Применение личных идентификаторов в информационной системе персональных данных
Общие положения
1.1. Настоящая Инструкция определяет общие правила работы сотрудников Муниципального дошкольного образовательного учреждения «Детский сад № 11 общеразвивающего вида» (далее – МДОУ «Д/с № 11») с персональными данными.
1.2. Персональные данные в электронном виде обрабатывается в информационных системах персональных данных. Также устанавливается особый порядок обработки и хранения персональных данных, содержащихся на бумажных носителях.
1.3. Пользователем является каждый сотрудник МДОУ «Д/с № 11», участвующий в рамках своих функциональных обязанностей в процессах как автоматизированной обработки, так и обработки без использования средств автоматизации персональных данных, а также имеющий доступ к аппаратным средствам, программному обеспечению, носителям информации и средствам защиты.
1.4. Пользователь в своей работе руководствуется настоящей Инструкцией, Правилами обработки персональных данных, руководящими и нормативными документами ФСТЭК России и ФСБ России и другими документами МДОУ «Д/с № 11», регламентирующими обработку персональных данных.
1.5. Методическое руководство по работе Пользователя осуществляет ответственный за организацию обработки персональных данных.
2. Термины и определения
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.6. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.7. Автоматизированное рабочее место (АРМ) – программно-технический комплекс, посредством которого Пользователь выполняет свои должностные обязанности (персональный компьютер, ноутбук, терминал и т.п.).
2.8. Несанкционированный доступ (НСД) – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
2.9. Посторонние лица – лица, которые не имеют права самостоятельного доступа в помещение и (или) не имеют права самостоятельного доступа в ИСПДн и (или) не имеют допуска к персональным данным.
2.10. Средство защиты информации от несанкционированного доступа (СЗИ от НСД) – программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа к информации.
Обязанности пользователя
3.1. Не разглашать персональные данные, которые будут доверены или станут известны в ходе рабочего процесса во время выполнения должностных (договорных) обязанностей.
3.2. Не сообщать устно или письменно, не передавать в каком-либо виде третьим лицам и не раскрывать публично персональные данные без соответствующего разрешения заведующего.
3.3. Знать и выполнять требования законодательных актов Российской Федерации, настоящей Инструкции и других внутренних документов, регламентирующих порядок обработки персональных данных.
3.4. Выполнять на АРМ только те процедуры обработки персональных данных, которые определены должностной инструкцией.
3.5. Знать и соблюдать установленные требования обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности персональных данных.
3.6. Использовать для хранения персональных данных только определенные места хранения и учтенные носители персональных данных.
3.7. Незамедлительно, в кратчайшие сроки, сообщать руководителю об утрате или недостаче носителей информации, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов и о других фактах, которые могут привести к разглашению персональных данных.
3.8. При прекращении работ (трудовых отношений) все материальные носители, содержащие персональные данные (флеш-накопители, дискеты, оптические диски, документы, черновики, распечатки на принтерах, кино- и фотоматериалы, модели, промышленные образцы и пр.), передать заведующему.
3.9. Соблюдать требования парольной политики (раздел 4).
3.10. Соблюдать требования антивирусной защиты (раздел 5).
3.11. Пользователи, имеющие выход в Интернет, обязаны соблюдать правила при работе в сетях связи общего пользования и (или) сетях международного информационного обмена (раздел 6).
3.12. Пользователи, работающие с электронной подписью или использующие шифрование, обязаны соблюдать Инструкцию по обращению со средствами криптографической защиты информации.
3.13. Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты).
3.14. Обо всех выявленных нарушениях, связанных с порядком обработки персональных данных, а также для получений консультаций по вопросам обработки персональных данных, необходимо обращаться к ответственному за организацию обработки персональных данных.
Пользователям запрещается:
3.14.1. Нарушать установленные в МДОУ «Д/с № 11» инструкции по работе с персональных данных.
3.14.2. Использовать компоненты программного и аппаратного обеспечения МДОУ «Д/с № 11» в неслужебных целях.
3.14.3. Оставлять свое рабочее место без присмотра, предварительно не заблокировав (штатными средствами операционной системы Windows – комбинацией клавиш [WIN] + [L] или [CTRL] + [ALT] + [DEL] с дальнейшим нажатием кнопки «Блокировка» появившегося меню, либо при помощи штатных средств защиты информации от несанкционированного доступа при их наличии).
3.14.4. Оставлять без присмотра или неубранными в хранилища (шкаф, сейф) носители или документы, содержащие персональные данные.
3.14.5. Записывать и хранить персональные данные на неучтенных носителях информации (оптических дисках, гибких магнитных дисках, флеш-накопителях и т.п.).
3.14.6. Самовольно изменять состав и конфигурацию используемых программных, аппаратных, программно-аппаратных средств, самовольно устанавливать программное обеспечение, отключать/подключать оборудование или изменять режимы его работы.
3.14.7. Самовольно подключать АРМ или другие средства к ЛВС ГАУ РК «ЦИТ», изменять IP-адрес, MAC-адрес и иные настройки сети АРМ.
3.14.8. Производить действия, направленные на получение несанкционированного доступа к АРМ и серверам, равно как и любым другим узлам ЛВС МДОУ «Д/с № 11» или Интернет, в том числе:
- действия, направленные на нарушение нормального функционирования элементов сети (компьютеров, другого сетевого оборудования или программного обеспечения);
- установка программного обеспечения, осуществляющего перехват информации (информационных пакетов), адресованной другим пользователям;
- действия, направленные на получение несанкционированного доступа к информационным ресурсам, в последующем использовании такого доступа;
уничтожение, модификация программного обеспечения или данных без согласования с заведующим или владельцами этого ресурса;
- попытки подбора паролей к любым информационным ресурсам методом перебора всех возможных вариантов паролей, либо атак по словарю;
- умышленные действия по созданию, использованию и распространению вредоносных программ, в том числе направленных на получение несанкционированного доступа к любым информационным и служебным ресурсам (как внутри МДОУ «Д/с № 11», так и вне), либо на нарушение целостности и работоспособности этих систем;
- действия по сканированию локальной сети с целью определения ее внутренней структуры, списков открытых портов, наличия существующих сервисов и уязвимостей.
3.14.9. Самовольно изменять параметры средств защиты информации (в том числе и средств антивирусной защиты), а также завершать их работу и (или) самостоятельно их устанавливать.
Самостоятельно разрабатывать или использовать нерегламентированные (без разрешения руководителя, не относящиеся к производственному процессу) программы (например: игры; IM-клиенты, такие как Google Messenger, ICQ и т.п.; P2P-клиенты: Kazaa, eMule и т.п.).
3.14.10. Разрешать посторонним лицам работать под своей учетной записью в ИСПДн.
3.14.11. Пересылать персональные данные по каналам связи в открытом виде, в том числе Интернет, по телефону, факсу, электронной почте и т.п. (без использования средств шифрования).
3.14.12. Получать доступ к персональным данным с рабочих мест, не оборудованными необходимыми средствами защиты информации.
3.14.13. Самовольно создавать совместно используемые сетевые ресурсы (папки общего доступа) на своих компьютерах и файловых серверах, несанкционированно удалять или изменять права доступа к ним.
3.14.14. В случае возникновения любых механических неисправностей в оборудовании осуществлять самостоятельные попытки их устранения.
3.14.15. Препятствовать должностным лицам при проведении проверок и служебных расследований, связанных с обеспечением безопасности информации.
3.14.16. Удалять или искажать программы и файлы с персональными данными и иной важной информацией (например, системной, необходимой для функционирования ИСПДн).
3.14.17. Умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению внештатной ситуации. Об обнаружении такого рода ошибок – ставить в известность заведующего и сотрудников, ответственных за установку и (или) сопровождение программного обеспечения (Администратора безопасности персональных данных в информационных системах персональных данных (далее - администратор безопасности)).
3.14.18. Подключать к ЛВС МДОУ «Д/с № 11» личные средства вычислительной техники: ноутбуки, карманные компьютеры, смартфоны и т.п., а также личные носители и накопители информации. В случае необходимости переноса информации с личных носителей информации обращаться к ответственным.
Парольная политика
4.1. Общие требования к паролям:
- Минимальное требование: буквенно-цифровой пароль. Желательно использовать буквы в верхнем или нижнем регистрах, цифры или специальные символы (например: ~ ! @ # $ % ^ & * ( ) _ - + = | \ ? / . , : ; ’ ] [ { } < > . и т.п.).
- Минимальная длина пароля: не менее 6 (шести) символов.
- Максимальный срок действия пароля: 90 суток.
- Запрет использования трех ранее использовавшихся паролей.
- Пароль Пользователя не должен включать в себя легко вычисляемые сочетания символов, общепринятые сокращения, имена, фамилии, должности, год рождения, номер паспорта, табельный номер, иную информацию о Пользователе, доступную другим лицам.
- Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов.
- Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например: 1234567, qwerty и т.п.).
4.2. Правила использования паролей:
- Хранить в тайне свой пароль, не сообщать его другим лицам.
- Не предоставлять доступ в ИСПДн другим лицам под своей учетной записью и паролем.
- Изменять свой пароль при первом требовании политики паролей операционной системы и/или ИСПДн.
- Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
- Запрещается записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе АРМ, на обратной стороне клавиатуры и т.д.
- Запрещается хранить пароли в записанном виде на отдельных листах бумаги.
4.3. Смена, удаление личного пароля любого Пользователя производится в следующих случаях:
- в случае подозрения на компрометацию пароля;
- по окончании срока действия;
- в случае прекращения полномочий (увольнение, переход на другую работу внутри МДОУ «Д/с № 11» Пользователя после окончания последнего сеанса работы в информационных системах персональных данных;
- по указанию ответственного за организацию обработки персональных данных.
4.4. При увольнении, переходе на новую должность сотрудника, имеющего доступ помимо своей учетной записи к другим ресурсам (межсетевые экраны, маршрутизаторы, серверы, другие учетные записи и т.п.) также производится внеплановая смена паролей к таким ресурсам.
Антивирусная защита
6.1. В случае отсутствия штатных функций антивирусной программы, предусматривающих автоматическую проверку файлов, Пользователь обязан осуществлять проверку файлов получаемых:
- по электронной почте;
- через сеть Интернет;
- на магнитном, оптическом диске, флеш–накопителе;
- ином съемном носителе информации;
- полученные иным способом.
6.2. Перед открытием вложения (ссылок) убедиться в том, что отправитель действительно послал вам этот файл, даже если он и должен был это сделать. Позвоните ему сами. Не доверяйте имени отправителя и указанным в тексте письма номерам телефонов, а также лицам, позвонившим вам самостоятельно с просьбой открыть файлы и пройти по ссылкам.
6.3. Пользователю запрещается:
6.3.1. Осуществлять действия, направленные на выключение антивирусной программы.
6.3.2. Самостоятельно устанавливать на АРМ программное обеспечение.
6.3.3. Запускать файлы, полученные по сетям связи (электронной почте, Интернет), со съемных носителей, даже если они получены проверенного адресата, без предварительной их проверки антивирусной программой.
6.3.4. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) Пользователь самостоятельно или вместе с ответственным (Администратором безопасности) должен провести внеочередной антивирусный контроль своего рабочего места.
6.3.5. В случае обнаружения при проведении антивирусной проверки вирусного заражения Пользователи обязаны:
- приостановить работу;
- немедленно поставить в известность о факте обнаружения вирусного заражения ответственному (Администратору безопасности);
- совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов.
Права пользователя
9.1. Использовать ИСПДн МДОУ «Д/с № 11» для выполнения должностных обязанностей.
9.2. Обращаться к ответственному за организацию обработки персональных данных для консультаций по поводу использования программного обеспечения и АРМ, вопросам обработки персональных данных.
9.3. Направлять предложения по установке новых версий существующего программного обеспечения (с обоснованием необходимости замены старых версий на новые).
9.4. Направлять предложения по модернизации программного обеспечения, разрабатываемого в МДОУ «Д/с № 11» или по заказу МДОУ «Д/с № 11».
9.5. Направлять предложения по установке нового (а также дополнительного) программного обеспечения (с указанием цели использования, преимуществ перед существующими аналогами).
9.6. Направлять предложения по модернизации АРМ (замены на новые аналоги), с обязательным обоснованием замены и указанием преимуществ перед существующими аналогами.
9.7. Получать консультации и разъяснения по нормативным документам, регламентирующим работу с персональными данными в МДОУ «Д/с № 11».
Ответственность
10.1. Пользователь несет персональную ответственность за свои действия или бездействие, которые могут повлечь за собой разглашение персональных данных, а также за нарушение нормального функционирования ИСПДн или их отдельных компонентов, несанкционированный доступ к информации в соответствие с законодательством Российской Федерации и локальными нормативными актами МДОУ «Д/с № 11».
Лист ознакомления с «Инструкцией пользователя по работе с персональными данными»
№ п/п | ФИО | Должность | Подпись, дата |
1. | |||
2. | |||
3. | |||
4. | |||
5. | |||
6. | |||
7. | |||
8. | |||
9. | |||
10. | |||
11. | |||
12. | |||
13. | |||
14. | |||
15. | |||
16. | |||
17. |
Лист ознакомления с «Инструкцией пользователя по работе с персональными данными»
№ п/п | ФИО | Должность | Подпись, дата |
18. | |||
19. | |||
20. | |||
21. | |||
22. | |||
23. | |||
24. | |||
25. | |||
26. | |||
27. | |||
28. | |||
29. | |||
30. | |||
31. | |||
32. | |||
33. | |||
34. | |||
35. |
Общие положения
1.1. Настоящая Инструкция определяет общие правила работы сотрудников Муниципального дошкольного образовательного учреждения «Детский сад № 11 общеразвивающего вида» (далее – МДОУ «Д/с № 11») с персональными данными.
1.2. Персональные данные в электронном виде обрабатывается в информационных системах персональных данных. Также устанавливается особый порядок обработки и хранения персональных данных, содержащихся на бумажных носителях.
1.3. Пользователем является каждый сотрудник МДОУ «Д/с № 11», участвующий в рамках своих функциональных обязанностей в процессах как автоматизированной обработки, так и обработки без использования средств автоматизации персональных данных, а также имеющий доступ к аппаратным средствам, программному обеспечению, носителям информации и средствам защиты.
1.4. Пользователь в своей работе руководствуется настоящей Инструкцией, Правилами обработки персональных данных, руководящими и нормативными документами ФСТЭК России и ФСБ России и другими документами МДОУ «Д/с № 11», регламентирующими обработку персональных данных.
1.5. Методическое руководство по работе Пользователя осуществляет ответственный за организацию обработки персональных данных.
2. Термины и определения
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.6. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.7. Автоматизированное рабочее место (АРМ) – программно-технический комплекс, посредством которого Пользователь выполняет свои должностные обязанности (персональный компьютер, ноутбук, терминал и т.п.).
2.8. Несанкционированный доступ (НСД) – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
2.9. Посторонние лица – лица, которые не имеют права самостоятельного доступа в помещение и (или) не имеют права самостоятельного доступа в ИСПДн и (или) не имеют допуска к персональным данным.
2.10. Средство защиты информации от несанкционированного доступа (СЗИ от НСД) – программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа к информации.
Обязанности пользователя
3.1. Не разглашать персональные данные, которые будут доверены или станут известны в ходе рабочего процесса во время выполнения должностных (договорных) обязанностей.
3.2. Не сообщать устно или письменно, не передавать в каком-либо виде третьим лицам и не раскрывать публично персональные данные без соответствующего разрешения заведующего.
3.3. Знать и выполнять требования законодательных актов Российской Федерации, настоящей Инструкции и других внутренних документов, регламентирующих порядок обработки персональных данных.
3.4. Выполнять на АРМ только те процедуры обработки персональных данных, которые определены должностной инструкцией.
3.5. Знать и соблюдать установленные требования обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности персональных данных.
3.6. Использовать для хранения персональных данных только определенные места хранения и учтенные носители персональных данных.
3.7. Незамедлительно, в кратчайшие сроки, сообщать руководителю об утрате или недостаче носителей информации, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов и о других фактах, которые могут привести к разглашению персональных данных.
3.8. При прекращении работ (трудовых отношений) все материальные носители, содержащие персональные данные (флеш-накопители, дискеты, оптические диски, документы, черновики, распечатки на принтерах, кино- и фотоматериалы, модели, промышленные образцы и пр.), передать заведующему.
3.9. Соблюдать требования парольной политики (раздел 4).
3.10. Соблюдать требования антивирусной защиты (раздел 5).
3.11. Пользователи, имеющие выход в Интернет, обязаны соблюдать правила при работе в сетях связи общего пользования и (или) сетях международного информационного обмена (раздел 6).
3.12. Пользователи, работающие с электронной подписью или использующие шифрование, обязаны соблюдать Инструкцию по обращению со средствами криптографической защиты информации.
3.13. Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты).
3.14. Обо всех выявленных нарушениях, связанных с порядком обработки персональных данных, а также для получений консультаций по вопросам обработки персональных данных, необходимо обращаться к ответственному за организацию обработки персональных данных.
Пользователям запрещается:
3.14.1. Нарушать установленные в МДОУ «Д/с № 11» инструкции по работе с персональных данных.
3.14.2. Использовать компоненты программного и аппаратного обеспечения МДОУ «Д/с № 11» в неслужебных целях.
3.14.3. Оставлять свое рабочее место без присмотра, предварительно не заблокировав (штатными средствами операционной системы Windows – комбинацией клавиш [WIN] + [L] или [CTRL] + [ALT] + [DEL] с дальнейшим нажатием кнопки «Блокировка» появившегося меню, либо при помощи штатных средств защиты информации от несанкционированного доступа при их наличии).
3.14.4. Оставлять без присмотра или неубранными в хранилища (шкаф, сейф) носители или документы, содержащие персональные данные.
3.14.5. Записывать и хранить персональные данные на неучтенных носителях информации (оптических дисках, гибких магнитных дисках, флеш-накопителях и т.п.).
3.14.6. Самовольно изменять состав и конфигурацию используемых программных, аппаратных, программно-аппаратных средств, самовольно устанавливать программное обеспечение, отключать/подключать оборудование или изменять режимы его работы.
3.14.7. Самовольно подключать АРМ или другие средства к ЛВС ГАУ РК «ЦИТ», изменять IP-адрес, MAC-адрес и иные настройки сети АРМ.
3.14.8. Производить действия, направленные на получение несанкционированного доступа к АРМ и серверам, равно как и любым другим узлам ЛВС МДОУ «Д/с № 11» или Интернет, в том числе:
- действия, направленные на нарушение нормального функционирования элементов сети (компьютеров, другого сетевого оборудования или программного обеспечения);
- установка программного обеспечения, осуществляющего перехват информации (информационных пакетов), адресованной другим пользователям;
- действия, направленные на получение несанкционированного доступа к информационным ресурсам, в последующем использовании такого доступа;
уничтожение, модификация программного обеспечения или данных без согласования с заведующим или владельцами этого ресурса;
- попытки подбора паролей к любым информационным ресурсам методом перебора всех возможных вариантов паролей, либо атак по словарю;
- умышленные действия по созданию, использованию и распространению вредоносных программ, в том числе направленных на получение несанкционированного доступа к любым информационным и служебным ресурсам (как внутри МДОУ «Д/с № 11», так и вне), либо на нарушение целостности и работоспособности этих систем;
- действия по сканированию локальной сети с целью определения ее внутренней структуры, списков открытых портов, наличия существующих сервисов и уязвимостей.
3.14.9. Самовольно изменять параметры средств защиты информации (в том числе и средств антивирусной защиты), а также завершать их работу и (или) самостоятельно их устанавливать.
Самостоятельно разрабатывать или использовать нерегламентированные (без разрешения руководителя, не относящиеся к производственному процессу) программы (например: игры; IM-клиенты, такие как Google Messenger, ICQ и т.п.; P2P-клиенты: Kazaa, eMule и т.п.).
3.14.10. Разрешать посторонним лицам работать под своей учетной записью в ИСПДн.
3.14.11. Пересылать персональные данные по каналам связи в открытом виде, в том числе Интернет, по телефону, факсу, электронной почте и т.п. (без использования средств шифрования).
3.14.12. Получать доступ к персональным данным с рабочих мест, не оборудованными необходимыми средствами защиты информации.
3.14.13. Самовольно создавать совместно используемые сетевые ресурсы (папки общего доступа) на своих компьютерах и файловых серверах, несанкционированно удалять или изменять права доступа к ним.
3.14.14. В случае возникновения любых механических неисправностей в оборудовании осуществлять самостоятельные попытки их устранения.
3.14.15. Препятствовать должностным лицам при проведении проверок и служебных расследований, связанных с обеспечением безопасности информации.
3.14.16. Удалять или искажать программы и файлы с персональными данными и иной важной информацией (например, системной, необходимой для функционирования ИСПДн).
3.14.17. Умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению внештатной ситуации. Об обнаружении такого рода ошибок – ставить в известность заведующего и сотрудников, ответственных за установку и (или) сопровождение программного обеспечения (Администратора безопасности персональных данных в информационных системах персональных данных (далее - администратор безопасности)).
3.14.18. Подключать к ЛВС МДОУ «Д/с № 11» личные средства вычислительной техники: ноутбуки, карманные компьютеры, смартфоны и т.п., а также личные носители и накопители информации. В случае необходимости переноса информации с личных носителей информации обращаться к ответственным.
Парольная политика
4.1. Общие требования к паролям:
- Минимальное требование: буквенно-цифровой пароль. Желательно использовать буквы в верхнем или нижнем регистрах, цифры или специальные символы (например: ~ ! @ # $ % ^ & * ( ) _ - + = | \ ? / . , : ; ’ ] [ { } < > . и т.п.).
- Минимальная длина пароля: не менее 6 (шести) символов.
- Максимальный срок действия пароля: 90 суток.
- Запрет использования трех ранее использовавшихся паролей.
- Пароль Пользователя не должен включать в себя легко вычисляемые сочетания символов, общепринятые сокращения, имена, фамилии, должности, год рождения, номер паспорта, табельный номер, иную информацию о Пользователе, доступную другим лицам.
- Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов.
- Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например: 1234567, qwerty и т.п.).
4.2. Правила использования паролей:
- Хранить в тайне свой пароль, не сообщать его другим лицам.
- Не предоставлять доступ в ИСПДн другим лицам под своей учетной записью и паролем.
- Изменять свой пароль при первом требовании политики паролей операционной системы и/или ИСПДн.
- Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
- Запрещается записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе АРМ, на обратной стороне клавиатуры и т.д.
- Запрещается хранить пароли в записанном виде на отдельных листах бумаги.
4.3. Смена, удаление личного пароля любого Пользователя производится в следующих случаях:
- в случае подозрения на компрометацию пароля;
- по окончании срока действия;
- в случае прекращения полномочий (увольнение, переход на другую работу внутри МДОУ «Д/с № 11» Пользователя после окончания последнего сеанса работы в информационных системах персональных данных;
- по указанию ответственного за организацию обработки персональных данных.
4.4. При увольнении, переходе на новую должность сотрудника, имеющего доступ помимо своей учетной записи к другим ресурсам (межсетевые экраны, маршрутизаторы, серверы, другие учетные записи и т.п.) также производится внеплановая смена паролей к таким ресурсам.
Применение личных идентификаторов в информационной системе персональных данных
Привязку идентификатора к пользователю (учетной записи) выполняет администратор безопасности.
5.1. Пользователи ИСПДн получают свой идентификатор у администратора безопасности.
5.2. Пользователь ИСПДн обязан хранить свой личный идентификатор в недоступных для других сотрудников хранилищах.
5.3. Пользователю ИСПДн запрещается передавать свой личный идентификатор.
5.4. В случае утери личного идентификатора, пользователь ИСПДн должен немедленно доложить об этом администратору безопасности информации.
5.5. В случае прекращения полномочий учетной записи пользователя ИСПДн (увольнение, переход на другую работу, в другой отдел или помещение, а также другие обстоятельства) учетная запись должна быть удалена, а её идентификатор должен быть сдан администратору безопасности информации после окончания последнего сеанса работы данного пользователя в ИСПДн.
5.6. В случае компрометации или утери личного идентификатора пользователя администратором безопасности должны быть немедленно предприняты меры в соответствии с п. 5.7 настоящей Инструкции.
5.7. Администратор безопасности информации должен провести служебное расследование для выяснения причин компрометации идентификатора с целью выработки новых или совершенствования принятых технических и организационных мер по устранению такой угрозы в будущем, а также выяснению величины ущерба, который может быть нанесен собственнику информационных ресурсов.
Антивирусная защита
6.1. В случае отсутствия штатных функций антивирусной программы, предусматривающих автоматическую проверку файлов, Пользователь обязан осуществлять проверку файлов получаемых:
- по электронной почте;
- через сеть Интернет;
- на магнитном, оптическом диске, флеш–накопителе;
- ином съемном носителе информации;
- полученные иным способом.
6.2. Перед открытием вложения (ссылок) убедиться в том, что отправитель действительно послал вам этот файл, даже если он и должен был это сделать. Позвоните ему сами. Не доверяйте имени отправителя и указанным в тексте письма номерам телефонов, а также лицам, позвонившим вам самостоятельно с просьбой открыть файлы и пройти по ссылкам.
6.3. Пользователю запрещается:
6.3.1. Осуществлять действия, направленные на выключение антивирусной программы.
6.3.2. Самостоятельно устанавливать на АРМ программное обеспечение.
6.3.3. Запускать файлы, полученные по сетям связи (электронной почте, Интернет), со съемных носителей, даже если они получены проверенного адресата, без предварительной их проверки антивирусной программой.
6.3.4. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) Пользователь самостоятельно или вместе с ответственным (Администратором безопасности) должен провести внеочередной антивирусный контроль своего рабочего места.
6.3.5. В случае обнаружения при проведении антивирусной проверки вирусного заражения Пользователи обязаны:
- приостановить работу;
- немедленно поставить в известность о факте обнаружения вирусного заражения ответственному (Администратору безопасности);
- совместно с владельцем зараженных вирусом файлов провести анализ <