Размер:
Цвет:

Об утверждении инструкций по работе в информационной системе персональных данных «Сотрудники»

Приказ Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры
№ 170 от 28.05.2015

Вложения : 
Скачать документ (формат .pdf) (1.22 MB)
Скачать документ (формат .docx) (0.18 MB)


ПРИКАЗ

 

Об утверждении инструкций по работе в информационной системе персональных данных «Сотрудники»

 

г. Ханты-Мансийск

 

«28» мая 2015г.                                                                                    № 170

 

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» в целях обеспечения безопасности информации, обрабатываемой винформационной системе персональных данных «Сотрудники»Департамента общественных и внешних связей Югры

 

ПРИКАЗЫВАЮ:

 

1.                Утвердить:

1.1           Инструкцию по выполнению режимных мер и допускукинформационной системе персональных данных«Сотрудники» (приложение 1 к настоящему приказу).

1.2           Инструкцию пользователяинформационной системы персональных данных «Сотрудники» в части обеспечения безопасности персональных данных при их обработке винформационной системе персональных данных (приложение 2 к настоящему приказу).

1.3           Инструкцию по использованию программных и аппаратных средств защиты информации (приложение 3 к настоящему приказу).

1.4           Инструкцию администратора информационной безопасности информационной системы персональных данных «Сотрудники» (приложение 4 к настоящему приказу).

1.5           Инструкцию по организации парольной защиты винформационной системе персональных«Сотрудники» (приложение 5 к настоящему приказу).

1.6           Инструкцию по проведению антивирусного контроля винформационной системе персональных данных«Сотрудники» (приложение 6 к настоящему приказу).

1.7           Инструкцию по работе с инцидентами информационной безопасности (приложение 7 к настоящему приказу).

1.8           Инструкцию по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных«Сотрудники» (приложение 8 к настоящему приказу).

1.9           Инструкцию по резервному копированию и восстановлению данных винформационной системе персональных данных«Сотрудники» (приложение 9к настоящему приказу).

1.10      Перечень программного обеспечения, разрешенного к установке винформационной системе персональных данных«Сотрудники» (приложение 10к настоящему приказу).

2.       Организационному отделу Административного управления ознакомить под роспись сотрудников Департамента общественных и внешний связей Югры(приложение 11 к настоящему приказу).

3.                Контроль за исполнением приказа оставляю за собой.

 

Подписан директором Департамента общественных и внешних связей Югры


 


Директор Департамента                                                     И.А. Верховский

 


 

Приложение 1

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

 

 

Инструкция по выполнению режимных мер и допуску

кинформационной системе персональных данных«Сотрудники»

 

Обозначения и сокращения

Департамент – Департамент общественных и внешних связей Югры;

АРМ               – автоматизированное рабочее место;

ИС                  –информационная система персональных данных «Сотрудники»;

ОТСС             – основные технические средства и системы;

ПДн                – персональные данные;

ПЭВМ                       – персональная электронно-вычислительная машина;

СВТ                – средства вычислительной техники;

СЗИ                – средства защиты информации;

СЗПДн           – система (подсистема) защиты персональных данных;

УБПДн           – угрозы безопасности персональных данным.

 

1.                  Общие положения.

1.1.            Инструкция по выполнению режимных мер и допуску к ИС(далее - Инструкция) предназначена для руководящего составаДепартамента, руководителей структурных подразделений, и регулирует порядок допуска пользователей к работе в ИС.

1.2.            Правила, устанавливаемые положениями Инструкции обязательны для исполнения.

 

2.                  Порядок допуска к ИС и в помещения размещения ОТСС.

2.1.            Приведённый в инструкции порядок направлен на достижение следующих задач:

-                   допуск к информации, обрабатываемой в ИС строго определённого перечня лиц;

-                   самостоятельный допуск в помещения с установленными в них ОТСС ИС строго определённого перечня лиц;

-                   закрепление за каждым пользователем определённого ему для работы АРМ ИС и определённых ему информационных ресурсов в ИС.

2.2.            Для выполнения задач, обозначенных в п. 2.1 Инструкции, создаются следующие распорядительные инструменты:

-                   «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники». Содержит перечень лиц (ФИО, должность), имеющих право допуска к АРМ ИС. Разрабатывается и актуализируется администратором информационной безопасности в порядке, описанном данной инструкцией. Копия списка вывешивается в каждом помещении размещения ОТСС ИС в целях исключения допуска к работе с АРМ не закреплённых за ними пользователей;

-                   «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТСС информационной системы персональных данных «Сотрудники». Содержит сведения о помещениях и перечень лиц (ФИО, должность), имеющих право самостоятельного доступа в помещение, снятия помещения с охраны и получения ключей от него. Готовится и поддерживается в актуальном состоянии администратором информационной безопасности.

Все указанные документы утверждаются директором.

2.3.            Для работы в ИС каждый пользователь должен получить соответствующий допуск. Под допуском к ИС понимается возможность самостоятельного доступа пользователя к средствам информатизации ИС. Право допуска предоставляется пользователю только после включения его в «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники».

Устные указания кого бы то ни было об установлении права доступа пользователю к ИС либо об изменении его прав доступа не имеют юридической силы и необязательны для исполнения. Сотрудники Департамента и администратор информационной безопасности не могут быть наказаны за невыполнение подобного указания от вышестоящего руководителя.

Процедура получения (лишения прав) соответствующего права допуска пользователя для сотрудника Департамента инициируется заявкой начальника отдела, в котором числится сотрудник в адрес директора. (Приложение 1), только после назначения сотрудника на должность приказом, и подписания новым сотрудником обязательства о неразглашении персональных данных (Приложение 2). Подписание и хранение обязательства о неразглашении персональных данных в личном деле организовывается сотрудниками отдела правовой и кадровой работы.

Директор передает заявку администратору информационной безопасности.

Администратор информационной безопасности:

-                   Вносит соответствующие изменения в «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники» и «Разрешительную систему доступа персонала к сведениям конфиденциального характерав информационной системе персональных данных «Сотрудники».

-                   Обновлённый «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники» и «Разрешительная система доступа персонала к сведениям конфиденциального характерав информационной системе персональных данных «Сотрудники»представляется на утверждение директору.

-                   После утверждения указанных документов администратор информационной безопасности обеспечивает:

1)                 Регистрацию (удаление) персонального имени (учетная запись пользователя) и пароля, под которым пользователь регистрируется и работает в системе в соответствии с «Инструкцией по организации парольной защиты винформационной системе персональных данных «Сотрудники»;

2)                 Внесение необходимых изменений администратором сети, серверов, баз данных в списки пользователей соответствующих подсистем и СУБД;

3)                 Настройку средств защиты и программного обеспечения АРМ пользователя, соответствующим категориям защиты.

Заявки хранятся у администратора информационной безопасности.

-                   Обновлённый «Перечень лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники» рассылается администратором информационной безопасности заинтересованнымсотрудникам Департамента.

-                   Начальник отдела, в котором числится пользователь, контролирует внесение изменений в должностные инструкции пользователя и допускает сотрудника к работе в ИС. Директором утверждаются необходимые изменения в «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТСС информационной системы персональных данных «Сотрудники».

-                   При исключении пользователя ИС из «Перечня лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники»руководителю отдела, в котором числится пользователь, необходимо направлять заявку в адрес директора до момента объявления пользователю о лишении его прав на допуск к ИС. Обязательным является заведомое уведомление директоромо планируемом лишении прав доступа или изменения полномочий сотрудника по доступу к ресурсам ИС администратора информационной безопасности. Администратором информационной безопасности принимаются меры по исключению возможности нарушения данным лицом характеристик безопасности информации ИС.

2.4.            По таким же правилам происходит включение (исключение) в «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТСС информационной системы персональных данных «Сотрудники».

2.5.            Действующими утверждёнными «Перечнем лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники и «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТСС информационной системы персональных данных «АП ФИС ФРДО» в своей повседневной деятельности руководствуются руководители отделов, эксплуатирующих ИС, технические специалисты и администратор информационной безопасности. Перечни лиц находятся в рабочем кабинете администратора информационной безопасности, в целях использования сотрудниками Департамента в ежедневной деятельности и с целью контроля соблюдения установленных перечней допущенных лиц.

 

3.                  Требования по организации режимных мер.

3.1.            Состав ИС должен соответствовать техническому паспорту. Обработка не учтённых в техпаспорте технических средств запрещается.Все технические средства ИС должны размещаться в соответствии с техническим паспортом.

Изменение состава ОТСС в составе ИС допускается только после согласования с органом по аттестации. В адрес органа по аттестации направляется письменное уведомление о планируемых изменениях. Изменения осуществляются после получения рекомендаций органа по аттестации. Ответственным за данные мероприятия является директор.

Полный порядок действий при модификации, обновлении программного обеспечения и других изменениях в ИС приведён в «Инструкция по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных «Сотрудники».

Контроль соблюдения данных требований и ведения учета средств информатизации ИС возлагается на администратора информационной безопасности.

3.2.            Помещения, в которых размещаются средства информатизации ИС, должны исключать возможность бесконтрольного проникновения в них посторонних лиц. Помещения должны быть оборудованы пожарной сигнализацией, находящейся в работоспособном состоянии.

Пропуск в здание осуществляется на основании «Инструкции по обеспечению безопасности бюджетного учреждения ХМАО-Югры «Дирекция по экплуатации служебных зданий». Ключи от кабинетов хранятся у сотрудников, дубликаты хранятся на посту охраны, ведётся журнал выдачи ключей.

Уборка помещений должна осуществляться в присутствии сотрудников, имеющих право самостоятельного допуска в помещения.

Передача ключа посторонним лицам строго запрещена. Вскрытие помещений возможно только в присутствии лиц, имеющих право самостоятельного доступа в помещение в соответствии с утвержденным списком или в присутствии администратора информационной безопасности.

При обнаружении факта несанкционированного проникновения в помещения лиц, не входящих в «Перечень лиц, имеющих право самостоятельного (неконтролируемого) пребывания в помещениях размещения ОТССинформационной системы персональных данных«Сотрудники», администратор информационной безопасности или другие лица (в зависимости от обнаружившего данный факт) обязаны немедленно сообщить о происшедшем директору.

По данному происшествию проводится служебная проверка с установлением последствий проникновения для безопасности информации (нарушение целостности, доступности и конфиденциальности), обрабатываемой в ИС.

При утере ключа от помещения сотрудники, имеющие право допуска в помещение, обязаны сообщить о случившемся администратору информационной безопасности. Руководством принимаются меры по исключению возможности хищения носителей информации и ОТСС ИС (замена замков или другие меры).

3.3.            Технические средства АРМ в помещении размещаются таким образом, чтобы исключить возможность просмотра экрана видеомонитора и распечаток принтера лицами, не имеющими отношения к обрабатываемой информации. Не допускается перемещение АРМ в другие помещения.

3.4.            Ключи от сейфа, расположенного в кабинете № 308 и используемого для хранения дистрибутивов(резервных копий) средств защиты информации и резервных копий ПДн, хранятся у начальника организационного отдела административного управления.

3.5.            Техническое обслуживание и ремонт средств информатизации проводится в соответствии с «Инструкцией по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных «Сотрудники».

4.                  Ответственность за нарушение режимных мер.

Ответственность за обеспечение безопасности информации в ИС, своевременную разработку и осуществление необходимых мероприятий по обеспечению безопасности информации несёт администратор информационной безопасности. Контроль за обеспечением режима безопасности информации и требований настоящей Инструкции возлагается на ответственного за организацию обработки персональных данных.

За соблюдение непосредственно подчинёнными сотрудниками действующего законодательства в области защиты информации, «Инструкции пользователюинформационной системыперсональных данных «Сотрудники», «Инструкции по проведению антивирусного контроля винформационной системеперсональных данных «Сотрудники», «Инструкции по организации парольной защиты винформационной системе персональных данных«Сотрудники», «Инструкции по резервному копированию и восстановлению данных винформационной системеперсональных данных «Сотрудники», и других документов Департамента в части обеспечения безопасности информации отвечает ответственный за организацию обработки персональных данных. При методической поддержке администратора информационной безопасности он организуют изучение подчинёнными сотрудниками требований организационно – распорядительных документов Департамента при работе в ИС. Каждому сотруднику Департамента должна быть предоставлена возможность изучить свои обязанности и правила работы в ИС.

Факт нарушения требований настоящей Инструкции является чрезвычайным происшествием. По каждому случаю проводится служебная проверка.

Невыполнение требований настоящей Инструкции рассматривается как нарушение трудовой дисциплины и влечет за собой наложение дисциплинарного взыскания.

Настоящая Инструкция доводится до заинтересованных сотрудников Департаментапод роспись.


 

Приложение1

к инструкции по выполнению режимных мер и допуску

кинформационной системе персональных данных

«Сотрудники»

На имя директора

                                                                                                                                       

ЗАЯВКА

на внесение изменений в списки пользователей

информационной системы персональных данных«Сотрудники»и наделение пользователей полномочиями доступа к ресурсам системы

 

                         Прошу зарегистрировать пользователем (исключить из списка пользователей, изменить полномочия пользователя) в

                                 (ненужное зачеркнуть)

 

ИС «Сотрудники» _______________________________________________________

(должность с указанием подразделения) _____________________________________________________________________________ (фамилия имя и отчество сотрудника)

предоставив ему полномочия, необходимые (лишив его полномочий, необходимых)

(ненужное зачеркнуть)

для решения задач: ________________________________________________________________________________

(список задач согласно формуляров задач)

________________________________________________________________________________ ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________на следующих рабочих местах (АРМ): _____________________________________________________________________________ (номер помещения, зав.или инвент.номера АРМ)

           

Обязательство о неразглашении персональных данных, обрабатываемых в ИС, мною подписано и хранится в отделе кадров.

 

«___» _____________ 20__ г.             

                                                                                                                 ________________________                                            ________________________

            (подпись)                      (ФИО)

                        


Приложение2

к инструкции по выполнению режимных мер и допуску

кинформационной системе персональных данных

«Сотрудники»

 

Обязательство о неразглашении информации, обрабатываемой винформационной системе персональных данных «Сотрудники»

 

Я,____________________________________________________________________

(фамилия, имя, отчество, должность)

Департамента общественных и внешних связей Югры, далее по тексту - Департаментв период трудовых (служебных) отношений с Департаментом и в течение 5 лет после их окончания обязуюсь:

1. не разглашать сведения конфиденциального характера, содержащие персональные данные, которые станут мне известны при выполнении служебных (трудовых) обязанностей или иным путем;

2. не передавать третьим лицам и не раскрывать публично сведения конфиденциального характера, содержащие персональные данные, без согласия субъектов персональных данных;

3. выполнять относящиеся ко мне требования приказов, инструкций и положений по обеспечению безопасности персональных данных, обрабатываемых в Департаменте;

4. в случае попытки посторонних лиц получить от меня персональные данные, обрабатываемые в Департаменте немедленно сообщить об этом непосредственному руководителю и ответственному за организацию обработки персональных данныхв Департаменте;

5. в случае моего увольнения, все носители персональных данных, которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в Департаменте, сдать лицу, ответственному за учет и хранение;

6. об утрате или недостаче носителей персональных данных, а также о причинах и условиях возможной утечки персональных данных немедленно сообщить непосредственному руководителю и ответственному за организацию обработки персональных данных в Департаменте.

Я предупрежден(а), что разглашение персональных данных, обрабатываемых в Департаменте, утрата носителей персональных данных, передача третьим лицам, публикация без согласия субъекта персональных данных, а также использование для занятия любой деятельностью, которая может нанести ущерб субъекту персональных данных, влечет уголовную, административную, гражданско-правовую или иную ответственность в соответствии с действующим законодательством, в виде лишения свободы, денежного штрафа и других наказаний.

До моего сведения также доведены с разъяснениями соответствующие положения, инструкции, приказы по обеспечению безопасности персональных данных.

 

 

«___»__________ 20___г. _____________________________________________

                                                                                     (ФИО)

 

Один экземпляр обязательств получил                                    ___________________

                                                                                                                 (подпись)

 


 

Приложение2

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

 

 

 

Инструкция пользователюинформационной системы персональных данных «Сотрудники» в части обеспечения безопасности персональных данных при их обработке в информационной системе

 

 

Обозначения и сокращения

 

Департамент – Департамент общественных и внешних связей Югры;

АРМ – автоматизированное рабочее место;

ИС –информационная система персональных данных «Сотрудники»;

ИБ – информационная безопасность;

ЗИ – защита информации;

ОТСС – основные технические средства и системы;

ПДн – персональные данные;

ПЭВМ – персональная электронно-вычислительная машина;

СВТ – средства вычислительной техники;

СЗИ – средства защиты информации;

СЗПДн – система (подсистема) защиты персональных данных;

УБПДн – угрозы безопасности персональным данным;

НСД – не санкционированный доступ.

 

  1. Общие положения

 

1.1. Инструкция пользователя (далее Инструкция) ИС предназначена для пользователей всех уровней (руководителей и сотрудников) и регулирует порядок работы пользователейв ИС, определяет общие обязанности, права и ответственность по обеспечению информационной безопасности при работе в ИС.

1.2. Пользователем ИС (далее Пользователь) является сотрудник Департамента, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИС, в соответствии с перечнем лиц, допущенных к ИС.Пользователь должен принимать все необходимые меры по защите информации и контролю за соблюдением прав доступа к ней.

1.3. Положения Инструкции обязательны для исполнения всеми пользователями.

1.4.Все пользователи должны быть ознакомлены под расписку с Инструкцией и предупреждены об ответственности за её нарушение.

1.5.По уровню ответственности и правам доступа к ИС пользователи разделяются на следующие категории: администратор информационной безопасности и пользователи.

 

 

2.Основные положения Инструкции

 

2.1.При первичном допуске к работе в ИС Пользователь изучает требования настоящей инструкции, разрешительную систему доступа к ИС, и руководящие, нормативно-методические и организационно-распорядительные документы по вопросам обеспечения безопасности информации.

2.2.Каждый пользователь ИС, имеющий в рамках своих обязанностей доступ к аппаратным средствам, программному обеспечению и данным ИС, несет персональную ответственность за свои действия и обязан:

  • строго соблюдать установленныеправила обеспечения безопасности информации при работе с программными и техническими средствами ИС, в том числе положения настоящей Инструкции;
  • знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции;

§ располагать ОТСС в соответствии с техническим паспортом;

  • хранить в тайне свой пароль (пароли). Парольную защиту организовывать в соответствии с Инструкцией по организации парольной защиты;
  • выполнять требования Инструкции по проведению антивирусногоконтроля;
  • немедленно вызывать администратора информационной безопасности и ставить в известность руководителя подразделения при подозрении компрометации личных ключей и паролей или при обнаружении фактов совершения в его отсутствие попыток НСД к ОТСС ИС;
  • в случае появления у пользователя сведений или подозрений о фактах нарушения настоящих правил, а в особенности о фактах или попытках несанкционированного удаленного доступа к информации, размещенной на контролируемом в ИС компьютере, пользователь должен немедленно сообщить об этом администратору информационной безопасности;

§ немедленно сообщать администратору информационной безопасности об обнаруженных фактах нарушения настоящей Инструкции кем-либо;

§ сообщать администратору информационной безопасностиоб отклонениях в нормальной работе установленных на АРМ средств защиты информации;

  • при работе в ИС выполнять только служебные задания;
  • при отсутствии необходимости работы выключить компьютер;
  • при работе в ИС использовать только учтенные съемные носители, при обоснованной необходимости использования неучтённых носителей согласовывать использование с администратором информационной безопасности. После того как цель переноса информации на носители достигнута (переданы третьим лицам и т.п.) информация незамедлительно удаляется с носителей;
  • осуществлять установленным порядком уничтожение информации (сочетанием клавиш Shift+Del), содержащей сведения конфиденциального характера, с машинных (съемных) носителей информации;
  • немедленно выполнять предписания администратора информационной безопасности в части обеспечения безопасности информации;

§ экран видеомонитора в помещении располагать во время работы так, чтобы исключалась возможность ознакомления с отображаемой на нем информацией посторонними лицами;

§ соблюдать установленный режим разграничения доступа к информационным ресурсам;

§ не разглашать известную им информацию, составляющую ПДн лицам, не имеющим допуска к этой информации;

  • все изменения конфигурации технических и программных средств ИС, ремонт, модификация и техническое обслуживание технических средств и систем, входящих в состав ИС  производить только на основании инструкции по модернизации, ремонту, техобслуживанию;

 

 

2.3. Пользователю запрещается:

 

§ самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств, устанавливать или удалять установленные техническим специалистом (администратором информационной безопасности) сетевые программы на компьютерах, вскрывать компьютеры, сетевое и периферийное оборудование, подключать к компьютеру дополнительное оборудование, вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и  аппаратные средства без согласования с администратором информационной безопасности;

§ привлекать посторонних лиц для производства ремонта ОТСС без письменной заявки и согласования с администратором информационной безопасности;

  • запускать любые системные или прикладные программы, не входящие в состав программного обеспечения;
  • работать с неучтенными машинными (съемными) носителями информации;

§ отключать (блокировать) средства защиты информации;

§ производить какие-либо изменения в размещении технических средств;

§ обрабатывать на СВТ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам;

§ сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам АРМ;

§ хранить на учтенных носителях программы и данные, не относящиеся к рабочей информации;

  • выполнять работы с документами ограниченного распространения на дому, выносить их за пределы контролируемой зоны;

§ передавать свои учтённые носители кому-либо;

§ вводить в ОТСС персональные данные под диктовку или с микрофона;

§ осуществлять попытки несанкционированного доступа к ресурсам ИС, проводить или участвовать в сетевых атаках и сетевом взломе;

§ производить действия, направленные на взлом (несанкционированное получение привилегированного доступа) рабочих станций и серверов;

§ закрывать доступ к информации паролями без согласования с администратором информационной безопасности;

§ оставлять без личного присмотра на рабочем месте или где бы то ни было персональное устройство идентификации, машинные (съемные) носители и распечатки, содержащие защищаемую информацию;

2.4.Пользователь обязан обеспечить:

§ блокирование своей учетной записи в случае кратковременного оставления АРМ(нажатием клавиш Windows+L);

§ обязательное выключение компьютера после завершения работы;

2.5.Права пользователя:

§ участвовать  в служебных расследованиях по фактам нарушения установленных требований обеспечения информационной безопасности, НСД, утраты, порчи защищаемой информации и технических компонентов ИС, если данное нарушение произошло под его идентификационными данными;

§ своевременно получать доступ к информационным ресурсам ИС, необходимым ему для выполнения своих должностных обязанностей;

§ требовать от администратора информационной безопасности смены идентификационных данных в случае появления сведений или подозрений на то, что эти данные стали известны третьим лицам.

2.6.Ответственность:

2.6.1.Пользователь несет персональную ответственность за соблюдение установленных требований во время работы. Пользователи, виновные в нарушении законодательства Российской Федерации о защите прав собственности и охраняемых по Закону сведений, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и организационно распорядительными документами;

2.6.2.Пользователь компьютера отвечает за информацию, хранящуюся на его компьютере, технически исправное состояние компьютера и вверенной техники;

2.6.3.Нарушение данной инструкции, повлекшее уничтожение, блокирование, модификацию либо копирование охраняемой законом компьютерной информации, нарушение работы компьютеров пользователей или ИС в целом, может повлечь ответственность в соответствии с действующим законодательством.

 

Порядок использования съемных  носителей информации.

Под использованием съемных носителей информации в ИС понимается их подключение к АРМ с целью обработки, приема/передачи информации между АРМ и носителями информации.

В ИС допускается использование только учтенных съемных носителей информации, которые являются собственностью Департамента и подвергаются регулярной ревизии и контролю.

Съемные носители информации предоставляются пользователям ИС  по инициативе руководителей структурных подразделений в случаях:

§ необходимости выполнения вновь принятым работником своих должностных обязанностей;

§ возникновения у сотрудника Департаментапроизводственной необходимости.

 

Порядок учета, хранения и обращения со съемными носителями, твердыми копиями и их утилизации.

Все находящиеся на хранении и в обращении съемные носители в ИС подлежат учёту.

Каждый съемный носитель должен иметь этикетку, на которой указывается его уникальный учетный номер.

Для получения электронного внешнего носителя, пользователь обращается к руководителю структурного подразделения, руководитель структурного подразделения пишет служебную записку на имя ответственного за организацию обработки персональных данных о выдаче пользователю внешнего электронного носителя, далее ответственный за организацию обработки персональных данных принимает решение и передает служебную записку администратору информационной безопасности.

Учет и выдачу съемных носителей осуществляет администратор информационной безопасности, на которого возложена эта функция. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей конфиденциальной информации.

При использовании сотрудниками съемных носителей информации необходимо:

§ соблюдать требования настоящей Инструкции;

§ использовать носители информации исключительно для выполнения своих служебных обязанностей;

§ ставить в известность администратора информационной безопасностио любых фактах нарушения требований настоящей Инструкции;

§ бережно относиться к носителям информации;

§ извещать администратора информационной безопасностио фактах утраты (кражи) носителей информации;

При использовании носителей конфиденциальной информации запрещено:

  • использовать носители конфиденциальной информации в личных целях;
  • передавать носители конфиденциальной информации другим лицам (за исключением администратора информационной безопасности);
  • хранить съемные носители с конфиденциальной информацией (персональными данными) вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
  • выносить съемные носители с конфиденциальной информацией (персональными данными) за пределы контролируемой зоны для работы с ними на дому и т. д.

Любое взаимодействие (обработка, прием/передача информации), инициированное пользователем ИС между АРМ и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администратором информационной безопасности). Администратор информационной безопасностиоставляет за собой право блокировать или ограничивать использование носителей информации.

В случае выявления фактов несанкционированного и/или нецелевого использовании носителей информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется ответственным за организацию обработки персональных данных.

По факту выясненных обстоятельств составляется акт расследования инцидента и передается руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Департамента и действующему законодательству.

Информация, хранящаяся на съемных носителях, подлежит обязательной проверке на отсутствие вредоносного ПО.

В случае утраты или уничтожения съемных носителей конфиденциальной информации (персональных данных) либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель  структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей конфиденциальной информации (персональных данных).

Съемные носители конфиденциальной информации (персональных данных), пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение таких съемных носителей с конфиденциальной информацией осуществляется администратором информационной безопасностипосле сдачи пользователями, с отметкой в журнале.

В случае увольнения или перевода работника в другое структурное подразделение предоставленные носители конфиденциальной информации сдаются администратору информационной безопасности.


Приложение 3

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

 

 

 

Инструкция по использованию программных и аппаратных средств защиты информации

 

1.  Порядок эксплуатации средств защиты информации

 

1.1.    Антивирусные программные продукты KasperskyEndpointSecurity.

При эксплуатации данных программных продуктов выполнять требования и руководствоваться следующими документами:

-     Руководства по установке;

-     Руководства пользователя.

Данные документы разрабатываются производителем программного продукта и предоставляются в электронном виде на установочном оптическом диске.

 

1.2.    Средство защиты информации от несанкционированного доступа «DallasLock 8.0-К».

При эксплуатации средства защиты информации выполнять требования и руководствоваться следующими документами:

-     Описание применения;

-     Руководство оператора;

-     Руководство по эксплуатации.

Данные документы разрабатываются производителем программного продукта и предоставляются в электронном виде на установочном оптическом диске.

 

2.  Порядок установки, настройки, модификации и технического обслуживания средств защиты информации

В соответствии с Федеральным законом от 4.05.2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» и Постановлением Правительства РФ от 3.02.2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» выполнение работ по установке, монтажу, испытаниям, ремонту средств защиты информации отнесены к лицензируемому виду деятельности по технической защите конфиденциальной информации. С учетом этого для выполнения данных работ может привлекаться только организация, имеющая соответствующую лицензию.

Эксплуатация средств защиты информации осуществляется лицами, допущенными к ним в соответствии с разрешительной системой доступа пользователей к сведениям конфиденциального характера  в информационной системе.

Контроль по выполнению данными лицами требований документов по эксплуатации средств защиты информации возлагается на администратора информационной безопасности.


Приложение 4

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

 

 

Инструкция администратору информационной безопасностиинформационной системы персональных данных«Сотрудники»

 

Обозначения и сокращения

 

Департамент – Департамент общественных и внешних связей Югры;

АРМ – автоматизированное рабочее место;

ИС –информационная система персональных данных «Сотрудники»;

АРМ – автоматизированное рабочее место;

ВТСС – вспомогательные технические средства и системы;

ИБ – информационная безопасность;

ОТСС – основные технические средства и системы;

ПДн – персональные данные;

ПЭВМ – персональная электронно-вычислительная машина;

СВТ – средства вычислительной техники;

СЗИ – средства защиты информации;

СЗПДн – система (подсистема) защиты персональных данных;

УБПДн – угрозы безопасности персональным данным;

ПО – программное обеспечение;

ОРД – организационно-распорядительная документация;

ОС – операционная система;

Машинные носители информации (МНИ) –накопители на жестких магнитных дисках (HDD);

Съемные носители информации (СНИ) – USB-флэш-накопители информации.

 

 

1.Общие положения

 

1.1. Настоящий документ определяет основные обязанности, права и ответственность администратора информационной безопасности ИС.

1.2.Администратор информационной безопасности осуществляет контроль выполнения требований организационных и технических мероприятий по обеспечению безопасности информации в ИС.

1.3. Методическое руководство и контроль работыадминистратора информационной безопасности осуществляется ответственным за организацию обработки персональных данных вДепартаменте.

 

2.Особенности организации работы в ИС

 

Администратор информационной безопасности должен знать, что:

ИС относится к многопользовательским информационным системам с разными правами доступа пользователей к ресурсам ИС. Группы пользователей, работающих в ИС: администратор информационной безопасности, пользователи ИС. Данные группы пользователей имеют права доступа к ресурсам ИС  в соответствии с разрешительной системой доступа пользователей к сведениям конфиденциального характера ИС.

 

 

3.Обязанности администратора информационной безопасности

 

3.1. Администратор информационной безопасности должен:

3.1.1. Знать нормативно-методические документы в области безопасности информации и организационно-распорядительные документы в части его касающейся;

3.1.2. Знать состав ОТСС ИС и контролировать их соответствие техническому паспорту на ИС. Вести учет изменений аппаратно-программной конфигурации (архив заявок, на основании которых были произведены данные изменения);

3.1.3    Контролировать процесс управления (заведения, активации, блокирования, уничтожения) учетными записями пользователей ИС:

·                    Проверять соответствие прав доступа пользователей к объектам доступа ИС в соответствии с задачами, решаемыми пользователями в ИС и взаимодействующими с ней ИС и Разрешительной системой доступа к ИС;

·                    Контролировать назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;

·                    Проверять отсутствие в ИС учетных записей уволенных (отстраненных) сотрудников;

·                    Оповещать администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;

·                    Проверять своевременность удаления временных учетных записей, предоставленных для однократного (ограниченного по времени) выполнения задач в ИС;

3.1.4    Контролировать неизменность настроек средств защиты информации:

·                    Настройки средств защиты информации должны препятствовать передаче защищаемой информации через сеть Интернет (или) другие информационно-телекоммуникационные сети международного информационного обмена по незащищенным линиям связи;

·                    Средства защиты информации должны ограничивать доступ к ИС на 10 минут при 5 неудачных попытках входа в ИС;

·                    Должен быть запрещен доступ к ИС до прохождения процедур аутентификации и идентификации;

·                    Должен обеспечиваться запрет удаленного доступа к ИС.

3.1.5    Контролировать запрет использования в ИС технологий беспроводного доступа и мобильных технических средств.

3.1.6    Контролировать отсутствие доступа к ИС со стороны пользователей информационных систем сторонних организаций.

3.1.7    Контролировать установку на АРМ ИС ПО с целью отсутствия в составе АРМ ИС стороннего ПО, не связанного с задачами, решаемыми пользователями в ИС.

3.1.8 Вести учет машинных носителей персональных данных.

3.1.9  Обеспечивать уничтожение (стирание) защищаемой информации с машинных носителей АРМ ИС, при их передаче в сторонние организации для ремонта или утилизации, либо контролировать процесс уничтожения (стирания). Уничтожение защищаемой информации должно исключать возможность восстановления защищаемой информации.

3.1.10  Контролировать регистрацию в информационной системе следующих событий безопасности:

·         входа (выхода), а также попытки входа субъектов доступа в информационную систему и загрузки (останова) операционной системы:

o   дата (время) входа/выхода в систему (из системы) или загрузки/останова операционной системы, результат попытки входа (успешная или неуспешная), результат попытки загрузки (останова) операционной системы (успешная или неуспешная), идентификатор, предъявленный при попытке доступа.

·         подключения машинных носителей информации и вывода информации на носители информации:

o   дата и время подключения машинных носителей информации и вывода информации на носители информации, логическое имя (номер) подключаемого машинного носителя информации, идентификатор субъекта доступа, осуществляющего вывод информации на носитель информации.

·         запуска (завершения) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации:

o   дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный).

·         попыток доступа программных средств к защищаемым объектам доступа:

o   дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификация защищаемого файла (логическое имя, тип).

·         попыток удаленного доступа:

o   дату и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иную информацию о попытках удаленного доступа к информационной системе.

3.1.11  Контролировать права на доступ к информации о событиях безопасности: доступ должен предоставляться исключительно администраторам ИС, обеспечивающим функционирование ИС, а также администратору информационной безопасности.

3.1.12. Обеспечивать постоянный контроль за выполнением пользователями ИС установленного комплекса мероприятий по обеспечению безопасности информации и соблюдения действующего законодательства в области информационной безопасности, а также инструкции пользователя и других организационно-распорядительных документов в части обеспечения безопасности информации;

3.1.13. Требовать от пользователей ИС и выполнять самому требования «Инструкции по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных «Сотрудники» и вести «Журнал учета нештатных ситуаций, выполнения профилактических и ремонтных работ на объекте, установки и модификации аппаратных и программных средств ИС»;

3.1.14. Контролировать порядок учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов;

3.1.15. Контролировать использование пользователями только учтенных съемных носителей. После того как цель переноса информации на носители достигнута (переданы третьим лицам и т.п.) информация незамедлительно удаляется с носителей;

3.1.16. Контролировать настройки ОС и СЗИ АРМ пользователей

3.1.17. Проводить инструктаж пользователей по правилам работы с используемыми средствами и системами зашиты информации;

3.1.18. Устанавливать права доступа пользователей к информационным и техническим ресурсам ИС в соответствии с принятой и утвержденной разрешительной системой доступа;

3.1.19. Следить за изменением программной среды ИС и полномочиями пользователей;

3.1.20. Хранить дистрибутивы СЗИ, производить при необходимости восстановление программной среды СЗИ или настройки защитных механизмов операционной системы и привилегий пользователей по доступу к ресурсам ИС. При необходимости для данных мероприятий привлекать других технических специалистов БУ «Урайский политехнический колледж»;

3.1.21. Фиксировать и пресекать невыполнение пользователями ИС требований или норм нормативно-методических документов в области безопасности информации и организационно-распорядительных документов в информационной сфере, а также создания пользователями возможностей утечки информации;

3.1.22. При получении информации о фактах нарушения политики и правил безопасности, а также попыток использования внешними нарушителями атак, в том числе с использованием методов социальной инженерии – немедленно докладывать ответственному за организацию обработки персональных данных, инициировать проведение служебной проверки (при нарушениях со стороны ответственного за организацию обработки персональных данных докладывать необходимо непосредственно вышестоящему руководству), регистрировать в журнале учёта инцидентов ИБ.

3.1.23. Не реже 1 раза в месяц просматривать журналы учёта и регистрации событий СЗИ (в соответствии с инструкцией по использованию программных и аппаратных средств защиты информации, операционной системы на предмет выявления подключения неучтённых носителей, попыток НСД и т.п.

3.1.24.Требовать от пользователей ИС и выполнять самому порядокпропускного и внутриобъектового режима в здании.

3.1.25. Контролировать отсутствие в составе ПО АРМ, входящих в ИС, средств разработки и отладки программ.

3.1.26. Реагировать на поступление в ИС спама (в случае присутствия данной информации в журналах событий межсетевого экрана) путем блокирования атакующего хоста.

3.1.27. Выполнять мероприятия по периодическому резервному копированию защищаемой информации в соответствии с «Инструкцией по резервному копированию и восстановлению данных винформационной системе персональных данных «Сотрудники»;

3.1.28.Знать эксплуатационную документацию на применяемые СЗИ. Устанавливать и эксплуатировать СЗИ в соответствии с документацией;

3.1.29. Хранить документацию и дистрибутивы СЗИ в соответствии с техническими условиями. Компакт-диск с программным обеспечением системы должен упаковываться согласно требованиям, предусмотренным для оптических носителей;

3.1.30. Поддерживать настройки СЗИ, соответствующие требованиям нормативных документов по безопасности информации и протоколу аттестационных испытаний, при этом система должна реализовывать в совокупности на каждой АРМ ИС функции необходимые для выполнения требований по защите от НСД для ИС;

3.1.31. Контролировать срок действия сертификатов соответствия на СЗИ и обеспечить их продление в соответствии с порядком продления, приведённым ниже.

3.2.Администратор информационной безопасности оказывает методическую помощь и контролирует выполнение руководителем подразделения, эксплуатирующего ИС  следующих действий:

§     При смене пользователя руководитель подразделения, эксплуатирующего ИС, инициирует внесение изменений в перечень лиц, допущенных к работе в данной ИС и в разрешительную систему доступа;

§     При исключении пользователя ИС из «Перечня лиц, имеющих право доступа к обработке персональных данных, содержащихся в информационной системе персональных данных «Сотрудники» руководителем подразделения, эксплуатирующего ИС, принимаются меры по исключению возможности нарушения данным пользователем характеристик безопасности информации ИС. Администратору информационной безопасности необходимо до момента доведения до сотрудника информации о прекращении его работы в ИС, лишить сотрудника возможности доступа к защищаемой информации.

3.3. Администратору информационной безопасности запрещается:

3.3.1. Фиксировать учетные данные пользователя (пароли, идентификаторы, ключи и др.) на твердых носителях, а также сообщать их кому бы то ни было, кроме самого пользователя;

3.3.2. Раскрывать информацию об организации СЗПДн ИС и любую информацию, которая может создать предпосылки для возникновения канала утечки информации или создания угрозы безопасности информации.

4. Права администратора информационной безопасности

 

4.1. Требовать от пользователей ИС соблюдения установленных технологий обработки информации, выполнения нормативно-методических документов в области безопасности информации и организационно-распорядительных документов на ИС;

4.2. Давать своему непосредственному начальнику свои предложения по совершенствованию мер защиты в ИС.

 

5. Ответственность

 

5.1.Администратор информационной безопасности несет ответственность по действующему законодательству за разглашение сведений ограниченного распространения, ставших известными ему по роду деятельности.

5.2.Ответственность за защиту ИС от несанкционированного доступа к информации и за неукоснительное соблюдение положений настоящего руководства возлагается на администратора информационной безопасности.

 

6. Порядок использования съемных и машинныхносителей информации

 

Под использованием съемных носителей информации в ИС понимается их подключение к АРМ с целью обработки, приема/передачи информации между АРМ и носителями информации.

В ИС допускается использование только учтенных съемных носителей информации, которые являются собственностью Департамента и подвергаются регулярной ревизии и контролю.

Съемные носители информации предоставляются пользователюИС по инициативе руководителя структурного подразделения, в котором он числится, в случае:

§       необходимости выполнения вновь принятым работником своих должностных

обязанностей;

§ возникновения у сотрудника Департаментапроизводственной необходимости.

 

Порядок учета, хранения и обращения со съемными и машинными носителями, твердыми копиями и их утилизации.

Все находящиеся на хранении и в обращении в ИС съемныеи машинные носители подлежат учёту.

Учет машинных носителей информации включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера. Учет машинных носителей ведется в журнале учета машинных носителей конфиденциальной информации (Приложение1).

Каждый съемный носитель должен иметь этикетку, на которой указывается его уникальный учетный номер.

Для получения электронного внешнего носителя, для использования в ИС, пользователь обращается к непосредственному руководителю, руководитель пишет служебную записку на имя ответственного за организацию обработки персональных данных о выдаче пользователю съемного электронного носителя, далее ответственный за организацию обработки персональных данных принимает решение и передает служебную записку администратору информационной безопасности.

Учет и выдачу съемных носителей для использования в ИС осуществляет администратор информационной безопасности, на которого возложена эта функция. Факт выдачи съемного носителя фиксируется в журнале учета съемных носителей конфиденциальной информации (Приложение 2).

При использовании сотрудниками съемных носителей информации необходимо:

§ соблюдать требования настоящей Инструкции;

§ использовать носители информации исключительно для выполнения своих служебных обязанностей;

§ ставить в известность администратора информационной безопасностио любых фактах нарушения требований настоящей Инструкции;

§ бережно относится к носителям информации;

§ извещать администратора информационной безопасностио фактах утраты (кражи) носителей информации.

При использовании носителей конфиденциальной информации запрещено:

  • использовать носители конфиденциальной информации в личных целях;
  • передавать носители конфиденциальной информации другим лицам (за исключением администратора информационной безопасности);
  • хранить съемные носители с конфиденциальной информацией (персональными данными) вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
  • выносить съемные носители с конфиденциальной информацией (персональными данными) за пределы контролируемой зоны для работы с ними на дому и т. д.

Любое взаимодействие (обработка, прием/передача информации) инициированное пользователем ИС между АРМ и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администратором информационной безопасности). Администратор информационной безопасностиоставляет за собой право блокировать или ограничивать использование носителей информации.

В случае выявления фактов несанкционированного и/или нецелевого использовании носителей информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется директором.

По факту выясненных обстоятельств составляется акт расследования инцидента и передается руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Департамента и действующему законодательству.

Информация, хранящаяся на съемных носителях, подлежит обязательной проверке на отсутствие вредоносного ПО.

В случае утраты или уничтожения съемных носителей конфиденциальной информации (персональных данных) либо разглашении содержащихся в них сведений немедленно ставится в известность руководитель соответствующего структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журнал учета съемных носителей конфиденциальной информации (персональных данных).

Съемные носители конфиденциальной информации (персональных данных), пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение таких съемных носителей с конфиденциальной информацией осуществляется администратором информационной безопасностипосле сдачи пользователями, с отметкой в журнале.

В случае увольнения или перевода работника в другое структурное подразделение предоставленные носители конфиденциальной информации сдаются администратору информационной безопасности.

 

 

7. Порядок продления сроков действия сертификатов соответствия на средства защиты информации, программные средства контроля защищенности информации от несанкционированного доступа

1. Организация, эксплуатирующая средства защиты информации или программные

средства контроля защищенности информации от несанкционированного доступа, заблаговременно, до окончания срока действия сертификата соответствия, который указан в копии сертификата, а также в Государственном реестре сертифицированных средств защиты информации в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00, связывается с производителем, с целью получения информации о продлении сертификата соответствия.

2. В случае получения информации об отсутствии намерений в продлении

сертификата соответствия производителем, организация, эксплуатирующаясредства защиты информации или программные средства контроля защищенности информации от несанкционированного доступа, направляет в Федеральный орган по сертификации Заявку на продление срока действия сертификата соответствия.

К заявке прикладываются протоколы оценки эффективности применения СЗИ, (для технических средств защиты информации от утечки по физическим каналам) или протоколы оценки защищенности информации, обрабатываемой на объекте информатизации, от несанкционированного доступа (для СЗИ от НСД), оформленные не ранее двенадцати месяцев до дня отправки заявки о продлении срока действия сертификата соответствия.

Указанные протоколы оформляются при проведении аттестационных испытаний или ежегодного периодического контроля состояния защиты информации.

Для объекта информатизации, предназначенного для обработки информации, содержащей сведения, составляющие государственную тайну, протокол оформляется организацией, аккредитованной в качестве органа по аттестации объектов информатизации в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 или организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации), позволяющей осуществлять деятельность по контролю защищенности информации ограниченного доступа.

Для объекта информатизации, предназначенного для обработки информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, протокол оформляется организацией, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Протокол должен содержать оценку применения средства защиты информации, о котором идет речь в письме.

В протоколе обязательно должна содержаться идентификационная информация средства защиты информации, а именно его заводской номер, номер голографического знака соответствия, номер и срок действия сертификата соответствия.

Номер знака соответствия для маркирования сертифицированной продукции можно получить либо с самого знака, либо из формуляра (паспорта) на средство защиты информации, либо от производителя.

Для продления срока действия сертификата соответствия на программное средство контроля защищенности от НСД, к письму прикладывается протокол контрольного суммирования, оформленный не ранее месяца до дня отправки письма о продлении.

Указанный протокол оформляется организацией, эксплуатирующей это СКЗИ и:

§ аккредитованной в качестве испытательной лаборатории или органа по аттестации объектов информатизации в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00;

§ имеющей лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации), позволяющей осуществлять деятельность по контролю защищенности информации ограниченного доступа или деятельность по проведению сертификационных испытаний;

§ имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

В протоколе обязательно должна содержаться идентификационная информация программного средства контроля защищенности информации от НСД, а именно его заводской номер, номер голографического знака соответствия, номер и срок действия сертификата соответствия.

В протоколе должна содержаться идентификационная информация о средстве контроля защищенности, с помощью которого проводилось контрольное суммирование, информация о дате проведения контрольного суммирования.

В протоколе должен содержаться вывод о соответствии полученных контрольных сумм, суммам, приведенным в формуляре (паспорте).

3. К заявке прикладываются заверенные копии платежных поручений об уплате:

§ государственной пошлины за выдачу сертификата соответствия.

§ платежа за специальный защитный знак, наносимый на бланк сертификата, аттестата аккредитации.

Если сертификат соответствия продлевается на партию СЗИ, платить необходимо за один сертификат (разными платежными поручениями).

Если в заявке сказано о продлении разных сертификатов соответствия, то к письму прикладываются копии платежных поручений за каждый продлеваемый сертификат.

С банковскими реквизитами ФСТЭК России, а также наименованиями платежей  можно ознакомиться на официальном сайте ФСТЭК России www.fstec.ru.

4. В случае принятия положительного решения по экспертизе представленных материалов Федеральным органом по сертификации выписывается сертификат (сертификаты) соответствия, который в соответствии с указанным в заявке почтовым адресом отправляется заявителю.

 

8. Установка и обновление программного обеспечения

Установка или обновление подсистем ИС должны проводиться уполномоченными сотрудниками (администраторы сети (серверов) и администраторы баз данных) обязательно по согласованию с администратором информационной безопасности. После установки модифицированных модулей на сервер (рабочую станцию) администратор информационной безопасностипроводит антивирусный контроль.

Установка и обновление общего программного обеспечения (системного, тестового и т.п.) на рабочие станции и сервера производится с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.), полученных установленным порядком.

Факты установки или обновления фиксируются в «Журнале учета нештатных ситуаций, выполнения профилактических и ремонтных работ на объекте, установки и модификации аппаратных и программных средств ИС».




Приложение1

к инструкции администратора

информационной безопасности

Журнал учета машинных носителей персональных данных

 

п/п

Серийный/

инвентарный

№ АРМ

Дата постановки на учет

Подпись администратора

информационной

безопасности, производившего учет

Сведения об уничтожении носителя

Примечание

 


Приложение 2

к инструкции администратора

информационной безопасности

Журнал учета съемных носителей персональных данных

 

п/п

Учетный номер носителя

Дата выдачи

Подпись сотрудника, получившего носитель

Подпись администратора информационной безопасности

Сведения об уничтожении

носителя

Примечание

 



Приложение 5

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

Инструкция по организации парольной защиты винформационной системе персональных данных «Сотрудники»

 

Обозначения и сокращения

 

Департамент – Департамент общественных и внешних связей Югры;

АРМ – автоматизированное рабочее место;

ИС –информационная система персональных данных «Сотрудники»;

ПДн – персональные данные.

 

 

Данная инструкция регламентирует организационно-техническое обеспечение процессов смены и прекращения действия паролей в ИС.

1.         Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора информационной безопасности.

2.         Настройки средств защиты информации должны препятствовать повторному использованию старого пароля после процедуры его смены (допускается изменение как минимум хотя бы 1 символа).

3.         Личный пароль должен генерироваться и распределяться централизованно либо выбираться пользователем ИС самостоятельно с учетом следующих требований:

  • длина пароля должна быть не менее 6 символов;
  • в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);
  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
  • личный пароль пользователь не имеет права сообщать никому.

Настройки средств защиты должны препятствовать заданию пароля, не удовлетворяющего данным требованиям.

4. Администратор информационной безопасности имеет доступ к АРМ ИС только под своей учётной записью и своим паролем.

5. Плановая смена паролей пользователя должна проводиться регулярно, не реже одного раза в 3 месяца, контроль за процедурой смены паролей возлагается на администратора информационной безопасности. В случае необходимости смена паролей проводится по решению администратора.

6. Внеплановая смена личного пароля или удаление учетной записи пользователя в случае прекращения его полномочий (увольнение, переход на другую работу внутри Департамента и т.п.) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.

7. Пользователь имеет право в любой момент изменить свой личный пароль, либо потребовать смены своего пароля у администратора информационной безопасности.

8. В случае компрометации личного пароля пользователя ИС должны быть немедленно предприняты меры в соответствии с п.5 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

9. Контроль, за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора информационной безопасности.

Приложение 6

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

 

Инструкция

по проведению антивирусного контроля винформационной системе персональных данных «Сотрудники»

 

Обозначения и сокращения

 

Департамент – Департамент общественных и внешних связей Югры;

АРМ – автоматизированное рабочее место;

ИС –информационная система персональных данных «Сотрудники»;

ПДн – персональные данные;

СВТ – средства вычислительной техники.

 

На АРМ ИС запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации на АРМ. К использованию в ИС допускаются только лицензионные антивирусные средства.

Установка, конфигурирование, управление средствами антивирусной защиты проводится исключительно администратором информационной безопасности.

Администратор информационной безопасности еженедельно осуществляет проверку статистики обновлений вирусных баз на АРМ и серверах ИС, обновляет базу вручную в случае необходимости, проводит проверку жесткого диска на наличие вирусов не реже 1 раза в две недели.

В случае возникновения ошибок при автоматическом обновлении средств антивирусной защиты (появлении диалоговых окон, сообщений об ошибке) пользователь ИС сообщает данную информацию администратору информационной безопасности для принятия соответствующих мер.

Администратор информационной безопасности в случае обнаружения вирусов или сообщения об обнаружении от пользователей принимает меры по выявлению и уничтожению вредоносных программ и недопущению их дальнейшего распространения. При этом в обязательном порядке устанавливает источник (носитель) заражения для принятия соответствующих мер.

Настройка параметров, режимов и функций средств антивирусного контроля осуществляется администратором информационной безопасности в соответствии с руководством по применению антивирусных средств. Должна обеспечиваться периодическая (не реже 1 раза в неделю) автоматическая проверка на предмет наличия вредоносных программ критических областей: корневого раздела системного жесткого диска, разделов операционной системы (папки: Windows, ProgramFiles), папок средств защиты информации.

В случае обнаружения не поддающегося лечению вируса, администратор информационной безопасности обязан удалить инфицированный файл и проверить работоспособность СВТ. В случае отказа СВТ – произвести восстановление соответствующего программного обеспечения.

Ответственность за организацию антивирусного контроля в соответствии с требованиями настоящей Инструкции возлагается на руководителя подразделения, эксплуатирующего ИС.

Ответственность за проведение мероприятий антивирусного контроля на своих рабочих станциях и соблюдение требований настоящей Инструкции возлагается на всех пользователей ИС.

Периодический контроль за состоянием антивирусной защиты ИС, ОТСС, входящих в состав ИС осуществляется администратором информационной безопасности.

Периодический контроль за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции пользователями осуществляется ответственным за организацию обработки персональных данных в Департаменте.

 


 

Приложение 7

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

Инструкция по работе с инцидентами информационной безопасности

 

Обозначения и сокращения

Департамент – Департамент общественных и внешних связей Югры;

АРМ – автоматизированное рабочее место;

ИС –информационная система персональных данных «Сотрудники»;

ИБ – информационная безопасность

ПДн – персональные данные;

СЗИ – средства защиты информации.

 

Ответственность за выявление инцидентов ИБ и реагирование на них в Департаменте возлагается на администратора информационной безопасности.

Администратор информационной безопасности имеет полномочия инициировать проведение служебных проверок (ходатайствовать о наложении дисциплинарного взыскания перед директором Департамента) по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации.

Администратор информационной безопасности обязан вести журнал учёта инцидентов ИБ (событий, действий повлекших за собой риски безопасности защищаемой информации и создающих предпосылки к нарушению критериев безопасности информации). Сюда относятся нарушения пользователями положений организационно-распорядительных документов, установленных порядков и технологии работы в ИС, разглашение защищаемой информации и любые действия, направленные на это, не антропогенные инциденты (сбои ПО, стихийные бедствия).

В журнале в свободной форме описывается инцидент с указанием следующих данных:

§     даты и времени;

§     причин (умышленные и неумышленные действия, не антропогенные инциденты и т.п.)  и описания инцидента и задействованных лиц;

§     информации о последствиях;

§     информации о возможных последствиях (экономические убытки (в связи с заменой СЗИ, повторной аттестации; временные и трудозатраты на устранение последствий, нарушение работы пользователей, ущерб субъектам ПДн и юридические последствия для Департамента и т.п.).

Журнал с данным отчётом об инциденте предоставляется на ознакомление ответственному за организацию обработки персональных данных для принятия мер по предотвращению рецидива (возникновения повторного инцидента).

В случае возникновения рецидива со стороны пользователя или администратора информационной безопасности, по ходатайству ответственного за организацию обработки персональных данныхдиректором Департамента накладывается дисциплинарное взыскание.

Сокрытие нарушений и инцидентов ИБ, вызванных любыми должностными лицами Объекта, является грубым нарушением трудовой дисциплины. Сокрытие нарушений и инцидентов ИБ, вызванных действиями администратора информационной безопасности и ответственным за организацию обработки персональных данных, является ГРУБЕЙШИМ НАРУШЕНИЕМ ДИСЦИПЛИНЫ, и при выяснении данного факта должно строго наказываться.

Любой сотрудник должен согласовывать следующие действия с администратором информационной безопасности:

  • замена прикладного оборудования (мышь, клавиатура, принтер, монитор);
  • установка дополнительного ПО;
  • изменение сетевых настроек рабочего места;
  • замена, изменение любой аппаратной части рабочего места.

Ответственный за организацию обработки персональных данных не может требовать от администратора информационной безопасности действий, направленных на нарушение настоящего руководства и других ОРД Департамента, требовать сокрытия инцидентов ИБ, вызванных любыми должностными лицами, требовать сообщения ему паролей на СЗИ и нарушения установленного разграничения прав по допуску к информационным ресурсам, установленным матрицей доступа к информационными ресурсам ИС.


Приложение 8

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

Инструкция по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средствинформационной системы персональных данных «Сотрудники»

 

Обозначения и сокращения

Департамент – Департамент общественных и внешних связей Югры;

АРМ – автоматизированное рабочее место;

ИС –информационная система персональных данных «Сотрудники»;

СВТ – средства вычислительной техники (системный блок, монитор, клавиатура, мышь, принтер/сканер);

ПДн – персональные данные;

ПО ­ Программное обеспечение (офисные программы, архиватор, веб-браузер, программы для обработки конфиденциальной информации, антивирусы, кроме операционной системы и средств защиты информации);

АРМ ­ Автоматизированное рабочее место.

Настоящей инструкцией регламентируется проведении любых модификаций и изменений, технического обслуживания и устранения нештатных ситуаций в работе СВТ и ПО АРМ, входящих всостав ИС.

Все изменения конфигурации СВТ и ПО            АРМ, входящих в состав ИС, ремонт, модификация, а также неконтролируемое со стороны администратора информационной безопасности техническое обслуживание СВТ и ПО АРМ, входящих в состав ИС, должны производиться только на основании письменных заявок (Приложение № 1) администратору информационной безопасности. Ответственность за выполнение данного требования несёт сотрудник, эксплуатирующий данные средства информатизации.

При всех вышеуказанных работах на объектах информатизации сотрудниками подразделений (или сторонних организаций), занимающихся ремонтом, модификацией программных и аппаратных средств, инженерных коммуникаций, кабельных линий и систем объекта и выступающих в качестве инициаторов данных действий в соответствии с планом работ либо внепланово, руководитель структурного подразделения, эксплуатирующего ИС, либо пользователь ИС допускает указанных исполнителей к данным работам только по согласованию с администратором информационной безопасности.

Передача СВТ в другое подразделение или в распоряжение другой организации для ремонта или решения иных задач осуществляется только после того, как администратор информационной безопасности снимет средства защиты и предпримет необходимые меры для затирания или резервного копирования (при необходимости) защищаемой информации, которая хранилась на дисках.

О факте выполнения всех без исключения, вышеуказанных работ администратором информационной безопасности делается соответствующая отметка в «Журнале учета нештатных ситуаций, выполнения профилактических и ремонтных работ на объекте, установки и модификации аппаратных и программных средств ИС». Формат записей «Журнала учета нештатных ситуаций, выполнения профилактических и ремонтных работ на объекте, установки и модификации аппаратных и программных средств ИС»:

N п/п

Дата записи

Краткое описание выполненной работы, основание

Дата и время начала работы

Дата и время окончания работы

ФИО исполнителей работ и их подписи

Подпись администратора информационной безопасности

Примечание

1

2

3

4

5

6

7

8

Пользователям и администратору информационной безопасностинеобходимо знать, что контролю со стороны администратора информационной безопасности и регистрации в журнале подлежат:

§ замена (модификация) СВТ входящих в состав ИС  в соответствии с техническим паспортом на ИС;

§ замена, изъятие, добавление СВТИС;

§ техническое обслуживание и ремонт СВТ без замены комплектующих и составных частей;

§ обновление (замена) на конкретном автоматизированном рабочем месте или сервере ПО, необходимого для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);

§ изменение местоположения СВТ и вспомогательных средств и систем, указанных в схеме технического паспорта.

В случае внесения изменений в состав СВТ АРМ (замена комплектующих, изменение местоположения СВТ внутри кабинета), входящих в ИС, кроме замены системного блока администратор информационной безопасности вносит необходимые изменения в лист регистрации изменений в «Техническом паспортеинформационной системы персональных данных«Сотрудники». Далее изменение согласовывается с ответственным за организацию обработки ПДн (делается роспись в листе регистрации изменений).

В случае внесения изменений в состав ПО (переустановка, удаление, изменение версий офисных программ, архиваторов, веб-браузеров, программ для обработки конфиденциальной информации, антивирусов, кроме операционной системы и средств защиты информации) на АРМ, входящих в состав ИС, администратор информационной безопасности вносит необходимые изменения в «Разрешительную систему доступа персонала к сведениям конфиденциального характерав информационной системе персональных данных «Сотрудники». Далее разрешительная система утверждается директором.

В случае замены системного блока, жёсткого диска в составе СВТ АРМ, входящих в состав ИС, переустановки операционной системы, средств защиты администратор информационной безопасности связывается с представителем компании, выдавшей аттестат соответствия требованиям по безопасности информации для принятия решения о необходимости повторной аттестации ИС. До выполнения мероприятий по повторной аттестации ИС, выданный аттестат соответствия является НЕДЕЙСТВИТЕЛЬНЫМ.

Нештатные ситуации и форс-мажор

В условиях необходимого немедленного реагирования на нештатные ситуации разрешается модификация, замена, ремонт и т.д. без согласования с администратором информационной безопасности.

К нештатным ситуациям относятся:

§     выход из строя или неустойчивое функционирование узлов ПЭВМ, периферийных устройств, средств защиты информации по различным причинам;

§     выход из строя системы электроснабжения.

При возникновении необходимости оперативной модификации, замены, ремонта и т.п. пользователи извещаютадминистратора информационной безопасности.Необходимые работы выполняются под контролем пользователей и последующим написанием объяснительной записки на имя ответственного за организацию обработки персональных данных с обоснованием экстренных изменений и описанием произведённых действий, ответственный за организацию обработки персональных данных передает объяснительную записку администратору информационной безопасности. По результатам рассмотрения объяснительной записки администратор информационной безопасности выполняет все действия, предусмотренные инструкциями.


 

Приложение 9

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

Инструкция

по резервному копированию и восстановлению данных винформационной системе персональных данных«Сотрудники»

 

Обозначения и сокращения

Департамент – Департамент общественных и внешних связей Югры;

АРМ – автоматизированное рабочее место;

ИС –информационная система персональных данных «Сотрудники»;

ОС – операционная система;

ПО – программное обеспечение;

СЗИ – средства защиты информации;

ТС – технические средства.

 

1.         Общие положения

1.1.       Данная Инструкция определяет меры и порядок действий сотрудников Департамента по резервному копированию и восстановлению данных (электронные документы и базы данных, содержащие персональные данные, дистрибутивы ПО, конфигурационные файлы и другая информация, необходимая для восстановления работоспособности ТС и ПО) в ИС.

1.2.       Действие настоящей Инструкции распространяется на всех сотрудников, имеющих доступ к техническим средствам и программному обеспечению ИС.

1.3.       Ответственным за резервное копирование и восстановлениеданных в ИСявляетсяадминистратор информационной безопасности.

 

2.         Меры по резервному копированию и восстановлению данных в ИС

2.1.       Организационные меры

2.1.1.      В Департаментедолжен быть определен и документально зафиксирован порядок осуществления резервного копирования и восстановления данных, определяющий:

—      ответственных лиц за выполнение работ по резервному копированию и восстановлению данных;

—      перечень информационных ресурсов, подлежащих резервному копированию;

—      периодичность резервного копирования, в соответствии с особенностями технологического процесса обработки информации в ИСи установленными требованиями по обеспечению безопасности;

—      проверки резервных копий и контроль выполнения резервного копирования;

—      восстановления данных из резервных копий.

2.2.       Технические меры

—      Помещения Департамента, в которых размещаются ИС и СЗИ в обязательном порядке должны быть оборудованы пожарной сигнализацией;

2.2.1.      Для предотвращения потерь информации при кратковременном отключении электроэнергии все ключевые элементы ИС, сетевое и коммуникационное оборудование, а также наиболее критичные рабочие станциидолжны быть подключены к сети электропитания через источники бесперебойного питания. В зависимости от необходимого времени работы ресурсов после потери питания применяются следующие методы резервного электропитания:

—      локальные источники бесперебойного электропитания с различным временем питания для защиты отдельных компьютеров;

—      источники бесперебойного питания с дополнительной функцией защиты от скачков напряжения;

—      дублированные системы электропитания в устройствах (серверы, концентраторы, мосты).

2.2.2.      В Департаментедолжны быть организованы места для хранениярезервных копий (сейфы для съемных носителей информации, каталоги на жестких дисках серверов для хранения информации в электронном виде), которые исключают возможность несанкционированного доступа к ним, хищения или уничтожения.

2.2.3.      Для обеспечения резервного копирования и восстановления данных используются соответствующие средства ОС, встроенные механизмы прикладных программ.

3.         Порядок действий сотрудников Департаментапри резервном копировании и восстановлении данных в ИС.

Данные о проведении работ по резервному копированию ивосстановлениюданных должны фиксироваться администратором информационной безопасности в «Журнале учета резервного копирования и восстановления данных».Форма журнала представлена в Приложении 1.

3.1.       Резервное копирование

3.1.1.      «Перечень информационных ресурсов ИС, подлежащих обязательному резервному копированию» разрабатывается администратором информационной безопасности и утверждается ответственным за организацию обработки персональных данных в Департаменте. Форма «Перечня информационных ресурсов ИС «Сотрудники», подлежащих обязательному резервному копированию» представлена в Приложении 2.

3.1.2.      Резервное копирование данных осуществляется администратором информационной безопасности с использованием соответствующих средств на периодической основе. Для информационных ресурсовустанавливаются следующийпорядокрезервного копирования:

а)         еженедельно в ручном режиме администратором информационной безопасности создается резервная копия данных информационных ресурсов, расположенных на автоматизированных рабочих местах и сервере;

б)        резервные копии переносятся на учтенный съемный носитель информации, далее он помещается в соответствующее место для хранениярезервных копий (сейф, размещенный в кабинете № 308).

3.1.3.      Резервные копии данных хранятся в Департаментене менее трех месяцев.

3.2.       Восстановление информации

3.2.1.      Восстановление информации в ИС осуществляется администратором информационной безопасности после устранения причин или принятия соответствующих мер по их нейтрализации, приведших к возникновению инцидента информационной безопасности, в результате которого, было осуществлено неправомерное или случайное уничтожение, изменение, блокирование защищаемой информации вследствии:

—      преднамеренных, непреднамеренных или случайных действий сотрудников Департамента и третьих лиц;

—      сбоев в работе технических средств и программного обеспечения ИС;

—      возникновения нештатных ситуаций.

3.2.2.      Восстановление данных осуществляется с последней резервной копии, предшествующей моменту возникновения инцидента информационной безопасности.

4.         Ответственность

4.1.       Администратор информационной безопасности несет персональную, предусмотренную законодательством Российской Федерации, ответственность за:

—       качество проводимых им работ по обеспечению резервного копирования и восстановления данных;

—       выполнение мероприятий по резервному копированиюи восстановлениюданных;

—      планирование развития существующей системы резервного копирования и восстановления данныхдля оптимизации её работы;

—      периодическое выполнение проверки возможности восстановления файлов из резервных копий.


 

Приложение 1

к инструкциипо резервному копированию и восстановлению

данных винформационной системе персональных данных

«Сотрудники»

 

 

 

 

 

 

 

 

 

Журнал учета резервного копирования и восстановления данных

 

 


№ п\п

Дата резервного копирования данных

Резервируемый источник

Номер и место хранения резервной копии

Дата резервного восстановления данных

Подпись ответственного лица

Примечание

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

 

 

 

 


 

Приложение 2

к инструкциипо резервному копированию и восстановлению

данных винформационной системе персональных данных

«Сотрудники»

 

 

 

 

 

 

 

 

Перечень информационных ресурсов информационной системы персональных данных «Сотрудники», подлежащих обязательному резервному копированию

 

 

№ п\п

Наименование

Место расположения

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

Приложение 10

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

 

Перечень программного обеспечения, разрешенного к установке в информационной системе персональных данных «Сотрудники»

 

АРМ (сервер)

Перечень программного обеспечения

№ 1 (Инв. № 315)

1C:Предприятие 8

1C:Предприятие 8.2

ABBYY FineReader 11 Corporate

Adobe Flash Player 11 ActiveX & Plugin 64-bit

Adobe Reader XI

DallasLock8.0K

Google Chrome

Java 7 Update 9

Kaspersky Endpoint Security 10

K-Lite Codec Pack 9.5.5

Microsoft .NET Framework 4

Microsoft Office профессиональный плюс

Microsoft Visual C++ 2005

Mozilla Firefox 17.0.1

Samsung SCX-3400 Series

Total Commander 8.01 PowerPack

WinRAR 4.20

Your Uninstaller!

Агент администрирования Kaspersky Security Center

№ 2 (Инв. № 119)

1C:Предприятие 8

1C:Предприятие 8.2

ABBYY FineReader 11 Corporate

Adobe Flash Player 11 ActiveX & Plugin 64-bit

Adobe Reader XI

DallasLock8.0K

Google Chrome

Java 7 Update 9

Kaspersky Endpoint Security 10

K-Lite Codec Pack 9.5.5

Microsoft .NET Framework 4

Microsoft Office профессиональный плюс 2010

HP LaserJet Professional P1100-P1560-P1600 Series

Microsoft Visual C++ 2005

Mozilla Firefox 17.0.1

Samsung SCX-3400 Series

Total Commander 8.01 PowerPack

WinRAR 4.20

Your Uninstaller!

Агент администрирования Kaspersky Security Center

АРМ ГК

Декларация 2012

Декларация 2013

Д СПУ 2010

Печать НД с PDF417 3.0.32

ФГУП ГНИВЦ ФНС РФ в ПФО

 

№ 3 (Инв. № 60)

1C:Предприятие 8

1C:Предприятие 8.2

ABBYY FineReader 11 Corporate

Adobe Flash Player 11 ActiveX & Plugin 64-bit

Adobe Reader XI

DallasLock8.0K

Google Chrome

Java 7 Update 9

Kaspersky Endpoint Security 10

K-Lite Codec Pack 9.5.5

Microsoft .NET Framework 4

Microsoft Office профессиональный плюс 2010

Microsoft Visual C++ 2005

Mozilla Firefox 17.0.1

Samsung SCX-3400 Series

Total Commander 8.01 PowerPack

WinRAR 4.20

Your Uninstaller!

Агент администрирования Kaspersky Security Center

№ 4 (Инв. № 58)

1C:Предприятие 8

1C:Предприятие 8.2

ABBYY FineReader 11 Corporate Edition

Adobe Flash Player 11 ActiveX & Plugin 64-bit

Adobe Reader XI – Russian

Java 7 Update 9

Kaspersky Endpoint Security 10 для Windows

K-Lite Codec Pack 9.5.5

Microsoft .NET Framework 4.5 RC

Microsoft Office 2010 Service Pack 1

Microsoft Visual C++ 2005 Redistributable - x64

Mozilla Firefox 17.0.1

Mozilla Maintenance Service

Samsung Easy Printer Manager

Samsung Printer Live Update

Samsung Scan Assistant

Samsung SCX-3400 Series

Spelling Dictionaries Support For Adobe Reader XI

Total Commander 8.01 PowerPack

WinRAR 4.20

Your Uninstaller! PRO

Агент администрирования KasperskySecurityCenter

№ 5 (Инв. № ВА0071900686)

Kodeks «Управление кадрами»

7-Zip 9.20

AdobeAcrobatXPro

AIDA64 Extreme

Dallas Lock 7.7

ESET NOD32 Antivirus

HP LaserJet Professional P1100-P1560-P1600

Microsoft .NET Framework 4

Microsoft Office Профессиональный плюс 2007

Mozilla Firefox 4.0

WinRAR 4.01

Агент администрирования Kaspersky Security Center

Microsoft.NET Framework 4

№ 6 (Инв. № ВА000000000015)

4geo

ACDSee 8

Adobe Flash Player 9 ActiveX

Adobe Photoshop CS

Adobe Reader 7.0 - Russian

Adobe Shockwave Player

CorelDRAW Graphics Suite X3

Cortona® VRML Client

Dallas Lock 7.7

HP LaserJet 3050/3052/3055/3390/3392 4.0

HP LaserJet M2727 MFP Series 1.0

K-Lite Codec Pack 2.77 Full

Light Alloy 4.0

McAfee Agent

McAfee VirusScan Enterprise

Microsoft .NET Framework 2.0

Microsoft Office 2000 SR-1 Professional

Microsoft SQL Server 2000

Punto Switcher 2.9

QIP 2005 Uninstall

QuickTime

WebTenderBar АИС "Госзаказ"

Windows XP Service Pack 3

Архиватор WinRAR

Документы ПУ 5

Управление персоналом

№ 7 (Инв. № ВА000000000036)

µTorrent

2007 Microsoft Office system

Adobe Flash Player 10 ActiveX

Adobe Flash Player 11 Plugin

Adobe Photoshop CS

Adobe Reader X (10.1.8)

AIMP2

Box Clock Screensaver 1.0

Dallas Lock 7.7

Download Master

EPU-4 Engine

FileZilla Client

Foxit Reader

Foxit Toolbar

Free Download Manager

Google Chrome

Kaspersky Endpoint Security 10 для Windows

K-Lite Codec Pack 7.2.0

Microsoft Office 2007

Mozilla Firefox 27.0.1

PC Probe II

Red Eye Remover Pro 1.2

Агент администрирования Kaspersky Security Center

Архиватор WinRAR

Кодекс: Документооборот

Кодекс: Система подготовки документов

Программа формирования справки о доходах, имуществе и обязательствах имущественного характера

Управление персоналом

№ 8 (Инв.№ ВА0071901672)

1C:Предприятие 8

1C:Предприятие 8.2

ABBYY FineReader 11 Corporate Edition

Adobe Flash Player 11 ActiveX & Plugin 64-bit

Adobe Reader XI – Russian

Java 7 Update 9

Kaspersky Endpoint Security 10 для Windows

K-Lite Codec Pack 9.5.5

Microsoft .NET Framework 4.5 RC

Microsoft Office 2010 Service Pack 1

Microsoft Visual C++ 2005 Redistributable - x64

Mozilla Firefox 17.0.1

Mozilla Maintenance Service

Samsung Easy Printer Manager

Samsung Printer Live Update

Samsung Scan Assistant

Samsung SCX-3400 Series

Spelling Dictionaries Support For Adobe Reader XI

Total Commander 8.01 PowerPack

WinRAR 4.20

Your Uninstaller! PRO

Агент администрирования KasperskySecurityCenter

 


 

Приложение 11

к приказу Департамента общественных и

внешних связей Югры

от «28» мая 2015 г. № 170

 

ЛИСТ

ознакомления сотрудников

с приказом «Об утверждении инструкций по работе в информационной системе персональных данных «Сотрудники»»

 

 

С приказом «Об утверждении инструкций по работе в информационной системе персональных данных «Сотрудники» от «28» мая 2015 г. № 170 ознакомлены следующие сотрудники:

Начальник Административного управления  ____________  Петрова Е.В.      ________

                (подпись)                                                                                (дата)Начальник отдела

финансово-экономического обеспечения

Административного управления                            ____________      Захарова Т.А.____________

                (подпись)                                                                                (дата)

Главный специалист-эксперт отдела

финансово-экономического обеспечения           

Административного управления                  ____________      Тихонова С.А.___________

               (подпись)                               (дата)

Консультант отдела

финансово-экономического обеспечения           

Административного управления                  ____________      Гейзлер И.В.___________

               (подпись)                               (дата)   

Главный специалист отдела

финансово-экономического обеспечения           

Административного управления                  ____________      Шишелякина Г.Н._______

(подпись)                               (дата)

Консультант отдела

правовой и кадровой работы        

Административного управления                  ____________      Кольцова Е.Г.___________

               (подпись)                               (дата)   

Главный специалист-эксперт отдела

правовой и кадровой работы        

Административного управления                  ____________      Пластинина Ю.С.________                                                                                                (подпись)               (дата)

 

Главный специалист-эксперт отдела

правовой и кадровой работы        

Административного управления                 ____________      Киреева И.А.____________  

                                                                              (подпись)               (дата)

Инженер

организационного отдела  

Административного управления                 ____________      Шевцов Ю.В.____________ 

                                                                              (подпись)               (дата)

 

 

 

 

 

 

 

 

 

 

Подготовлен:

 

Начальник организационного отдела

Административного управления                                                                      И.В. Соколова

 

 

Согласовано:

 

Заместитель директора Департамента                                                            О.И. Бурычкин

 

Зам. начальника                                                     

Административного Управления

Начальник отдела

правовой и кадровой работы                                                                           А.Н. Ляхович

 

Опубликовано: 26.03.2016 15:51 Обновлено: 23.12.2016 15:15

Возврат к списку