Политика информационной безопасности Оганесян А.А. Политика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети
Скачать 270 Kb.
|
8. Категории Пользователей ИСПДнВ Политике безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности. В ИСПДн ООО «Тульские городские электрические сети» можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн: Администраторы безопасности ИСПДн; Пользователи ИСПДН; Технического специалиста по обслуживанию периферийного оборудования; 8.1 Администратор безопасности ИСПДн Администратор безопасности ИСПДн, сотрудник ООО «Организация», ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора ИСПДН) к элементам хранящим персональные данные. Администратор безопасности ИСПДн обладает следующим уровнем доступа и знаний: обладает полной информацией о системном и прикладном программном обеспечении ИСПДн; обладает полной информацией о технических средствах и конфигурации ИСПДн; имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн; обладает правами конфигурирования и административной настройки технических средств ИСПДн. обладает полной информацией об ИСПДн; имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн; не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор ИСПДН) получает возможность работать с элементами ИСПДн; осуществлять аудит средств защиты; устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений. Администратор информационной безопасности назначается приказом руководителя ООО «Тульские городские электрические сети» и отвечает за обеспечение устойчивой работоспособности и информационной безопасности объекта информатизации. Администратор информационной безопасности несет ответственность за организацию работ по обеспечению безопасности информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники (ИСПДН) на объектах вычислительной техники (ИСПДН), а также правильность использования и нормального функционирования средств защиты информации (СЗИ), подготовку сотрудников по вопросам безопасной обработки информации на ИСПДН. 8.2 Функции администратора информационной безопасности. Осуществляет настройку и сопровождение системы защиты от НСД на ИСПДН, при этом: реализует полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (том, каталог, файл, запись, поле записи) на основе утвержденного руководством списка сотрудников, допущенных к работе на ИСПДН; вводит описание пользователей ИСПДН в информационную базу системы защиты от НСД; назначает пароли к информационным ресурсам и вводит в базу данных системы защиты описание полномочий доступа пользователей к защищаемым ресурсам; своевременно удаляет описание пользователя из базы данных при увольнении или перемещении сотрудника; периодически производит смену паролей пользователями для доступа в систему обработки информации ИСПДН. Осуществляет настройку и сопровождение подсистемы регистрации и учета: вводит в базу данных системы защиты от НСД описания событий, подлежащих регистрации в системном журнале; проводит регулярный анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам; своевременно информирует руководство о несанкционированных действиях персонала и организует расследование попыток НСД. Сопровождает подсистемы обеспечения целостности рабочего программного обеспечения (ПО): проводит периодическое тестирование функций системы защиты от НСД при изменении программной среды и полномочий исполнителей ИСПДН; осуществляет восстановление системы защиты от НСД при сбоях; проводит контроль соответствия общесистемной программной среды эталону; обеспечивает поддержание установленного порядка и соблюдение требований инструкции по антивирусной защите. Требует прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации. Участвует в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа. Производит выдачу исполнителям паролей для средств защиты информации (СЗИ) от несанкционированного доступа (НСД), а также осуществляет оперативный контроль за действиями пользователей ИСПДН. 8.3 Администратор информационной безопасности обязан: Обеспечивать функционирование и поддерживать работоспособность средств защиты автоматизированных рабочих мест в пределах возложенных на них функций. В случае отказа работоспособности технических средств и программного обеспечения ИСПДН, в том числе средств защиты ИСПДН принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности. Информировать директора ООО «Тульские городские электрические сети» о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДН. 8.4 Администратор информационной безопасности имеет право: Контролировать работу пользователей на автоматизированных рабочих местах ИСПДН. Требовать прекращения обработки информации как в целом, так и отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДН. 8.5 Пользователь ИСПДН Пользователь ИСПДН, сотрудник ООО «Организация», осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Пользователь не имеет полномочий для управления подсистемами обработки данных и СЗПДн. Пользователь ИСПДн обладает следующим уровнем доступа и знаний: - обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн; - располагает конфиденциальными данными, к которым имеет доступ. 8.6 Обязанности пользователя ИСПДН. Выполнять на ИСПДН только те процедуры, которые определены для него в «Разрешительной системе доступа к информационным (программным) ресурсам объекта вычислительной техники. Перед обработкой персональных данных включать и проверять функционирование средства активной защиты (при наличии). Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке машинных носителей информации, а также руководящих и организационно-распорядительных документов на данный ИСПДН. Пользователи перед началом обработки на ИСПДН файлов, хранящихся на съемных носителях информации, должны осуществить проверку файлов на наличие компьютерных вирусов. Антивирусный контроль ИСПДН должен осуществляться пользователем не реже одного раза в неделю. Экран видеомонитора в помещении располагать во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты). Соблюдать установленный режим разграничения доступа к информационным ресурсам: получать у Администратора информационной безопасности (АИБ) пароль, надежно его запоминать и хранить в тайне. Немедленно докладывать АИБ обо всех фактах и попытках НСД к обрабатываемой на ИСПДН информации или об ее исчезновении (искажении). 8.7 Пользователям ИСПДН запрещается: записывать и хранить информацию на неучтенных носителях информации (НИ); оставлять во время работы магнитные НИ (или ИСПДН с НИ) без присмотра, передавать их другим лицам и выносить за пределы помещения, в котором разрешена обработка информации; отключать (блокировать) средства защиты информации, предусмотренные организационно-распорядительными документами на данный ИСПДН; производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств; самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств; обрабатывать на ИСПДН информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам обработки информации; сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам ИСПДН; работать на ИСПДН при обнаружении каких-либо неисправностей; хранить НИ вблизи сильных источников электромагнитных излучений и прямых солнечных лучей; хранить на учтенных НИ программы и данные, не относящиеся к рабочей информации; вводить в тех. средства персональные данные под диктовку или с микрофона; осуществлять электропитание и заземление ОТСС от нештатных сетей электропитания и заземления; привлекать посторонних лиц для производства ремонта ОТСС без согласования со специалистом по защите информации. |