Примерное положение

ОБ АДМИНИСТРАТОРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

I. Общие положения

1.1. Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности участника электронных платежей (кроме расчетно – кассовых центров).

1.2. Примерное Положение предназначено для разработки Положений об администраторе информационной безопасности участников электронных платежей с учетом конкретных данных об обрабатываемой, передаваемой и хранимой в автоматизированной системе информации, о полномочиях пользователей, технологии обработки информации и применяемых средствах и системах защиты информации.

1.3. Администратор информационной безопасности назначается приказом руководителя участника электронных платежей по согласованному представлению руководителя подразделения, эксплуатирующего автоматизированную систему, и руководителя подразделения безопасности и защиты информации.

1.4. Администратор информационной безопасности в пределах своих функциональных обязанностей обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в автоматизированных системах Банка России.

1.5. Администратор информационной безопасности непосредственно подчиняется начальнику подразделения, в штате которого он состоит.

1.6. Администратор информационной безопасности руководствуется положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации ( Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).

1.7. Методическое руководство деятельностью администратора информационной безопасности осуществляется Главным управлением безопасности и защиты информации Банка России или Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России.

II. Основные задачи и функции администратора

2.1. Основными задачами администратора информационной безопасности являются:

1) организация эксплуатации технических и программных средств защиты информации;

2) текущий контроль работы средств и систем защиты информации;

3) контроль за работой пользователей автоматизированных систем, выявление и регистрация попыток НСД к автоматизированным системам и защищаемым информационным ресурсам.

2.2. Основными функциями администратора информационной безопасности являются:

1) обеспечение функционирования средств и систем защиты информации в пределах возложенных на него обязанностей;

2) обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты информации;

3) поддержание функционирования ключевых систем, применяемых средств и систем криптографической защиты информации;

4) формирование и распределение реквизитов полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;

5) организация антивирусного контроля магнитных носителей информации, поступающих из других подразделений и сторонних организаций;

6) участие по согласованию с Главным управлением безопасности и защиты информации Банка России или Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;

7) организация учета и хранения магнитных носителей информации с грифом « Для служебного пользования », используемых в технологии обработки защищаемой информации;

8) текущий контроль технологического процесса обработки защищаемой информации.

III. Обязанности администратора информационной безопасности

3.1. Обеспечивать функционирование и поддерживать работоспособность средств и систем защиты информации в пределах возложенных на него обязанностей.

3.2. Докладывать непосредственному руководителю о выявленных нарушениях и несанкционированных действиях пользователей и персонала, принимать необходимые меры по устранению нарушений.

3.3. Совместно со специалистами подразделения технической защиты информации принимать меры по восстановлению работоспособности средств и систем защиты информации.

3.4. Оказывать содействие сотрудникам подразделения безопасности и защиты информации в проведении работ по анализу защищенности автоматизированных систем.

3.5. Проводить инструктаж обслуживающего персонала и пользователей средств вычислительной техники по правилам работы с используемыми средствами и системами защиты информации.

IV. Права администратора информационной безопасности

4.1. Обращаться к руководителю участника электронных платежей с требованием о прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации.

4.2. Обращаться в ГУ безопасности и защиты информации Банка России или Управление (отдел) безопасности и защиты информации территориального учреждения Банка России с просьбой об оказании технической и методической помощи в работе по обеспечению технической защиты информации.

V. Ответственность администратора информационной безопасности

5.1. На администратора информационной безопасности возлагается персональная ответственность за программно – технические и криптографические средства защиты информации, средства вычислительной техники, информационно – вычислительные комплексы, сети и автоматизированные системы обработки банковской информации, закрепленные за ним приказом руководителя участника электронных платежей и за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями, определенными Положением об администраторе информационной безопасности конкретного участника электронных платежей.

5.3. Администратор информационной безопасности несет ответственность по действующему законодательству за разглашение сведений, составляющихгосударственную тайну. и сведений ограниченного распространения, ставших известными ему в соответствии с родом работы.

Инструкция администратора безопасности

1 Общие положения.

2 Должностные обязанности.

3 Права и ответственность АДМИНИСТРАТОРА БЕЗОПАСНОСТИ.

1.1. Администратор безопасности информационных систем персональных данных (ИСПДн) (далее – Администратор) назначается приказом директора МБОУ СОШ № 5, на основании Положения о разграничении прав доступа к обрабатываемым персональным данным.

1.2. Администратор подчиняется директору МБОУ СОШ № 5

1.3. Администратор в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России и регламентирующими документами МБОУ СОШ № 5.

1.4. Администратор отвечает за поддержание необходимого уровня безопасности объектов защиты.

1.5. Администратор безопасности является ответственным должностным лицом МБОУ СОШ № 5, уполномоченным на проведение работ по технической защите информации и поддержанию достигнутого уровня защиты ИСПДн и ее ресурсов на этапах промышленной эксплуатации и модернизации.

1.6. Администратор безопасности должен иметь специальное рабочее место, размещенное в здании МБОУ СОШ № 5 так, что бы исключить несанкционированный доступ к нему посторонних лиц и других пользователей.

1.7. Рабочее место Администратора безопасности должно быть оборудовано средствами физической защиты (личный сейф, железный шкаф или другое), подключением к ИСПДн, а так же средствами контроля за техническими средствами защиты.

1.8. Администратор безопасности осуществляет методическое руководство Операторов и Администраторов ИСПДн, в вопросах обеспечения безопасности персональных данных.

1.9. Требования администратора информационной безопасности, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми пользователями ИСПДн.

1.10. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн, состояние и поддержание установленного уровня защиты ИСПДн.

2 Должностные обязанности

Администратор безопасности обязан:

- знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации;

- осуществлять установку, настройку и сопровождение технических средств защиты;

- участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн;

- участвовать в приеме новых программных средств;

- обеспечить доступ к защищаемой информации пользователям ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения;

- уточнять в установленном порядке обязанности пользователей ИСПДн по обработке объектов защиты;

- вести контроль над процессом осуществления резервного копирования объектов защиты;

- осуществлять контроль над выполнением Плана мероприятий по защите персональных данных;

- анализировать состояние защиты ИСПДн и ее отдельных подсистем;

- контролировать неизменность состояния средств защиты их параметров и режимов защиты;

- контролировать физическую сохранность средств и оборудования ИСПДн;

- контролировать исполнение пользователями ИСПДн введенного режима безопасности, а так же правильность работы с элементами ИСПДн и средствами защиты;

- контролировать исполнение пользователями парольной политики;

- контролировать работу пользователей в сетях общего пользования и (или) международного обмена;

- своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений;

- не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач;

- не допускать к работе на элементах ИСПДн посторонних лиц;

- осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн;

- оказывать помощь пользователям ИСПДн в части применения средств защиты и консультировать по вопросам введенного режима защиты;

- периодически представлять руководству отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации;

- в случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;

- принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

3 Права и ответственность АДМИНИСТРАТОРА БЕЗОПАСНОСТИ

3.1 Администратор безопасности имеет право в отведенное ему время решать поставленные задачи в соответствии с его полномочиями в отношениях к ресурсам ИСПДн и вверенным ему техническим и программным средствам. В частности, Администратор безопасности имеет право:

- проверять электронный журнал обращений

- вносить изменения в конфигурацию аппаратно-программных средств

- проверять соблюдение условий использования средств защиты информации

- требовать прекращения обработки информации как в целом, так и отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования АРМ

3.2 Администраторы безопасности, виновные в несоблюдении Настоящей инструкции расцениваются как нарушители Федерального закона РФ 27.07.2006 г. N 152-ФЗ "О персональных данных" и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Инструкция администратора информационной безопасности

Утверждено приказом Руководителя УСЗН Брединского муниципального района от «01» декабря 2014 № 85

АС - автоматизированная система Управления социальной защиты населения Брединского муниципального района Челябинской области

Объект - объект информатизации АС

ОС - операционная система

ОТСС - основные технические средства и системы

ПЭВМ - персональная электронно-вычислительная машина,

входящая в состав ОТСС СЗИ - средство защиты информации

НСД - несанкционированный доступ

2.1. Настоящая инструкция определяет общие функции, права и обязанности администратора безопасности информации АС по вопросам обеспечения информационной безопасности при подготовке и исполнении конфиденциальных документов на ПЭВМ, входящих в состав АС.

2.2. Администратор безопасности информации назначается из числа сотрудников Управления социальной защиты населения Брединского муниципального района Челябинской области и обеспечивает правильное использование и функционирование установленных СЗИ от НСД.

2.3. Администратор безопасности информации имеет все права администратора СЗИ от НСД.

2.4. Настоящая Инструкция разработана на основании действующих нормативных документов по защите конфиденциальной информации.

3.1. Контроль за выполнением требований действующих нормативных и руководящих документов по защите конфиденциальной информации, при

проведении работ на ПЭВМ.

3.2. Работа с учетными записями пользователей АС (удаление, регистрация новых пользователей), их правильная настройка и разграничение прав доступа пользователей к защищаемым ресурсам АС согласно разрешительной системе доступа.

3.3. Своевременная корректировка разрешительной системы доступа:

- изменение списка постоянных пользователей АС (ввод или удаление пользователя из АС);

- изменение прав доступа к защищаемым программным ресурсам или портам

Корректировка разрешительной системы доступа осуществляется на основании служебной записки пользователя, согласованной с ответственным за эксплуатацию объекта и утвержденной генеральным начальником.

3.4. Контроль доступа пользователей к работе на ПЭВМ (в соответствии со списком допущенных сотрудников), выдача внешних носителей информации и соблюдения пользователями требований нормативных и руководящих документов (в том числе путем просмотра системного журнала).

3.5. Контроль за ежеквартальным проведением пользователями АС смены их личных паролей для доступа к ПЭВМ.

3.6. Настройка и сопровождение подсистемы регистрации и учета действий пользователей при работе на ПЭВМ, в том числе и в части периодического контроля за печатью файлов пользователей на принтере и соблюдением установленных правил и параметров регистрации и учета документов, бумажных и машинных носителей информации.

3.7. Сопровождение подсистемы обеспечения целостности информации на

- периодический контроль за отсутствием на жестком магнитном диске ПЭВМ остаточной информации по окончании работы пользователей;

- поддержание установленного порядка и правил антивирусной защиты информации, обрабатываемой на ПЭВМ;

- контроль за соблюдением пользователями инструкции по антивирусному контролю.

3.8. Программирование, выдача и учет выдачи пользователям электронных ключей от СЗИ НСД (при их наличии).

3.9. Контроль за наличием и целостностью пломб (печатей, специальных защитных знаков) на корпусе ПЭВМ и устройств.

3.10. Контроль за вскрытием и ремонтом (модернизацией) ПЭВМ, недопущением доступа посторонних лиц к конфиденциальной информации во время вскрытия, ремонта, модернизации ПЭВМ или устройств, последующим опечатыванием ПЭВМ (устройств), составлением соответствующих актов.

3.11. Контроль срока действия сертификатов соответствия ФСТЭК России на средства защиты от несанкционированного доступа, установленных на Объекте.

4.1. Требовать от работников Управления социальной защиты населения Брединского муниципального района Челябинской области соблюдения установленной технологии обработки конфиденциальной информации и исполнения

Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации, и расследованиях фактов (попыток) несанкционированного доступа;

4.2. Требовать от пользователей прекращения обработки информации на

Объекте в случае:

- нарушения установленного порядка работ,

- нарушения работоспособности средств и систем защиты информации или окончания срока действия сертификатов соответствия ФСБ России или ФСТЭК России,

- получения информации о возможном проведении технической разведки в отношении Объекта.

5.1. Обеспечивать правильное функционирование и поддерживать работоспособность средств и СЗИ от НСД в пределах возложенных на него функций;

5.2. В случае отказа СЗИ от НСД принимать меры по их восстановлению;

5.3. Проводить инструктаж пользователей по правилам работы на ПЭВМ, с

установленной СЗИ от НСД;

5.4. Немедленно докладывать (по подчиненности) ответственному за эксплуатацию Объекта, руководителю или лицу, исполняющему его обязанности, о фактах и попытках несанкционированного доступа к конфиденциальной информации, о неправомерных действиях пользователей или иных лиц, приводящих к нарушению требований по защите информации, а также об иных нарушениях требований информационной безопасности на объекте информатизации АС.

5.5. Вносить изменения в документацию на АС в соответствии с требованиями нормативных документов в части, касающейся СЗИ от НСД;

5.6. Проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учёт и принимать меры к их устранению;

5.7. Осуществлять не реже одного раза в неделю обновление антивирусных

баз на ПЭВМ в АС;

5.8. Контролировать целостность (неизменность, сохранность) программного обеспечения, разрешительной системы доступа, а при
обнаружении фактов изменения проверяемых параметров немедленно докладывать по подчинённости;

5.9. Вводить полномочия работников в разрешительную систему доступа,

обеспечивать их своевременную корректировку;

5.10. Регистрировать факты выдачи внешних носителей в журнале учета

выдачи внешних носителей.

5.11. Требовать от пользователей прекращения обработки информации на Объекте при появлении информации о возможном проведении технической

разведки в отношении Объекта.

5.12. Заблокировать учетные записи пользователей на ПЭВМ в случае окончания срока действия сертификата соответствия ФСТЭК России, ФСБ России на любое СЗИ, из используемых на Объекте, до момента его продления. В случае не продления сертификата соответствия ФСТЭК России на СЗИ он обязан поставить в известность орган по аттестации, проводивший аттестацию Объекта, для принятия

5.13. Контролировать действия пользователей по правильности затираниянинформации на внешних накопителях информации.