Политика информационной безопасности Оганесян А.А. Политика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети
Скачать 270 Kb.
|
12. Требования к персоналуСотрудники ООО «Тульские городские электрические сети», являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн. При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн. Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн. Сотрудники ООО «Тульские городские электрические сети», использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов. Сотрудники ООО «Тульские городские электрические сети» должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации). Сотрудники ООО «Тульские городские электрические сети» должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию. Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами ООО «Тульские городские электрические сети», третьим лицам. При работе с ПДн в ИСПДн сотрудники ООО «Тульские городские электрические сети» обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов ИСПДН или терминалов. При завершении работы с ИСПДн сотрудники обязаны защитить ИСПДН или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты. Сотрудники ООО «Тульские городские электрические сети» должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн. Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн. 13. Технологический процесс обработки персональных данныхВ процессе обработки информации в информационных системах Персональных данных ООО «Тульские городские электрические сети» участвуют следующие группы пользователей: - Администратор информационной безопасности – обладает всей полнотой доступа к ресурсам информационных систем персональных данных (ИСПДн), организует и контролирует работу ИСПДн. - Пользователи – имеющие доступ к ИСПДн на основании приказа о допуске к ИСПДн. Перечень объектов доступа: жесткие магнитные диски (ЖМД), гибкие магнитные диски (ГМД), оптические диски (CD-ROM), штатное программное обеспечение (ПО). Перечень субъектов доступа: администратор информационной безопасности, пользователи. К работе на ИСПДн допускаются только сотрудники в соответствии с утвержденной «Разрешительной системой доступа информационной системы персональных данных ООО «Тульские городские электрические сети», допущенные к обработке персональных данных (далее - информации), после изучения организационно-распорядительной документации. Подготовка персонального компьютера (далее – ПК) к работе: Включить ПК, для чего: подключить сетевые шнуры электропитания к сети 220 В, включить устройства защиты и убедиться в их функционировании. Включить источник бесперебойного питания, включить системный блок и монитор. После запроса системы необходимо предъявить персональный идентификатор и набрать персональный пароль на клавиатуре. При отсутствии НСД произойдёт загрузка операционной системы Windows ХР. При нарушении или сбое системы защиты от НСД и при отказе загрузки операционной системы - прекратить работу и пригласить администратора информационной безопасности. Запустить программу антивирусного контроля и проверить жесткий диск и используемые съемные носители на наличие вирусов. Для защиты информации, обрабатываемой в ИСПДн от НСД используются СЗИ от НСД «Dallas Lock 8.0-K», встроенный межсетевой экран «СЗИ от НСД «Dallas Lock 8.0-K». На ИСПДН разрешается обработка следующей информации: персональные данные конфиденциальная информация. Если во время работы на ПК появилась необходимость временно покинуть рабочее место, исполнитель обязан заблокировать ПК, для чего нужно нажать комбинацию клавиш Описание реализованных правил разграничения доступа. Обработка информации осуществляется только на предварительно учтенных носителях информации (защищаемых ресурсах – ЖМД, гибкие магнитные диски (ГМД), прошедших антивирусный контроль, причем каждый исполнитель для обработки информации использует только свой профиль пользователя в котором администратором закреплены правила разграничения доступа: возможность доступа к дискам, папкам и файлам, возможность записи и чтения информации и т.д. Администратор организует и контролирует доступ пользователей к доступным ресурсам ИСПДН и состояние информации на носителях. По окончании рабочего дня все съемные учтенные носители информации, документы и материалы запираются в сейфе, либо сдаются на хранение ответственному за защиту информации. Исполнители обязаны предъявлять, по требованию ответственного за защиту информации, для проверки все числящиеся за ними носители информации. Исполнителю ЗАПРЕЩАЕТСЯ: обрабатывать информацию в присутствии посторонних лиц; записывать информацию на неучтенных носителях информации, листах бумаги и т. д.; использовать в работе пароли, если есть подозрение на их компрометацию; разглашать сведения о применяемой системе защиты и содержании информации; изменять и тиражировать программное обеспечение; 14. МОДЕЛЬ НАРУШИТЕЛЕЙ БЕЗОПАСНОСТИПод нарушителем безопасности информационной системы в Обществе понимаетсялицо, которое в результате умышленных или неумышленных действий может нанестиущерб объектам защиты.Нарушители подразделяются по признаку принадлежности к ИСПДн. Всенарушители делятся на две группы:внешние нарушители – физические лица, не имеющие права пребывания натерритории контролируемой зоны, в пределах которой размещаетсяоборудование ИСПДн;внутренние нарушители – физические лица, имеющие право пребывания натерритории контролируемой зоны, в пределах которой размещаетсяоборудование ИСПДн.15. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИДля ИСПДн Учреждения выделяются следующие основные категории угрозбезопасности персональных данных:1 Угрозы от утечки по техническим каналам.2 Угрозы несанкционированного доступа к информации.3 Угрозы уничтожения, хищения аппаратных средств ИСПДн носителейинформации путем физического доступа к элементам ИСПДн.4 Угрозы хищения, несанкционированной модификации или блокированияинформации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических5 Угрозы не преднамеренных действий пользователей и нарушений безопасностифункционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении,а также от угроз (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания)и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.6 Угрозы преднамеренных действий внутренних нарушителей.7 Угрозы несанкционированного доступа по каналам связи.16. Ответственность сотрудников ИСПДн ООО «Тульские городские электрические сети»В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ). Администраторы безопасности ИСПДн несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей. При нарушениях сотрудниками ООО «Тульские городские электрические сети» – пользователей ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации. Приведенные выше требования нормативных документов по защите информации должны быть отражены в Политики безопасности о подразделениях ООО «Тульские городские электрические сети», осуществляющих обработку ПДн в ИСПДн и должностных инструкциях сотрудников ООО «Тульские городские электрические сети». Согласовано
|