Иван Трещев - Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

– настройку аппаратной и программной составляющей серверного, коммутационного, телекоммуникационного оборудования, средств аппаратной безопасности сегментов, сетевого периферийного оборудования;

– регистрацию пользователей и предоставление им прав доступа к сетевым информационным ресурсам, регистрацию компьютеров в сети;

– реализацию адресной и маршрутной политики сети;

– реализацию политики антивирусной защиты;

– обеспечение работоспособности структурированной кабельной сети;

– архивирование, резервное копирование информации;

– ведение аудита системных событий и безопасности;

– оперативное управление работой сети;

– контроль физической сохранности средств и оборудования сети.

9.6. Начальники отделов, эксплуатирующих объект информатизации, несут ответственность за:

– выполнение требований по защите информации на объекте информатизации;

– осуществлять постоянный контроль за подчиненными, разъяснять и требовать от подчиненных выполнения требований нормативных правовых актов по вопросам защиты ПДн;

– ведение необходимой документации объекта информатизации;

– правильность определения пользователям своего подразделения необходимости и прав доступа к защищаемым информационным ресурсам.

9.7. Пользователи АС объекта информатизации несут ответственность за:

– соблюдение мер по защите информации и правил эксплуатации СВТ;

– обеспечение сохранности СВТ, машинных носителей информации и целостность установленного программного обеспечения;

– соблюдение установленных требований по обращению с машинными носителями информации.

9.8. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, гражданско-правовой, административной, уголовной и иной предусмотренной законодательством РФ ответственности.

9.9. В случае замеченных нарушений требований данного положения работником, последний обязан немедленно сообщить об этом своему непосредственному руководителю, администратору информационной безопасностилибо начальнику отдела безопасности.

9.10. Отдел информационных технологий при эксплуатации и развертывании ИСПДн проводит следующие работы:

– по согласованию с начальниками отделов проводит анализ возможности решения определенных задач на ИСПДн и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;

– установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПДн конкретных задач;

– удаление (затирание) программных пакетов, необходимость в использовании которых отпала;

– установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач.

9.11. Отдел безопасности при эксплуатации и развертывании ИСПДн проводит следующие работы:

– организовывает аттестацию и контрольные проверки ИСПДн;

– устанавливает и вводит в эксплуатацию средства защиты ПДн в соответствии с эксплуатационной и технической документацией к ним;

– организовывает в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн и разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений;

– проводит анализ возможности решения (а также совмещения) указанных задач в конкретных ИСПДн (с точки зрения обеспечения безопасности) и принимает решение об отнесении их к той или иной группе по степени защищенности;

9.12. Любые планируемые изменения в составе основных или вспомогательных технических средств, изменения в системе электропитания, связи, заземления или конструкции ИСПДн должны быть в обязательном порядке согласовываться с отделом безопасности.

9.13. Иные права и обязанности работников Организации приведены в соответствующих положениях об отделах и должностных регламентах работников.

9.14 Права субъекта ПДн определяются гл. 3 Федерального закона «О персональных данных «от 27.07.2006 N 152-ФЗ.

9.15. Эксплуатация ИСПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию технических средств, а также требованиями соответствующих документов по вопросам защиты ПДн.

10. Планирование работ по защите персональных данных

10.1. Основные мероприятия и работы по защите ПДн в ИСПДн Организации являются составной частью плана основных мероприятий по защите информации в Организации, разрабатываемого на очередной календарный год.

10.2. План основных мероприятий по защите информации определяет перечень основных проводимых организационно-технических мероприятий по защите информации (в том числе ПДн) в Организации с указанием:

– сроков выполнения мероприятий;

– ответственных работников за исполнением соответствующих пунктов плана основных мероприятий по защите информации.

10.3. В план основных мероприятий по защите информации включаются:

– мероприятия по категорированию и аттестации объектов информатизации;

– работы по защите объектов информатизации от утечки информации по техническим каналам и НСД (созданию СЗСИ);

– мероприятия по контролю состояния защиты информации;

– мероприятия по обучению и повышению квалификации работников, допущенных к обработке ПДн,

10.4. План основных мероприятий по защите информации на очередной календарный год разрабатывается отделом информатизации и ввода данных.

10.5. Согласованный с заинтересованными лицами план основных мероприятий по защите информации утверждается распоряжением начальника Организации не позднее 25 декабря текущего года.

11. Контроль состояния защиты персональных данных

11.2. Контроль состояния защиты ПДн в Организации осуществляется с целью своевременного выявления и предотвращения утечки информации, содержащей ПДн по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на ПДн и оценки защиты ПДн от технических средств разведки (далее – контроль).

11.3. Контроль заключается в проверке выполнения требований действующего законодательства по вопросам защиты ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн и осуществляется отделом информатизации и ввода данных, в том числе с применением контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.

11.4. Контроль эффективности внедренных мер и средств защиты ПДн должен проводиться в соответствии с требованиями предписаний на эксплуатацию технических средств, требований эксплуатационной документации на сертифицированные средства ПДн, требований других нормативных документов не реже одного раза в год.