Файл: Политика информационной безопасности информационной системы персональных данных ооо Организация.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.01.2024
Просмотров: 146
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. Общие положения Политики безопасности
2. Общие требования по защите персональных данных
3. Система защиты персональных данных
4. Требования к подсистемам СЗПДн
5. Реализация установленных требований к СЗИ от НСД
6. Категории Пользователей ИСПДн
7. Организация парольной защиты при работе на объектах информатизации.
Смена пароля осуществляется Администратором информационной безопасности.
Для предотвращения доступа к персональным данным, находящейся в ПЭВМ, минуя ввод пароля, пользователь во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки «Блокировать» в появившемся меню, или выключить ПЭВМ.
Порядок применения (смены) паролей при работе на ПЭВМ, оборудованных системой защиты от НСД, приведен в эксплуатационной документации на СЗИ.
При первичном допуске к работе на ИСПДН Пользователь знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных документов по вопросам автоматизированной обработки информации, изучает инструкцию пользователя СЗИ Secret Net 6 (вариант К), получает персональный идентификатор или личный текущий пароль у Администратора информационной безопасности. Перед началом обработки персональных данных Пользователь включает ИСПДН, визуально убеждается в исправности и нормальном функционировании ИСПДН.
В процессе работы пользователь создает файлы и массивы информации на ИСПДН с применением операционных систем Windows 7.
При необходимости вывод персональных данных из ИСПДН осуществляется следующим образом:
-
копированием на учтенные носители; -
на печатающее устройство (принтер).
8. Требования к персоналу
Сотрудники ООО «Организация», являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
Сотрудники ООО «Организация», использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
Сотрудники ООО «Организация» должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
Сотрудники ООО «Организация» должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами ООО «Организация», третьим лицам.
При работе с ПДн в ИСПДн сотрудники ООО «Организация» обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов ИСПДН или терминалов.
При завершении работы с ИСПДн сотрудники обязаны защитить ИСПДН или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
Сотрудники ООО «Организация» должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.
9. Технологический процесс обработки персональных данных
В процессе обработки информации в информационных системах Персональных данных ООО «Организация» участвуют следующие группы пользователей:
- Администратор информационной безопасности – обладает всей полнотой доступа к ресурсам информационных систем персональных данных (ИСПДн), организует и контролирует работу ИСПДн.
- Пользователи – имеющие доступ к ИСПДн на основании приказа о допуске к ИСПДн.
Перечень объектов доступа: жесткие магнитные диски (ЖМД), гибкие магнитные диски (ГМД), оптические диски (CD-ROM), штатное программное обеспечение (ПО).
Перечень субъектов доступа: администратор информационной безопасности, пользователи. К работе на ИСПДн допускаются только сотрудники в соответствии с утвержденной «Разрешительной системой доступа информационной системы персональных данных ООО «Организация», допущенные к обработке персональных данных (далее - информации), после изучения организационно-распорядительной документации.
Подготовка персонального компьютера (далее – ПК) к работе:
-
Включить ПК, для чего: подключить сетевые шнуры электропитания к сети 220 В, включить устройства защиты и убедиться в их функционировании. Включить источник бесперебойного питания, включить системный блок и монитор. После запроса системы необходимо предъявить персональный идентификатор и набрать персональный пароль на клавиатуре.
-
При отсутствии НСД произойдёт загрузка операционной системы Windows ХР. При нарушении или сбое системы защиты от НСД и при отказе загрузки операционной системы - прекратить работу и пригласить администратора информационной безопасности. -
Запустить программу антивирусного контроля и проверить жесткий диск и используемые съемные носители на наличие вирусов.
Для защиты информации, обрабатываемой в ИСПДн от НСД используются СЗИ от НСД «Dallas Lock 8.0-K», встроенный межсетевой экран «СЗИ от НСД «Dallas Lock 8.0-K».
На ИСПДН разрешается обработка следующей информации: персональные данные конфиденциальная информация.
Если во время работы на ПК появилась необходимость временно покинуть рабочее место, исполнитель обязан заблокировать ПК, для чего нужно нажать комбинацию клавиш
Описание реализованных правил разграничения доступа.
Обработка информации осуществляется только на предварительно учтенных носителях информации (защищаемых ресурсах – ЖМД, гибкие магнитные диски (ГМД), прошедших антивирусный контроль, причем каждый исполнитель для обработки информации использует только свой профиль пользователя в котором администратором закреплены правила разграничения доступа: возможность доступа к дискам, папкам и файлам, возможность записи и чтения информации и т.д.
Администратор организует и контролирует доступ пользователей к доступным ресурсам ИСПДН и состояние информации на носителях.
По окончании рабочего дня все съемные учтенные носители информации, документы и материалы запираются в сейфе, либо сдаются на хранение ответственному за защиту информации.
Исполнители обязаны предъявлять, по требованию ответственного за защиту информации, для проверки все числящиеся за ними носители информации.
Исполнителю ЗАПРЕЩАЕТСЯ:
-
обрабатывать информацию в присутствии посторонних лиц; записывать информацию на неучтенных носителях информации, листах бумаги и т. д.; -
использовать в работе пароли, если есть подозрение на их компрометацию; -
разглашать сведения о применяемой системе защиты и содержании информации; -
изменять и тиражировать программное обеспечение;
10. Ответственность сотрудников ИСПДн ООО «Организация»
В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).
Администраторы безопасности ИСПДн несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
При нарушениях сотрудниками ООО «Организация» – пользователей ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
Приведенные выше требования нормативных документов по защите информации должны быть отражены в Политики безопасности о подразделениях ООО «Организация», осуществляющих обработку ПДн в ИСПДн и должностных инструкциях сотрудников ООО «Организация».
Согласовано
Начальник отдела обеспечения деятельности | Тимофеев С.В. |
| |
1 2 3 4 5