Приказ Минюста РД от 16.01.2014 N 03/1-од "Об утверждении Инструкции пользователя информационной системы персональных данных"



Зарегистрировано в Минюсте РД 6 марта 2014 г. № 2799
------------------------------------------------------------------

МИНИСТЕРСТВО ЮСТИЦИИ РЕСПУБЛИКИ ДАГЕСТАН

ПРИКАЗ
от 16 января 2014 г. № 03/1-од

ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ ПОЛЬЗОВАТЕЛЯ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с Федеральным законом от 27.07.2006 № 152 "О персональных данных" и постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" приказываю:
1. Утвердить прилагаемую Инструкцию пользователя информационной системы персональных данных.
2. Утвердить прилагаемую Инструкцию по организации антивирусной защиты в информационных системах.
3. Утвердить комиссию по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных в составе:
Председатель комиссии - заместитель министра юстиции РД С.Г.Мурадов.
Члены комиссии:
начальник Управления по ведению регистра МНПА РД и регистра ВНПА М.Д.Пашаев;
начальник Финансово-хозяйственного управления Л.Ю.Магомедалиева;
начальник Управления ЗАГС и издания бюллетеня "Собрание законодательства Республики Дагестан" Д.А.Алиева;
начальник хозяйственного отдела Н.Н.Гасанов.
4. Довести настоящий приказ до сведения ответственных исполнителей.

Министр юстиции
Республики Дагестан
А.РАГИМОВ





Утверждена
приказом Министерства юстиции
Республики Дагестан

ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящий документ подготовлен в рамках выполнения работ по обеспечению безопасной эксплуатации информационной системы персональных данных Министерства юстиции Республики Дагестан (далее - ИСПДн).

1. Общие положения

1.1. Пользователь ИСПДн (далее - Пользователь) осуществляет обработку персональных данных в информационной системе персональных данных Министерства юстиции Республики Дагестан (далее - Министерство).
1.2. Пользователем является каждый работник Министерства, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
1.3. Пользователь несет персональную ответственность за свои действия.
1.4. Пользователь в своей работе руководствуется настоящей Инструкцией, Положением о защите персональных данных и другими регламентирующими документами Министерства.

2. Должностные обязанности

Пользователь обязан:
2.1. Знать и выполнять требования настоящей Инструкции и других внутренних распоряжений, регламентирующих порядок действий по защите персональных данных.
2.2. Выполнять на автоматизированном рабочем месте (далее - АРМ) только те процедуры обработки персональных данных, которые определены для него должностной инструкцией.
2.3. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов.
2.4. Соблюдать требования парольной политики (раздел 3).
2.5. Соблюдать правила при работе в сетях общего доступа и (или) международного обмена - Интернет и других (раздел 4).
2.6. Обо всех выявленных нарушениях, связанных с информационной безопасностью Министерства, а также для получения консультаций по вопросам информационной безопасности необходимо обратиться по внутреннему телефону 106 к ответственному за организацию работы с ПД М.Г.Шапиеву.
2.7. Пользователям запрещается:
разглашать защищаемую информацию третьим лицам;
копировать защищаемую информацию на внешние носители без разрешения своего руководителя;
самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
несанкционированно открывать общий доступ к папкам на своей рабочей станции;
отключать (блокировать) средства защиты информации;
обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн;
сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн;
привлекать посторонних лиц для производства ремонта или настройки АРМ без согласования с ответственным за организацию работы с ПД.
2.8. При отсутствии визуального контроля за рабочей станцией доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш и выбрать опцию <Блокировка>.
2.9. Принимать меры по реагированию в случае возникновения внештатных ситуаций и аварийных ситуаций с целью ликвидации их последствий в пределах возложенных на него функций.

3. Организация парольной защиты

3.1. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца.
3.2. Правила формирования пароля:
пароль не может содержать имя учетной записи пользователя или какую-либо его часть;
пароль должен состоять не менее чем из 8 символов;
в пароле должны присутствовать символы трех категорий из числа следующих четырех:
а) прописные буквы английского алфавита от А до Z;
б) строчные буквы английского алфавита от а до z;
в) десятичные цифры (от 0 до 9);
г) символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %);
запрещается использовать в качестве пароля имя входа в систему, простые пароли типа "123", "111", "qwerty" и им подобные, а также имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе;
запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);
запрещается выбирать пароли, которые уже использовались ранее.
3.3. Правила ввода пароля:
ввод пароля должен осуществляться с учетом регистра, в котором пароль был задан;
во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамерами и др.).
3.4. Правила хранения пароля:
запрещается записывать пароли на бумаге, в файле, в электронной записной книжке и на других носителях информации, в том числе на предметах;
запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
3.5. Лица, использующие паролирование, обязаны:
четко знать и строго выполнять требования настоящей Инструкции и других руководящих документов по паролированию;
своевременно сообщать ответственным за организацию работы с ПД об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.

4. Правила работы в сетях общего доступа
и (или) международного обмена

4.1. Работа в сетях общего доступа и (или) международного обмена (сети "Интернет" и других) (далее - Сеть) на элементах ИСПДн должна проводиться при служебной необходимости.
4.2. При работе в Сети запрещается:
осуществлять работу при отключенных средствах защиты (антивирусах и других);
передавать по Сети защищаемую информацию без использования средств шифрования;
посещать сайты сомнительной репутации (порносайты, сайты, содержащие нелегально распространяемое ПО, и другие).





Утверждена
приказом Министерства юстиции
Республики Дагестан

ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

1. Общие требования

1.1. Настоящая Инструкция определяет требования к организации защиты объектов информатизации от разрушающего воздействия компьютерных вирусов и устанавливает ответственность сотрудников Министерства юстиции Республики Дагестан, эксплуатирующих и сопровождающих информационные системы (далее - ИС) организации, за их выполнение.
1.2. К использованию в ИС допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств и прошедшие в установленном порядке процедуру оценки соответствия требованиям по безопасности.
1.3. После установки и настройки средств антивирусного контроля в обязательном порядке должно быть произведено тестирование системы антивирусной защиты.
1.4. Ответственность за организацию и проведение мероприятий антивирусного контроля в подразделении организации в соответствии с требованиями настоящей Инструкции возлагается на руководителя подразделения.
1.5. Ответственность за ежедневный антивирусный контроль в процессе эксплуатации ИС организации и своевременное информирование руководителя подразделения в случае обнаружения действий вредоносных программ возлагается на пользователей ИС.

2. Применение средств антивирусного контроля

2.1. Ежедневно в начале работы при загрузке компьютеров в автоматическом режиме должен проводиться антивирусный контроль всех электронных носителей информации, подключаемых к ИС.
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях.
Настройка средств антивирусной защиты должна реализовывать следующие функции:
непрерывный автоматический мониторинг информационного обмена в ИС с целью выявления программно-математического воздействия (далее - ПМВ);
автоматическую проверку на наличие вредоносных программ или последствий ПМВ при импорте в ИС всех программных модулей (прикладных программ), которые могут содержать вредоносные программы, по их типовым шаблонам и с помощью эвристического анализа;
реализацию механизма автоматического блокирования обнаруженных вредоносных программ путем их удаления из программных модулей или уничтожения;
автоматическую проверку критических областей автоматизированных рабочих мест и серверов, таких как системная память, загрузочные секторы дисков, объекты автозапуска, каталоги операционной системы "system" и "system32", при каждом запуске операционной системы;
полную автоматическую проверку носителей информации всех автоматизированных рабочих мест и серверов не реже одного раза в неделю;
регулярное обновление антивирусных баз и программных модулей средств антивирусной защиты;
автоматическое документирование состояния системы антивирусной защиты ИС.
2.2. Пользователи ИС при работе со съемными носителями информации (flash-накопители, дискеты 3,5", CD/DVD диски, жесткие диски USB и т.д.) обязаны перед началом работы осуществить их проверку на предмет отсутствия вредоносных программ, выполнив следующие действия:
подключить съемный носитель информации;
открыть значок Рабочего стола "Мой компьютер";
установить курсор мыши на имя выбранного носителя.
По правой клавише мыши открыть контекстное меню Microsoft Windows и выбрать пункт, запускающий антивирусную проверку электронного носителя информации.
2.3. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
2.4. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера пользователем также должна быть выполнена антивирусная проверка электронных средств обработки персональных данных.
2.5. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, появление сообщений о системных ошибках и т.п.) пользователь ИС самостоятельно или вместе с руководителем подразделения должен провести внеочередной антивирусный контроль рабочей станции.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов:
пользователи ИС обязаны:
приостановить работу в ИС;
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя подразделения и других сотрудников, использующих эти файлы в работе;
совместно с руководителем подразделения провести анализ необходимости дальнейшего использования зараженных файлов;
руководитель подразделения обязан провести лечение зараженных файлов или их гарантированное удаление.


------------------------------------------------------------------