Файл: Политика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 20.03.2024
Просмотров: 72
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. Общие положения Политики безопасности
2. Общие требования по защите персональных данных
3. Система защиты персональных данных
4. Требования к подсистемам СЗПДн
Перечень информационных систем
В Обществе производится обработка персональных данных в информационных
система обработки персональных данных (ИСПДн).
Перечень ИСПДн определяется на основании Отчета по результатам внутренней
Объектами защиты являются – информация, обрабатываемая в ИСПДн, и
технические средства ее обработки и защиты. Перечень персональных данных,
подлежащие защите, определен в Перечне персональных данных, подлежащих защите в
2) Технологическая информация.
3) Программно-технические средства обработки.
5) Каналы информационного обмена и телекоммуникации.
6) Объекты и помещения, в которых размещены компоненты ИСПДн.
7. Реализация установленных требований к СЗИ от НСД
8. Категории Пользователей ИСПДн
9.КЛАССИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ИСПДН
10.ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ
11. Организация парольной защиты при работе на объектах информатизации.
Построение системы обеспечения безопасности ПДн ИСПДн Общества и ее
функционирование должны осуществляться в соответствии со следующими основными
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- персональная ответственность;
- минимизация полномочий;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- научная обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
11. Организация парольной защиты при работе на объектах информатизации.
Личные пароли доступа к объекту информатизации, системе защиты от НСД, выдаются пользователям Администратором информационной безопасности, и при этом необходимо руководствоваться следующими требованиями:
- длина пароля должна быть не менее 6-ти буквенно-цифровых символов;
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования ИСПДН, общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP, GUEST, ADMINISTRATOR и т.д.), и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об ответственном исполнителе;
- не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
- не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 123456 и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
- в числе символов пароля, обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры;
- не использовать ранее использованные пароли.
Лица, использующие паролирование, обязаны:
- четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;
- своевременно сообщать Администратору информационной безопасности о всех нештатных ситуациях, нарушениях работы подсистем защиты от НСД, возникающих при работе с паролями.
При организации парольной защиты запрещается:
- записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.;
- хранить пароли в записанном виде на отдельных листах бумаги;
- сообщать посторонним лицам свои пароли, а также сведения о применяемой системе защиты от НСД.
Порядок применения парольной защиты.
Полная плановая смена паролей на ИСПДН проводится один раз в 3 месяца.
Удаление (в т.ч. внеплановая смена) личного пароля любого пользователя ИСПДН должна производиться в следующих случаях:
- в случае подозрения на дискредитацию пароля;
-
по окончании срока действия; -
в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) пользователя после окончания последнего сеанса работы данного с системой; -
по указанию Администратора информационной безопасности.
Смена пароля осуществляется Администратором информационной безопасности.
Для предотвращения доступа к персональным данным, находящейся в ПЭВМ, минуя ввод пароля, пользователь во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки «Блокировать» в появившемся меню, или выключить ПЭВМ.
Порядок применения (смены) паролей при работе на ПЭВМ, оборудованных системой защиты от НСД, приведен в эксплуатационной документации на СЗИ.
При первичном допуске к работе на ИСПДН Пользователь знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных документов по вопросам автоматизированной обработки информации, изучает инструкцию пользователя СЗИ Secret Net 6 (вариант К), получает персональный идентификатор или личный текущий пароль у Администратора информационной безопасности. Перед началом обработки персональных данных Пользователь включает ИСПДН, визуально убеждается в исправности и нормальном функционировании ИСПДН.
В процессе работы пользователь создает файлы и массивы информации на ИСПДН с применением операционных систем Windows 7.
При необходимости вывод персональных данных из ИСПДН осуществляется следующим образом:
-
копированием на учтенные носители; -
на печатающее устройство (принтер).
12. Требования к персоналу
Сотрудники ООО «Тульские городские электрические сети», являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
Сотрудники ООО «Тульские городские электрические сети», использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
Сотрудники ООО «Тульские городские электрические сети» должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
Сотрудники ООО «Тульские городские электрические сети» должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами ООО «Тульские городские электрические сети», третьим лицам.
При работе с ПДн в ИСПДн сотрудники ООО «Тульские городские электрические сети» обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов ИСПДН или терминалов.
При завершении работы с ИСПДн сотрудники обязаны защитить ИСПДН или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
Сотрудники ООО «Тульские городские электрические сети» должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.
13. Технологический процесс обработки персональных данных
В процессе обработки информации в информационных системах Персональных данных ООО «Тульские городские электрические сети» участвуют следующие группы пользователей:
- Администратор информационной безопасности – обладает всей полнотой доступа к ресурсам информационных систем персональных данных (ИСПДн), организует и контролирует работу ИСПДн.
- Пользователи – имеющие доступ к ИСПДн на основании приказа о допуске к ИСПДн.
Перечень объектов доступа: жесткие магнитные диски (ЖМД), гибкие магнитные диски (ГМД), оптические диски (CD-ROM), штатное программное обеспечение (ПО).
Перечень субъектов доступа: администратор информационной безопасности, пользователи. К работе на ИСПДн допускаются только сотрудники в соответствии с утвержденной «Разрешительной системой доступа информационной системы персональных данных ООО «Тульские городские электрические сети», допущенные к обработке персональных данных (далее - информации), после изучения организационно-распорядительной документации.
Подготовка персонального компьютера (далее – ПК) к работе:
-
Включить ПК, для чего: подключить сетевые шнуры электропитания к сети 220 В, включить устройства защиты и убедиться в их функционировании. Включить источник бесперебойного питания, включить системный блок и монитор. После запроса системы необходимо предъявить персональный идентификатор и набрать персональный пароль на клавиатуре.