Режим защиты информационной системы от несанкционированного доступа
4.1. Режим защиты информационной системы от несанкционированного доступа разработан в соответствии с Положением «О методах и способах защиты информации в информационных системах персональных данных», утвержденным Приказом Федеральной службы по техническому и экспортному контролю от 05.02.2010 года №58.
4.2. Управление доступом.
4.2.1. Управление доступом к информационной системе вводится в целях защиты обрабатываемых информационной системой персональных данных от несанкционированного доступа;
4.2.2. Для управления доступом к информационной системе в Кооперативе вводится разрешительная система допуска пользователей (обслуживающего персонала) к информационной системе и связанным с ее использованием работам и документам;
4.2.3. На каждый компьютер, с которого может быть осуществлен доступ к информационной системе, устанавливается пароль условно-постоянного действия, состоящий не менее чем из шести буквенно-цифровых символов, позволяющий идентифицировать сотрудника, имеющего право доступа к информационной системе;
4.2.4. Каждому сотруднику Кооператива, имеющему право доступа к информационной системе, присваивается отличная от других учетная запись пользователя, позволяющая идентифицировать его при обращении к информационным массивам (базам данных) информационной системы;
4.2.5. Пароль, обеспечивающий доступ к информационной системе с закрепленного за каждым сотрудником автоматизированного рабочего места, доводится до каждого сотрудника индивидуально. Каждый сотрудник при получении переданного ему пароля доступа к информационной системе информируется, что он предупрежден о необходимости сохранять полученный пароль в тайне, не передавать его третьим лицам, в том числе другим сотрудникам Кооператива;
4.2.6. Право доступа к списку паролей доступа к информационной системе и его изменению имеет Председатель Правления Кооператива, а также консультант-программист, обслуживающий информационную систему.
4.3. Разграничение доступа:
4.3.1. Разграничение доступа к информационной системе вводится с целью распределения прав пользования информационной системой между сотрудниками Кооператива в соответствии с их функциональными и должностными обязанностями и третьими лицами в соответствии с условиями заключенных с ними договоров;
4.3.2. Председатель Правления Кооператива, а также консультант-программист, обслуживающий информационную систему, пользуются правом неограниченного доступа к информационной системе, обрабатываемым ею информационным массивам (базам данных) и формируемым ею документам с правом вносить изменения в сформированные информационной системой документы;
4.3.3. Сотрудники Кооператива, которые в силу свих функциональных и должностных обязанностей работают с определенными информационными массивами (базами данных), пользуются правом ограниченного доступа к информационной системе в разрезе информационных массивов (баз данных). Право ограниченного доступа к информационной системе позволяет им вводить и использовать персональные данные субъектов персональных данных конкретных информационных массивов (баз данных) исключительно в рамках их компетенции для исполнения своих должностных обязанностей;
4.3.4. Остальные сотрудники Кооператива имеют право доступа к информационной системе исключительно при работе с общедоступными персональными данными субъектов персональных данных, на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
4.4. Регистрация входа и выхода:
4.4.1. Регистрация входа в информационную систему и выхода из нее вводится в целях фиксации количества и характера обращений к информационной системе, в том числе с использованием защищаемых съемных носителей информации;
4.4.2. В параметрах регистрации указываются дата и время входа (выхода), учетная запись и пароль сотрудника, результат попытки входа (успешная или нет), вид совершенной операции, номер сформированного документа;
4.4.3. Регистрация обращений (вход и выход) к информационной системе обеспечиваются программными средствами;
4.4.4. В случае, если вход в информационную систему осуществляется лицами с правом неограниченного доступа для внесения изменений в сформированные документы, регистрируется также номер измененного сформированного документа.
4.5. Обеспечение целостности и физической охраны:
4.5.1. Целостность программных средств, персональных данных субъектов персональных данных, обрабатываемой информации, а также неизменность информационной системы обеспечиваются программными средствами и дополнительными техническим возможностями (создание диска аварийного восстановления, безопасный запуск программ, защита вводимой информации от клавиатурных перехватчиков, создание настроек восстановления системы и др.);
4.5.2. Целостность программных средств информационной системы ежедневно проверяется при ее запуске и загрузке;
4.5.3. При использовании незащищенных информационно-телекоммуникационных сетей (каналов) общего пользования (интернет) для защиты информационной системы в Кооперативе используются шифровальные и/или криптографические средства со специальными настройками, а также средства защиты от сетевых атак, средства антивирусной защиты и защиты информационной системы от вредоносных программ и др.);
4.5.4. Для предотвращения риска утраты персональных данных и повреждения целостности информационной системы в связи с возможными техническими повреждениями оборудования Кооператив осуществляет ежедневное копирование информационных массивов (баз данных) на съемный носитель информации с использованием средств антивирусной защиты, и копирование самой информационной системы на резервный компьютер Председателя правления Кооператива, что позволяет осуществлять ее функционирование в автономном режиме;
4.5.5. Правом неограниченного доступа к съемным носителям информации и резервному компьютеру обладают Председатель Правления Кооператива, а также консультант-программист, обслуживающий информационную систему;
4.5.6. Перечень лиц, имеющих право ограниченного доступа к съемным носителям информации для использования их при работе с информационной системой персональных данных, а также порядок учета, использования и хранения съемных носителей информации, утверждаются Председателем Правления Кооператива.
4.5.7. В случае необходимости Кооперативом могут вводиться специальные режимы тестирования работоспособности информационной системы;
4.5.8. В целях физической охраны информационной системы ее базы данных располагаются на выделенных компьютерах, расположенных в обособленном помещении (кабинете Председателя правления Кооператива). Доступ к компьютерам ограничен физически и программными средствами, что позволяет избежать прямого (неправомерного или случайного) доступа к информационной системе не уполномоченных на то сотрудников Кооператива и посторонних лиц;
4.5.9. Допуск всех сотрудников к работе с информационной системой и базами данных осуществляется только после ознакомления сотрудника с настоящим Положением;
4.5.10. Обучение сотрудников Кооператива и лиц, имеющих право доступа к информационной системе, правильному обращению с информационными массивами (базами данных), содержащимися в информационной системе, осуществляется Председателем правления Кооператива, консультантом-программистом, обслуживающим информационную систему;
4.5.11. Все сотрудники Кооператива, работающие по трудовым или гражданско-правовым договорам предупреждаются об условиях конфиденциальности информации о персональных данных субъектов персональных данных, содержащихся в информационной системе, способах и методах защиты информационной системы и недопустимости разглашения такой информации.
4.5.12. В целях соблюдения и обеспечения мероприятий по защите информационной системы персональных данных в Кооперативе проводятся обязательные внутренние проверки состояния защиты информационной системы персональных данных. Проведение указанных проверок в случае необходимости может носить внеплановый характер.