешены действия по внесению изменений в базовую конфигурацию ИС и СЗИ.

35.Регламент внесения изменений в конфигурацию ИС и СЗИ.

36.Распоряжение Администрации Уланковского сельсовета о вводе в эксплуатацию ИС.

5. Планирование мероприятий по защите

Информации и контролю

В соответствии с приказом ФСТЭК России от 11.02.2013 №17 планирование мероприятий по защите информации в ИС ОМСУ Суджанского района Курской области является одним из основных мероприятий при обеспечении защиты информации в ходе эксплуатации ИС.

Планирование мероприятий по защите информации включает следующие этапы:

- планирование организационных мероприятий (организация разработки и использования документов и носителей защищаемой информации, их учет, исполнение, организация работ по анализу внутренних и внешних угроз защищаемой информации, обучение сотрудников правилам работы с защищаемой информацией и другое) ;

- планирование контрольных мероприятий (планирование внутренних проверок СЗИ) ;

- планирование мероприятий по созданию СЗИ, которое включает планирование финансирования данных мероприятий.

Финансирование мероприятий по защите информации в Администрации Уланковского сельсовета Суджанского района осуществляется за счет средств, выделяемых на защиту ИС из бюджета муниципального образования «Уланковский сельсовет» Суджанского района Курской области.

При планировании проведения мероприятий по защите информации Администрации Уланковского сельсовета, подведомственных организаций, объём финансирования на проведение указанных мероприятий рассчитывается в соответствии с требованиями действующего законодательства.

При планировании мероприятий по защите информации Администрации Уланковского сельсовета должны согласовывать их объемы и состав с Администрацией Уланковского сельсовета и ежегодно до 1 октября текущего года предоставлять объемы финансовых средств, необходимых для реализации указанных мероприятий, в том числе предусмотренных в бюджете муниципального образования «Уланковский сельсовет» Суджанского района Курской области на следующий год.

Планирование работ по защите информации в структурных подразделениях Администрации Уланковского сельсовета Суджанского района с правами юридического лица осуществляется специалистами по защите информации (администраторами безопасности информации). План утверждается главой сельсовета.

В Администрации Уланковского сельсовета Суджанского района. планирование работ по защите информации осуществляют сотрудники администрации (администраторы безопасности информации), планы утверждаются главой сельсовета.

По результатам выполнения этих планов составляются годовые отчеты о проделанной работе по защите информации, которые до 15 декабря текущего года направляются в Отдел.

6. Организация контроля за состоянием систем

Защиты информации

Контроль за состоянием СЗИ заключается в проверке выполнения требований нормативных актов по защите информации, решений ФСТЭК России, приказов ФСБ России, руководящих документов Роскомнадзора, решений и методических рекомендаций Комиссии по информационной безопасности при Губернаторе Курской области, а также в оценке обоснования и эффективности принятых мер по защите информации в Администрации Уланковского сельсовета Суджанского района.

Контроль за состоянием и эффективностью СЗИ организуется и проводится в целях:

- своевременного выявления и предотвращения утечки защищаемой информации;

- исключения или существенного затруднения НСД к информации, хищения или утраты технических средств и МНИ;

- разработки рекомендаций по защите информации в ИС при их эксплуатации.

Организация и проведение контроля - необходимое условие осуществления эффективной защиты конфиденциальной информации. Основными формами контроля защиты конфиденциальной информации являются периодические, плановые и внезапные проверки, обследования объектов, их аттестация, а также организация повседневного контроля.

Плановый и внеплановый внешний контроль осуществляется федеральными органами контроля, а также Комитетом. Периодический внутренний контроль состояния защиты информации в ОМСУ осуществляется соответствующими руководителями и специалистами по защите информации (администраторами безопасности информации).

Контроль состояния защиты конфиденциальной информации федеральными органами осуществляется в установленные ими сроки и в пределах предоставленных полномочий в соответствии с действующим законодательством.

Плановый внешний контроль состояния системы защиты конфиденциальной информации осуществляется Комитетом в соответствии с утвержденными годовыми планами работ.

Периодический внутренний контроль за реализацией мероприятий по информационной безопасности ОМСУ, которые не являются юридическими лицами, осуществляет Отдел.

Периодический внутренний контроль за реализацией мероприятий по информационной безопасности Администрации сельсовета с правами юридического лица и подведомственных организаций, осуществляется самостоятельно данными органами. Результаты проведения внутреннего контроля направляются в адрес Отдела не позднее 5 рабочих дней с даты их утверждения.

Периодический внутренний контроль за реализацией мероприятий по информационной безопасности организаций, подведомственных Администрации сельсовета, осуществляется самостоятельно этими организациями. Результаты проведения внутреннего контроля направляются в адрес Отдела не позднее 5 рабочих дней с даты их утверждения.

Типовой план проведения контроля состояния СЗИ в ОМСУ представлен в приложении №4 к Основным направлениям политики информационной безопасности, утвержденным распоряжением Администрации Суджанского района Курской области от 19.09.2018 №303 «Об утверждении Основных направлений политики информационной безопасности Администрации Суджанского района Курской области».

Внеплановый контроль осуществляется Отделом при выявлении инцидентов информационной безопасности (признаков утечки защищаемой информации или предпосылок к утечке защищаемой информации) в Администрации сельсовета и на основании предписания на проведение контроля без предварительного уведомления объекта контроля.

Руководитель проверенного структурного подразделения в соответствии с полученными материалами о результатах контроля должен провести необходимые мероприятия по устранению выявленных нарушений, о чем в течение 30 календарных дней со дня получения указанных материалов должен проинформировать Отдел.

При обнаружении нарушений руководитель проверенного подразделения обязан организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их возникновения в дальнейшем и привлечения к ответственности виновных лиц, а также устранение выявленных нарушений.

На этапе эксплуатации ИС для проверки выполнения требований нормативных документов по защите информации осуществляется периодический внутренний контроль. Периодичность проведения контроля специалистами по защите информации (администраторами безопасности информации) — не реже одного раза в год.

Кроме того, внутренней контроль осуществляется ответственными сотрудниками Администрации сельсовета (ответственным за организацию обработки ПДн или администратором безопасности информации) в течение 20 рабочих дней после реконструкции или ремонта помещений, в которых располагаются технические средства ИСПДн.

Защита информации в ИС считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам. Несоответствие принимаемых мер установленным требованиям и нормам ОРД по защите информации является нарушением и влечет наступление ответственности, установленной действующим законодательством.

Приложение №1

к Инструкции по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета Суджанского района

Типовые обязанности ответственного за организацию обработки персональных данных

1. Основные функции и обязанности лица, ответственного за организацию обработки персональных данных

Функции лица, ответственного за организацию обработки ПДн (далее Ответственный), заключаются в изучении всех сторон деятельности ОМСУ для формирования рекомендаций по организации обработки ПДн с решением ряда основных вопросов:

- организация доступа к ПДн и учет сотрудников ОМСУ, допущенных к обработке ПДн как в программных комплексах, входящих в состав информационных систем, так и на бумажных носителях;

- контроль за поддержанием в актуальном состоянии действующих локальных актов, журналов и форм учета по работе с ПДн;

- контроль за обеспечением соответствия проводимых работ в части обработки ПДн технике безопасности, правилам и нормам охраны труда;

- организация работы по заключению договоров на работы по защите ПДн;

- контроль за поддержанием в актуальном состоянии уведомления об обработке ПДн;

- рассмотрение предложений по совершенствованию действующей системы защиты ПДн, внесенных Администратором, в ИС ОМСУ;

-осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами Администрации Уланковского сельсовета Суджанского района Курской области.

Обязанности Ответственного:

-знать цели обработки ПДн в ОМСУ и перечень обрабатываемых ПДН;

- соблюдать требования документа, определяющего политику в отношении обработки персональных данных в ОМСУ, и иных локальных актов ОМСУ, устанавливающих порядок работы с ПДн;

- обеспечивать доведение до сведения сотрудников ОМСУнормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн, локальных актов ОРВ по вопросам обработки ПДн; осуществлять внутренний контроль за соблюдением сотрудниками ОМСУ норм действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн;

- контролировать              ведение документации,               предусмотренной локальными актами ОРВ в части обеспечения безопасности ПДн;

- обеспечивать доработку локальных актов по защите ПДн ОМСУ;

- расследовать нарушения по вопросам защиты информации, имевших место, разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений;

- обеспечивать организацию проведения занятий со специалистами ОМСУ по организационным вопросам обработки ПДн (проводить инструктаж сотрудников, осуществляющих обработку ПДн и имеющих доступ к ПДн, обрабатываемым в ОМСУ) ;

- обеспечивать организацию приема и обработки обращений и запросов субъектов ПДн или их представителей по вопросам обработки ПДн и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов в соответствии с пунктом З части 4 статьи 22.1 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».

2.Права лица, ответственного за организацию обработки персональных данных

Ответственный имеет право:

- знакомиться в установленном порядке с документами и материалами, необходимыми для выполнения возложенных на него задач;

-проводить проверки соблюдения режима обеспечения безопасности ПДн в ОМСУ;

-требовать от сотрудников ОМСУ соблюдения требований документа, определяющего политику в отношении обработки персональных данных в ОМСУ, а также соблюдения требований действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн;

-инициировать проведение служебных расследований по фактам нарушения установленных требований обработки ПДн;

-требовать от сотрудников ОМСУ письменных объяснений при проведении служебных расследований по вопросам нарушений требований по обработке и защите ПДн;

- вносить предложения руководителю ОМСУ об отстранении от выполнения служебных обязанностей сотрудников, систематически нарушающих требования по обработке и защите ПДн;

- давать сотрудникам ОМСУ обязательные для выполнения указания по обработке и защите ПДн, определяемые законодательством Российской Федерации, Курской области и требованиями ОМСУ;

- привлекать в установленном порядке специалистов, имеющих непосредственное отношение к рассматриваемым проблемам, для более детального изучения отдельных вопросов, возникающих в процессе работы.

3. Ответственность лица, ответственного за организацию обработки персональных данных

Ответственный в соответствии с возложенными на него обязанностями несет ответственность за:

- несоблюдение требований федеральных нормативных правовых актов, нормативных правовых актов Курской области и локальных актов Администрации Уланковского сельсовета Суджанского района Курской области, устанавливающих порядок работы с ПДн в пределах, установленных трудовым договором (служебным контрактом) ;

- разглашение ПДн в              соответствии с действующим административным, уголовным и гражданским законодательством Российской Федерации;

Приложение №2

к Инструкции по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета Суджанского района

Типовые обязанности администратора безопасности информации

1.Функции и обязанности администратора безопасности информации информационных систем.

1.1. Функции администратора безопасности информации (далее - Администратор) :

l.1.1. Управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в информационной системе.

1.1.2. Управление средствами защиты информации информационной системы.

1.I.3 Управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования информационной системы.

1.l.4. Централизованное управление системой защиты информации информационной системы (при необходимости).

1.1.5. Мониторинг и анализ зарегистрированных событий в информационной системе, связанных с обеспечением безопасности информации.

1.1.6. Обеспечение функционирования системы защиты информации информационной системы в ходе ее эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации.

1.2. Администратор обязан:

1.2.1. Соблюдать требования действующего законодательства Российской Федерации и Курской области в сфере (области) обработки и обеспечения безопасности информации.

1.2.2. Знать состав, структуру, назначение и выполняемые задачи информационной системы, а также состав информационных технологий и технических средств, позволяющих осуществлять обработку защищаемой информации.

1.2.3. Знать состав, структуру и назначение системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов.

1.2.4. В рамках обеспечения функционирования системы защиты информации информационной системы в ходе ее эксплуатации обеспечивать:

- исполнение требований по защите информации в соответствии с проектной и организационной-распорядительной документацией на систему защиты информации информационной системы;

- реализацию принятых решений по обеспечению защиты информации, обрабатываемой в информационной системе;

- информирование Ответственного за организацию обработки ПДн о выявленных недостатках по результатам выполнения контрольных мероприятий;

-контроль работ, проводимых сторонними организациями на технических средствах информационной системы;

- неразглашение информации ограниченного доступа, ставшей доступной в ходе исполнения должностных обязанностей.

1.2.5. В рамках реализации функции управления учетными записями пользователей и поддержания в актуальном состоянии правил разграничения доступа в информационной системе обеспечивать:

-верификацию (проверку) личности пользователя, его должностных (функциональных) обязанностей при заведении учетной записи пользователя;

- заведение, активацию, блокирование и уничтожение учетных записей пользователей в соответствии с установленным в ОМСУ порядком;

-пересмотр и при необходимости корректировку учетных записей пользователей в соответствии с установленным в ОМСУ порядком;

- своевременное уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;

-реализацию правил разграничения доступа и полномочий пользователей в информационной системе на основе утвержденной руководителем ОМСУ системы разграничения доступа;

- контроль правил генерации и смены паролей пользователями информационной системы, реализации правил разграничения доступа, полномочий пользователей в информационной системе;

- устранение нарушений, связанных с генерацией и сменой паролей пользователями, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступа, установлением полномочий пользователей.

1.2.6. В рамках реализации функций управления средствами защиты информации информационной системы обеспечивать:

-корректную эксплуатацию пользователями средств защиты информации;

- консультирование пользователей, участвующих в процессах обработки и обеспечения безопасности информации, по вопросам использования средств защиты информации;

- техническое обслуживание средств защиты информации информационной системы в соответствии с эксплуатационной документацией на средства защиты информации;

-устранение выявленных в средствах защиты информации уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации;

- периодический контроль работоспособности (неотключения) средств защиты информации;

-периодический контроль целостности программного обеспечения средств защиты информации;

-периодический контроль соответствия настроек средств защиты информации;

- принятие мер по              восстановлению работоспособности (правильности функционирования) и параметров настройки средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов, в случае выявления фактов нарушения работоспособности или отклонения параметров настроек средства защиты информации;

- периодический контроль соответствия состава средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной              в              соответствии              с эксплуатационной документацией) конфигурации информационной системы и принятие мер, направленных на устранение выявленных недостатков;

- периодическое выполнение тестирования функций безопасности средств защиты информации, в том числе с помощью тест-программ, имитирующих попытки несанкционированного доступа, и (или) специальных программных средств;

-периодический контроль состава средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков;

- периодический контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков;

- исключение из состава информационной системы несанкционированно установленных средств защиты информации;

-восстановление несанкционированно удаленных средств защиты информации;

- настройку средств защиты информации, направленную на устранение возможности использования выявленных уязвимостей (при необходимости) ;

- согласование изменения конфигурации системы защиты информации и настроек средств защиты информации с Ответственным за организацию обработки ПДн.

1.2.7. В рамках реализации функций управления обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, обеспечивать:

- получение из доверенных источников и установку обновлений программного обеспечения, включая программное обеспечение средств защиты информации;

- контроль целостности файлов обновлений;

-проверку соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации, установленного в информационной системе и выпущенного разработчиком;

- запись об установке (применении) обновлений в соответствующей эксплуатационной документации;

- обновление базы данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты;

- обновление базы решающих правил систем обнаружения вторжений, применяемых в информационной системе (при наличии таковых) ;

- выполнение обновления программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств с целью устранения выявленных уязвимостей.

1.2.8. В рамках реализации функций централизованного управления системой защиты информации информационной системы обеспечивать централизованное управление установкой, удалением, обновлением, конфигурированием и (или) контролем актуальности версий программного обеспечения средств защиты информации, эксплуатируемых в информационной системе.

1.2.9. В рамках реализации функций мониторинга и анализа зарегистрированных событий в информационной системе, связанных с обеспечением безопасности, обеспечивать:

- регистрацию событий безопасности в соответствии с перечнем событий, подлежащих регистрации в информационной системе;

- периодический просмотр журналов регистрации событий безопасности;

- реагирование на сбои при регистрации событий безопасности;

- оперативное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о попытках и (или) фактах несанкционированного доступа или подозрительных событиях;

- содействие при проведении расследований инцидентов информационной безопасности.

1.2.10. Обеспечивать неразглашение информации о параметрах настройки ПО и СЗИ.

2. Права администратора безопасности информации

информационных систем

2.1. Администратор имеет право:

2.1.1. Знакомиться с локальными актами ОМСУ, регламентирующими процессы обработки защищаемой информации.

2.1.2. Вносить предложения Ответственному за организацию обработки ПДн по совершенствованию существующей системы защиты информации.

2.1.З. Требовать от пользователей информационных систем соблюдения требований инструкции пользователя информационных систем ОМСУ, а также соблюдения требований действующего законодательства Российской Федерации и Курской области в сфере (области) обработки и обеспечения безопасности информации.

2.1.4. Требовать от Ответственного за организацию обработки ПДн оказания содействия в исполнении функций и обязанностей, предусмотренных настоящей Инструкцией.

2.1.5. Участвовать в расследовании инцидентов информационной безопасности и получать информацию об инцидентах информационной безопасности с целью совершенствования системы защиты информации информационной системы.

2.1.6. Участвовать в работе по совершенствованию мероприятий, обеспечивающих безопасность информации, вносить свои предложения по совершенствованию организационных и технических мер обеспечения безопасности информации.

2.1.7. Требовать прекращения работы в информационной системе как в целом, так и отдельных пользователей информационной системы в случае выявления нарушений требований по обеспечению безопасности информации или в связи с нарушением функционирования информационной системы.

2.1.8. Обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности информации к Ответственному за организацию обработки ПДн.

3. Ответственность администратора безопасности информации

информационных систем

3.1. Администратор несет персональную ответственность:

3.1.1. За работоспособность и надлежащее функционирование системы защиты информации.

3.1.2. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией.

3.1.3.За разглашение информации в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.

3.1.4. За несоблюдение требований действующего законодательства Российской Федерации и Курской области, локальных актов ОМСУ, устанавливающих порядок работы с защищаемой информацией, не содержащей сведения, составляющие государственную тайну, в пределах, установленных трудовым договором (служебным контрактом).

Приложение №3

к Инструкции по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета Суджанского района

Типовая инструкция пользователя информационной системы

персональных данных

1. Обязанности и права пользователя информационных систем

1.1. Пользователь обязан:

-соблюдать требования документа, определяющего политику в отношении обработки персональных данных в ОМСУ, и иных локальных актов ОМСУ, устанавливающих порядок работы с защищаемой информацией;

- выполнять в информационных системах только те процедуры, которые необходимы для исполнения его должностных обязанностей;

-использовать для выполнения должностных обязанностей только предоставленное ему АРМ на базе персонального компьютера;

- пользоваться только зарегистрированными в установленном порядке съемными (отчуждаемыми) машинными носителями информации;

- обеспечивать безопасное хранение вышеуказанных материальных носителей информации, исключающее несанкционированный доступ к ним;

- немедленно сообщать руководителю структурного подразделения и (или) администратору безопасности информации в информационных системах ОМСУ (далее - Администратор) о нештатных ситуациях, фактах и попытках несанкционированного доступа к обрабатываемой информации, о блокировании, исчезновении (искажении) защищаемой информации;

- перед началом обработки в ИС файлов, хранящихся на съемных носителях информации, Пользователь должен осуществлять проверку файлов на наличие компьютерных вирусов. Антивирусный контроль на АРМ должен осуществляться Пользователем не реже одного раза в неделю;

- располагать экран монитора в помещении во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонних лиц;

-соблюдать установленный режим разграничения доступа к информационным ресурсам: получать пароль, надежно его запоминать и хранить в тайне.

1.2. Пользователям ИС запрещается:

- записывать и хранить защищаемую информацию на неучтенных материальных носителях информации;

- оставлять во время работы материальные носители информации без присмотра, несанкционированно передавать материальные носители информации другим лицам и выносить их за пределы помещения, в котором производится обработка защищаемой информации;

- отключать средства антивирусной защиты;

- отключать (блокировать) средства защиты информации;

- производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;

- самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение, изменять              установленный алгоритм функционирования технических и программных средств;

- обрабатывать в ИС информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам ИС;

- сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам в ИС;

-работать в ИС при обнаружении каких-либо неисправностей в СЗИ;

- хранить на учтенных носителях информации программы и данные, не относящиеся к защищаемой информации данной ИС;

-вводить в ИС защищаемую информацию под диктовку или с микрофона;

- привлекать посторонних лиц для производства ремонта и (или) настройки АРМ ИС без согласования с Администратором.

1.3. Пользователь имеет право знакомиться с внутренними документами Администрации Уланковского сельсовета Суджанского района, регламентирующими его обязанности по занимаемой должности.

2. Организация парольной защиты в информационных системах

2.1.Пароли доступа к ИС устанавливаются Администратором или пользователем.

2.2.При формировании пароля необходимо руководствоваться следующими требованиями:

- длина пароля должна быть не менее 8 буквенно-цифровых символов;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования АРМ общепринятые сокращения) и другие данные, которые могут быть подобраны злоумышленником путем анализа информации;

- запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

- запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.) ;

- запрещается использовать ранее использованные пароли.

2.3. При организации парольной защиты запрещается:

- записывать свои пароли в очевидных местах, таких как внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.;

- хранить пароли в записанном виде на отдельных листах бумаги;

- сообщать посторонним лицам свои пароли, а также сведения о применяемых средствах защиты от НСД.

2.4. Плановую смену паролей доступа в ИС рекомендуется проводить один раз в квартал.

2.5. Пользователь обязан незамедлительно сообщить Администратору факты утраты, компрометации ключевой, парольной и аутентифицирующей информации.

2.6. Внеплановая смена личного пароля должна производиться в обязательном порядке в следующих случаях:

- компрометация или подозрение на компрометацию пароля (производится пользователем или Администратором) ;

- прекращение полномочий пользователя (увольнение, переход на должность в организации) в течение 24 часов после окончания последнего сеанса его работы с ИС (производится Администратором) ;

- по инициативе Администратора.

3.Технология обработки защищаемой информации

3.1. При первичном допуске к работе с ИС пользователь:

-проходит инструктаж по использованию ИС;

- знакомится с требованиями локальных актов, регламентирующих обработку и обеспечение безопасности защищаемой информации;

- получает у Администратора идентификатор и личный пароль для входа в ИС.

3.2. Перед началом работы пользователь визуально проверяет целостность АРМ, убеждается в отсутствии посторонних технических средств, включает необходимые средства вычислительной техники.

3.3. В процессе работы на АРМ ИС пользователь использует технические средства и установленное программное обеспечение согласно техническому паспорту ИС.

3.4. Копирование защищаемой информации на электронные носители информации осуществляется только при наличии производственной необходимости и только на учтенные электронные носители информации.

3.5. При необходимости создания на АРМ пользователя дополнительных электронных документов, содержащих защищаемую информацию, пользователь создает и хранит такие документы в строго отведенном для этого месте.

3.6. Печать документов, содержащих защищаемую информацию, осуществляется только при наличии производственной необходимости на принтер, подключенный Администратором к АРМ пользователя. Печать документов, содержащих защищаемую информации, на общий сетевой принтер возможна только в том случае, когда в локальной сети все АРМ входят в состав одной ИСПДн. Распечатанные черновые бумажные варианты вновь создаваемых документов, содержащих защищаемую информацию, уничтожаются.

3.7. В случае возникновения необходимости временно покинуть рабочее помещение во время работы в ИС пользователь обязан выключить компьютер либо заблокировать его. Разблокирование компьютера производится набором пароля разблокировки, который был создан при настройке системы блокировки АРМ. При отсутствии в покидаемом помещении других служащих ОМСУ пользователь обязан закрыть дверь помещения на ключ или применить другой используемый ограничитель доступа.

3.8. Покидая рабочее помещение в конце рабочего дня, пользователь обязан выключить все необходимые средства вычислительной техники и закрыть дверь помещения на ключ.

Приложение №4

к Инструкции по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета Суджанского района

Порядок планирования мероприятий по защите информации в информационных системах Администрации Уланковского сельсовета Суджанского района

1. Планирование мероприятий по защите информации

1.1. В рамках планирования мероприятий по защите информации в ОМСУ применительно к каждой ИС осуществляется разработка, согласование и утверждение ежегодного Плана мероприятий по защите информации в ИС.

1.2. По решению руководителя ОМСУ допускается разработка единого плана мероприятий на несколько ИС.

1.3. План мероприятий разрабатывается лицом, ответственным за планирование и контроль мероприятий по защите информации в ИС (далее — Ответственный), с участием пользователей, эксплуатирующих ИС, и ответственных, обеспечивающих функционирование ИС.

1.4. В план мероприятий должны быть включены мероприятия по защите информации сегментов ИС, функционирующих в обособленных подразделениях ОМСУ, при наличии таковых.

1.5. План мероприятий должен включать комплекс организационных и технических мероприятий по защите информации, направленных на решение задач обеспечения информационной безопасности ИС.

1.6.Разработка мероприятий по защите информации должна осуществляться в соответствии с требованиями нормативных правовых актов в области защиты информации и принятыми в ОМСУ локальными актами по защите информации.

1.7. План мероприятий должен как минимум содержать:

- наименования мероприятий по защите информации;

- основания для проведения мероприятий;

- сроки выполнения мероприятий;

- наименования подразделений (сотрудников), ответственных за реализацию каждого мероприятия.

1.8. План мероприятий должен содержать перечень мероприятий по защите конфиденциальной информации в ИС в хронологическом порядке.

1.9. План мероприятий формируется в следующем порядке:

-в срок не позднее 1 октября каждого года Ответственный формирует проект плана мероприятий;

- сформированный проект плана мероприятий подлежит согласованию с руководителем ОМСУ, администратором безопасности информации ИС, ответственным за организацию обработки ПДН, пользователями ИС в срок не позднее 1 ноября каждого года;

- согласованный проект плана мероприятий предоставляется Ответственным руководителю ОМСУ на утверждение.

Проект плана мероприятий подлежит рассмотрению и утверждению руководителем ОМСУ не позднее 30 декабря каждого года.

Утвержденный План мероприятий доводится Ответственным до работников ОМСУ в части, их касающейся.

1.10. Изменения в действующий план мероприятий вносятся в соответствии с разделом 2 приложения №4 настоящей Инструкции.

2.Порядок внесения изменений в план мероприятий

2.1. Внесение изменений в План мероприятий осуществляется на основании распоряжения (приказа) сельсовета, на основе предложений Ответственного.

2.2. Предложения о внесении изменений в План мероприятий могут быть сформированы в случаях:

- изменения законодательства Российской Федерации в области защиты информации;

-выявления в ходе контроля выполнения мероприятий, предусмотренных утвержденным Планом мероприятий, обстоятельств, требующих изменения Плана мероприятий (сроков, состава мероприятий, формулировок и т.д.) ;

-возникновения иных причин, препятствующих проведению мероприятия.

3.Контроль за выполнением плана мероприятий

3.1. Каждое мероприятие Плана мероприятий должно быть реализовано в установленные сроки. Контроль за выполнением мероприятий, предусмотренных Планом мероприятий, осуществляется Ответственным.

3.2. Ответственный, руководствуясь сроками выполнения мероприятий, осуществляет проверку выполнения мероприятий ответственными лицами, основываясь на документальном подтверждении факта выполнения мероприятий.

3.3.В случаях выявления фактов неисполнения мероприятий (в том числе неполного исполнения), предусмотренных Планом мероприятий, Ответственный при взаимодействии с лицами, ответственными за выполнение мероприятий, проводит:

-установление причин неисполнения мероприятий (в срок не более 5 рабочих дней с момента выявления факта неисполнения мероприятия) ;

- подготовку предложений по корректировке Плана мероприятий (в срок не более 10 рабочих дней с момента установления причин неисполнения мероприятия).

3.4. С целью оценки эффективности обеспечения безопасности информации Ответственный ежегодно готовит отчет о выполнении Плана мероприятий, который представляется главе сельсовета.

4. Ответственность лица, ответственного за планирование и контроль мероприятий по защите информации в информационных системах

Ответственный несет персональную ответственность за:

-качественную и своевременную подготовку Плана мероприятий;

-своевременный и качественный контроль за выполнением Плана мероприятий.

Приложение №5

к Инструкции по защите конфиденциальной информации в информационных системах Администрации Уланковского сельсовета Суджанского района

Порядок выявления инцидентов информационной безопасности и реагирование на них

1. В качестве источников информации об инцидентах могут использоваться:

- журналы и оповещения системного и прикладного ПО ИС, обрабатывающих защищаемую информацию;

- журналы и оповещения СЗИ;

- оповещения средств обнаружения вторжений;

- информация, получаемая от работников ОРТ;

- информация, полученная на основе анализа защищенности ИС и контроля эффективности СЗИ.

2. При обнаружении инцидента ответственный за выявление инцидентов информационной безопасности и реагирование на них должен оповестить ответственного за организацию обработки ПДН в ИС и руководителя ОМСУ.

3. Ответственный за управление инцидентами должен провести анализ инцидента информационной безопасности в целях выявления факта или предпосылки негативного воздействия на защищаемую информацию. В ходе анализа инцидента по возможности следует выявить следующие показатели:

- факт или потенциальная возможность реализации угрозы безопасности защищаемой информации (далее — угроза) ;

- опасность угрозы;

- области, перечни информационных ресурсов, затрагиваемые воздействием угрозы;

- потенциальные нарушители, цели и причины реализации угрозы;

- перечень мер по локализации и остановке распространения действия угрозы.

4. Ответственный за управление инцидентами оповещает ответственного за организацию обработки ПДн о ходе и результатах реагирования на инциденты.

5. Ответственный за управление инцидентами вносит предложения ответственному за организацию обработки ПДн о недопущении повторных инцидентов. При необходимости ответственный за организацию обработки ПДн обеспечивает реализацию данных предложений.