Инструкция по организации парольной защиты

1. Общие положения

1.1. Инструкция по организации парольной защиты (далее – Инструкция) призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах дошкольного образовательного учреж­дения (далее – ДОУ), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах информационной системы (далее – ИС) ДОУ и контроль за действиями исполнителей и обслуживающего персонала при работе с паролями возлагается на системного администратора ДОУ.

2. Правила формирования паролей

2.1. Личные пароли генерируются и распределяются централизованно либо выбираются пользователями информационной системы самостоятельно с учетом следующих требований:

• пароль должен состоять не менее чем из восьми символов;
• в пароле обязательно должны присутствовать буквы из верхнего и нижнего регистров, цифры и специальные символы (@, #, $, &, *, % и т. п.);
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т. д.), последовательности символов и знаков (111, qwerty, abcd и т. д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т. п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
• при смене пароля новый пароль должен отличаться от старого не менее чем
  в шести позициях.

2.2. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников центра дистанционного образования.

2.3. При технологической необходимости использования имен и паролей некоторых работников (исполнителей) в их отсутствие (в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т. п.) такие работники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для их опечатывания рекомендуется использовать печать отдела кадров.

При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т. п.).

4. Порядок смены личных паролей

4.1. Смена паролей проводится регулярно, не реже одного раза в три месяца.

4.2. В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен немедленно удалить его учетную запись сразу после окончания последнего сеанса работы данного пользователя с системой.

4.3. Срочная (внеплановая) полная смена паролей производится в случае прекращения полномочий (увольнение, переход на другую работу и т. п.) администраторов информационной системы и других работников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.

4.4. Смена пароля производится самостоятельно каждым пользователем в соответствии с п. 2.1 Инструкции и/или в соответствии с указанием в системном баннере-предупреждении (при наличии технической возможности).

4.5. Временный пароль, заданный системным администратором при регистрации нового пользователя, следует изменить при первом входе в систему.

5. Хранение пароля

5.1. Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе либо в сейфе у системного администратора или руководителя подразделения в опечатанном пенале.

5.2. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации.

5.3. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.

6. Действия в случае утери и компрометации пароля

В случае утери или компрометации пароля пользователя должны быть немедленно предприняты меры в соответствии с п. 4.3 или п. 4.4 Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

7. Ответственность при организации парольной защиты

7.1. Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле.

7.2. Ответственность за организацию парольной защиты в структурных подразделениях ДОУ возлагается на системного администратора.

7.3. Работники ДОУ и лица, имеющие отношение к обработке персональных данных в информационных системах ДОУ, должны быть ознакомлены с Инструкцией под расписку.

Инструкция по организации парольной защиты (ИС Компании)

Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей (удаления учетных записей пользователей) в ИС Компании, а также процесса контроля действий пользователей и обслуживающего персонала системы при работе с паролями.

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями СВТ самостоятельно с учетом следующих требований:

• длина пароля должна быть не менее 8 символов;
• в числе символов пароля должны присутствовать символы трех категорий из числа следующих четырех:

• прописные буквы английского алфавита от A до Z;
• строчные буквы английского алфавита от a до z;
• десятичные цифры (от 0 до 9);
• неалфавитные символы (например: . $, #, %);

• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения (LAN, USER и т.п.);
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.

В целях обеспечения информационной безопасности и противодействия попыткам подбора пароля в ИС Компании определены правила ввода пароля:

• символы вводимого пароля не отображаются на экране в явном виде;
• учёт всех попыток (успешных и неудачных) входа в систему.

При первоначальном вводе или смене пароля пользователя действуют следующие правила:

• символы вводимого пароля не должны явно отображаться на экране;
• для подтверждения правильности ввода пароля (с учетом первого правила) - ввод пароля необходимо проводить 2 раза.

Ввод пароля должен осуществляться непосредственно пользователем СВТ (владельцем пароля). Пользователю запрещается передавать пароль для ввода другим лицам. Передача пароля для ввода другим лицам является разглашением конфиденциальной информации и влечёт за собой ответственность согласно положениям данной Инструкции.

Непосредственно перед вводом пароля для предотвращения возможности неверного ввода пользователь СВТ должен убедиться в правильности языка ввода (раскладки клавиатуры), проверить, не является ли активной клавиша CAPSLOCK (если это необходимо), а также проконтролировать расположение клавиатуры (клавиатура должна располагаться таким образом, что бы исключить возможность увидеть набираемый текст посторонними).

При вводе пароля пользователю СВТ запрещается проговаривать вслух вводимые символы.

В случае возникновения необходимости в смене пароля в виду компрометации пользователь должен:

• немедленно сменить свой пароль;
• известить службу Техподдержки;
• известить СИБ.

Внеплановая смена личного пароля или удаление учетной записи пользователя СВТ в случае прекращения его полномочий (увольнение, перевод в другое структурное подразделение, филиал, региональный центр и т.п.) должна производиться специалистами службы Техподдержки непосредственно после окончания последнего сеанса работы данного пользователя с СВТ.

Внеплановая полная смена паролей всех пользователей СВТ должна производиться в случае прекращения полномочий (увольнение, перевод в другое структурное подразделение, филиал, региональный центр и другие обстоятельства) администраторов средств защиты и других сотрудников, которым по роду деятельности были предоставлены полномочия по управлению парольной защитой ИС Компании.

Сотрудники Техподдержки и пользователи СВТ в течение 3-х часов после смены своих паролей должны передать их новые значения вместе с именами соответствующих учетных записей в запечатанном конверте руководителям своих структурных подразделений на хранение. При получении конверта с новыми паролями конверт со старыми паролями уничтожается.

Учетная запись пользователя, ушедшего в длительный отпуск (более 60 дней), должна блокироваться сотрудником службы Техподдержки с момента получения письменного уведомления от кадровой службы Компании.

Удаление учетных записей пользователей, уволенных, переведенных в другое структурное подразделение, филиал, региональный центр должно производиться сотрудником службы Техподдержки немедленно с момента получения письменного уведомления из кадровой службы Компании.

Кадровая служба Компании должна известить службу Техподдержки о состоявшемся приказе в течение 24 часов после увольнения, перевода работника в другое структурное подразделение, филиал, региональный центр.

Хранение пользователем СВТ своих паролей на бумажном носителе допускается только в сейфе у ответственного за информационную безопасность или у руководителя подразделения Компании в опечатанном личной печатью конверте (возможно, вместе с персональными ключевыми носителями).

Пароли сотрудников службы Техподдержки с именами учетных записей и датой установки паролей должны храниться в опечатанных конвертах в сейфе у руководителя службы Техподдержки.

При возникновении производственной необходимости в срочном доступе к СВТ временно отсутствующего пользователя разрешается произвести смену пароля пользователя его непосредственным руководителем. При этом должен быть составлен акт о вскрытии конверта с паролем и о его повторном опечатывании с новым паролем.

Аутентификация некоторых пользователей может быть обеспечена с использованием специальных аппаратно-программных средств, рекомендованных к использованию СИБ Компании и централизованно закупленных Компанией у разработчиков (поставщиков) указанных средств.

Пользователи СВТ должны быть ознакомлены под роспись с требованиями настоящей Инструкции и предупреждены об ответственности за нарушение требований данной Инструкции.

Пользователю СВТ запрещается разглашать свой пароль за исключением случаев, описанных в настоящей Инструкции. За разглашение парольной информации, которая представляет конфиденциальные сведения, сотрудник Компании привлекается к ответственности в соответствии с действующим законодательством Российской Федерации.

Повседневный контроль действий пользователей СВТ при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях Компании (руководителей подразделений), периодический контроль возлагается на сотрудников службы Техподдержки.

ИС - Информационная система

СВТ - Средства вычислительной техники

СИБ - Служба информационной безопасности

Тема 10: Инструкции по организации парольной и антивирусной защиты

Данная инструкция призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников подразделения обеспечения безопасности информации (ПОБИ) - администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

• длина пароля должна быть не менее установленной (обычно 6-8 символов);
• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в заданном числе (например в 6-ти) позициях;
• личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников ПОБИ. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников ПОБИ, а также ответственных за информационную безопасность в подразделениях с паролями других сотрудников подразделений организации (исполнителей).

При наличии технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей), либо печать уполномоченного представителя службы обеспечения безопасности информации (ПОБИ).

Полная плановая смена паролей пользователей должна проводиться регулярно, например, не реже одного раза в месяц.

Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться администраторами соответствующих средств защиты в соответствии с «Инструкцией по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы» немедленно после окончания последнего сеанса работы данного пользователя с системой.

Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС.

В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры по внеплановой смене паролей (в зависимости от полномочий владельца скомпрометированного пароля).

Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory ).

Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях (руководителей подразделений), периодический контроль - возлагается на сотрудников ПОБИ - администраторов средств парольной защиты.

Настоящая Инструкция определяет требования к организации защиты АС организации от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их выполнение.

К использованию в организации допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств, рекомендованные к применению отделами автоматизации и безопасности информации.

В случае необходимости использования антивирусных средств, не вошедших в перечень рекомендованных, их применение необходимо согласовать с отделами автоматизации и безопасности информации.

Установка средств антивирусного контроля на компьютерах на серверах и рабочих станциях АС осуществляется уполномоченными сотрудниками отдела автоматизации в соответствии с «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС».

Настройка параметров средств антивирусного контроля осуществляется сотрудниками ОА в соответствии руководствами по применению конкретных антивирусных средств.

Антивирусный контроль всех дисков и файлов рабочих станций должен проводиться ежедневно в начале работы при загрузке компьютера (для серверов - при перезапуске) в автоматическом режиме.

Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD - ROM и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на выделенном автономном компьютере или, при условии начальной загрузки операционной системы в оперативную память компьютера с заведомо "чистой" (не зараженной вирусами) и защищенной от записи системной дискеты, - на любом другом компьютере. Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

Файлы помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.

Установка (изменение) системного и прикладного программного обеспечения осуществляется на основании «Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы организации».

Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера должна быть выполнена антивирусная проверка:

• на защищаемых серверах и PC - ответственным за обеспечение информационной безопасности подразделения;

• на других серверах и PC AC не требующих защиты, - лицом, установившим (изменившим) программное обеспечение, - в присутствии и под контролем руководителя данного подразделения или сотрудника, им уполномоченного.

Факт выполнения антивирусной проверки после установки (изменения) программного обеспечения должен регистрироваться в специальном журнале подразделения за подписью лица, установившего (изменившего) программное обеспечение, и лица, его контролировавшего.

При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник подразделения самостоятельно или вместе с ответственным за обеспечение безопасности информации подразделения (технологического участка) должен провести внеочередной антивирусный контроль своей рабочей станции. При необходимости привлечь специалистов ОА для определения ими факта наличия или отсутствия компьютерного вируса.

В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники подразделений обязаны:

• немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя и ответственного за обеспечение информационной безопасности своего подразделения, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;

• совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;

• провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь специалистов ОА);

• в случае обнаружения нового вируса, не поддающегося лечению ' применяемыми антивирусными средствами, передать зараженный вирусом файл на гибком магнитном диске в ОА для дальнейшей отправки его в организацию, с которой заключен договор на антивирусную поддержку;

• по факту обнаружения зараженных вирусом файлов составить служебную записку в отдел обеспечения безопасности информации, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия.

Ответственность за организацию антивирусного контроля в подразделении, эксплуатирующем подсистему АС, в соответствии с требованиями настоящей Инструкции возлагается на руководителя подразделения.

Ответственность за проведение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящей Инструкции возлагается на ответственного за обеспечение безопасности информации и всех сотрудников подразделения, являющихся пользователями АС.

Периодический контроль за состоянием антивирусной защиты, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции сотрудниками подразделений организации осуществляется отделом службой обеспечения безопасности информации.

Инструкция по организации парольной защиты - Учредительные документы - Документы - Каталог файлов - Детский сад №4 ст

ЮЛЯ - 2.5 года. Как-то вечером заставляют Юлю собирать игрушки, а она отвечает: - Мне не хочется, лучше я пойду в углу постою.

ДАША - 2 года 2 месяца. - Даша, колготки сухие? - Сухие, сейчас написаю.

МАША - 5 лет. На столе стоит букет ромашек, одна из них завяла. Маша: - Смотри, ромашка завяла, как будто на нее наорали.

ШУРИК - 7 лет. С вечера забросил куда-то свои носки, утром ползает по полу - ищет. Один нашел и разговаривает сам с собой: - Где же второй? Второй, второй, я - первый! Прием! Иду на связь!

ЗАРИНА - 4 года. Смотрит рекламу кошачьих консервов "кошки без ума от "Вискас" и говорит: - Мама, мы не будем нашей Милке покупать "Вискас", она у нас и так дурная.

ИГОРЕК - 6 лет. - Мама, наша бабушка уже совсем ничего не соображает. - Это почему же? - Когда мы к ней в гости приезжаем, она меня не узнает. Каждый раз спрашивает: "Ой, кто это к нам пришел!"

ОЛЯ - 4 года. Любит играть с родителями в детский сад. Они - детки, она - воспитательница. И однажды во время игры Оля как закричит: - Дети, дети, скорее несите горшок, а то воспитательница сейчас описается!

САША - 3.5 года. Играл со щенком и вдруг начал лизать диван. Бабушка увидела и стала его ругать: - Саша, что же ты делаешь! Нельзя лизать диван, на нем заразные микробы живут, ты можешь заболеть! Дня через два бабушка приболела и лежала в кровати. Саша подошел к ней и с грустью в голосе спросил: - Что, бабуля, диван лизала?

Инструкция по организации парольной защиты

Настоящая инструкция устанавливает основные правила введения парольной защиты информационной системы персональных данных

(далее – Учреждение). Инструкция регламентирует организационно-техническое обеспечение генерации, смены и прекращения действия паролей в информационной системы персональных данных, а также контроль за действиями пользователей системы при работе с паролями. Настоящая инструкция оперирует следующими основными понятиями:

− Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

− ИСПДн – информационная система персональных данных.

− Компрометация - факт доступа постороннего лица к защищаемой информации, а также подозрение на него.

− Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

− Пароль – уникальный признак субъекта доступа, который является его (субъекта) секретом.

− Правила доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

− Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

− Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или АС.

2.1 Персональные пароли должны генерироваться специальными программными средствами административной службы.

2.2 Длина пароля должна быть не менее 8 символов.

2.3 В составе пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы.

2.4 Пароль не должен включать в себя:

− легко вычисляемые сочетания символов;

− клавиатурные последовательности символов и знаков;

− общепринятые сокращения;

− номера телефонов, автомобилей;

− прочие сочетания букв и знаков, ассоциируемые с пользователем;

− при смене пароля новое сочетание символов должно отличаться от предыдущего не менее чем на 2 символа.

2.5 Допускается использование единого пароля для доступа субъекта доступа к различным информационным ресурсам одной ИСПДн объекта образования.

3.1 Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одно раза в месяц.

3.2 Полная внеплановая смена паролей всех пользователей должна производиться случае прекращения полномочий администраторов средств защиты или других сотрудников, которым по роду службы были предоставлены полномочия по управлению парольной зашитой.

3.3 Полная внеплановая смена паролей должна производиться в случае компрометации личного пароля одного из администраторов ИСПДн.

3.4 В случае компрометации личного пароля пользователя надлежит немедленно ограничить доступ к информации с данной учетной записи, до момента вступления в силу новой учетной записи пользователя или пароля.

4Обязанности пользователей при работе с парольной защитой

4.1 При работе с парольной защитой пользователям запрещается:

− разглашать кому-либо персональный пароль и прочие идентифицирующие сведения;

− предоставлять доступ от своей учетной записи к информации, хранящейся в ИСПДн посторонним лицам;

− записывать пароли на бумаге, файле, электронных и прочих носителях информации, в том числе и на предметах.

4.2 Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе.

4.3 При вводе пароля пользователь обязан исключить возможность его перехвата сторонними лицами и техническими средствами.

5.1 Под компрометацией следует понимать:

− физическая утеря носителя с информацией;

− передача идентификационной информации по открытым каналам связи;

− проникновение постороннего лица в помещение физического хранения носителя парольной информации или алгоритма или подозрение на него (срабатывание сигнализации, повреждение устройств контроля НСД (слепков печатей), повреждение замков и т. п.);

− визуальный осмотр носителя идентификационной информации посторонним лицом;

− перехват пароля при распределении идентификаторов;

− сознательная передача информации постороннему лицу.

5.2 Действия при компрометации пароля:

− скомпрометированный пароль сразу же выводится из действия, взамен его вводятся запасной или новый пароль;

− о компрометации немедленно оповещаются все участники обмена информацией. Пароль вносится в специальные списки, содержащие скомпрометированные пароли и учетные записи.

6Ответственность пользователей при работе с парольной защитой

6.1 Повседневный контроль за действиями сотрудников Учреждения при работе с паролями, соблюдением порядка их смены, хранения и использования, возлагается на ответственного за систему защиты информации в информационной системе персональных данных.

6.2 Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

6.3 Ответственность за организацию парольной защиты возлагается на ответственного за систему защиты информации в информационной системе персональных данных.

6.4 Ответственность в случае несвоевременного уведомлении ответственного за систему защиты информации в информационной системе персональных данных о случаях утери, кражи, взлома или компрометации паролей возлагается на владельца взломанной учетной записи.

Лист ознакомления с Инструкцией

по организации парольной защиты в

«_____»_________ 2016 г. пр. № от_______2016г.

Инструкция о порядке обеспечения конфиденциальности

при обращении с информацией, содержащей

персональные данные работников и обучающихся МБДОУ ДС № 4 «Красная Шапочка»

1.1. Настоящая Инструкция устанавливает применяемые в муниципальном дошкольном образовательном учреждении детском саду № 4 «Красная Шапочка» ст. Брюховецкой муниципального образования Брюховецкий район

(далее – МБДОУ ДС № 4 «Красная Шапочка») способы обеспечения безопасности при обработке, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, защиту, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, персональных данных с целью соблюдения конфиденциальности сведений, содержащих персональные данные работников и обучающихся техникума.

1.2. Настоящая Инструкция разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», постановлений Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иных нормативных правовых актов Российской Федерации, а также «Положения о персональных данных работников и обучающихся МБДОУ ДС № 4 «Красная Шапочка».

1.3. В соответствии с законодательством РФ под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая техникуму в связи с трудовыми отношениями и организацией образовательного процесса.

1.4. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами техникума, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания .

1.5. Обеспечение конфиденциальности персональных данных не требуется в случае:

• обезличивания персональных данных;
• для общедоступных персональных данных.

1.6. Перечни персональных данных и ответственных за хранение и обработку персональных данных указаны в "Положения о персональных данных работников и обучающихся" (п.п. 4,6). Обработка и хранение конфиденциальных данных лицами, не указанными в "Положения о персональных данных работников и обучающихся" запрещается.

1.7. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных МБДОУ ДС № 4 «Красная Шапочка» предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:

• знакомит работника под роспись с требованиями «Положения о персональных данных работников и обучающихся МБДОУ ДС № 4 «Красная Шапочка», с настоящей Инструкцией, с должностной инструкцией и иными локальными нормативными актами техникума в сфере обеспечения конфиденциальности и безопасности персональных данных;
• предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);
• обучает правилам эксплуатации средств защиты информации;
• проводит иные необходимые мероприятия.

1.8. Должностным лицам МБДОУ ДС № 4 «Красная Шапочка». работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных.

Без согласования с заведующей формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.

1.9. Должностные лица МБДОУ ДС № 4 «Красная Шапочка», работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.

1.10. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.

1.11. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством РФ, в соответствии с «Положением о персональных данных работников и обучающихся МБДОУ ДС № 4 «Красная Шапочка», с настоящей Инструкцией, должностными инструкциями и иными локальными нормативными актами.

Передача персональных данных осуществляется ответственным за обработку персональных данных должностным лицом МБДОУ ДС № 4 «Красная Шапочка» на основании письменного или устного поручения заведующей, ст.воспитателя.

1.12. Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по установленной настоящей Инструкцией форме (Приложение № 1).

1.13. Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам.

1.14. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими в МБДОУ ДС № 4 «Красная Шапочка» локальными нормативными актами.

Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.

1.15. Должностные лица МБДОУ ДС № 4 «Красная Шапочка», работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.

1.16. Должностные лица, сотрудники, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

1.17. Отсутствие контроля со стороны МБДОУ ДС № 4 «Красная Шапочка» за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством РФ ответственности.

1. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.

2.2. Главный бухгалтер, ст.воспитатель, инспектор по кадрам осуществляющие обработку персональных данных без использования средств автоматизации:

• определяют места хранения персональных данных (материальных носителей);
• осуществляют контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
• информирует сотрудников, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
• организует раздельное, т.е. не допускающее смешение, хранение материальных носителей персональных данных (документов, дисков, дискет, USB флеш-накопителей, пр.), обработка которых осуществляется в различных целях.

2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных, исключающую одновременное копирование иных персональных данных, не подлежащих распространению и использованию.

2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

3. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ

3.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в локальной компьютерной сети МБДОУ ДС № 4 «Красная Шапочка». На данный момент такая сеть в МБДОУ ДС № 4 «Красная Шапочка» отсутствует.

3.2. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается.

4. ПОРЯДОК УЧЕТА, ХРАНЕНИЯ И ОБРАЩЕНИЯ СО СЪЕМНЫМИ НОСИТЕЛЯМИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ТВЕРДЫМИ КОПИЯМИ И ИХ УТИЛИЗАЦИИ

4.1. Все находящиеся на хранении и в обращении в МБДОУ ДС № 4 «Красная Шапочка» съемные носители (диски, дискеты, USB флеш-накопители, пр.), содержащие персональные данные, подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.

4.2. Учет и выдачу съемных носителей персональных данных осуществляет руководитель.

При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее - журнал учета) (Приложение № 2).

4.3. При работе со съемными носителями, содержащими персональные данные, запрещается:

• хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
• выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.

4.4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения заведующей.

4.5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено заведующей.

На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.

4.6. Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется комиссией, созданной приказом руководителя.

По результатам уничтожения носителей составляется акт по прилагаемой форме (Приложение № 3).

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

5.1. С положениями настоящей Инструкции должны быть ознакомлены под роспись все работники, имеющие отношение к обработке персональных данных работников, обучающихся техникума и третьих лиц.