УТВЕРЖДАЮ

Руководитель предприятия

………………… (фамилия)

“__” ________ 200__

 

 

 

 

 

ИНСТРУКЦИЯ АДМИНИСТРАТОРУ БЕЗОПАСНОСТИ (УПОЛНОМОЧЕННОМУ ПО БЕЗОПАСНОСТИ)

АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОБЪЕКТА ИНФОРМАТИЗАЦИИ

XXXXXXX

 

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

          1.1. Настоящая инструкция разработана в дополнение «Инструкции по обеспечению защиты информации………………….», и является руководящим документом для администратора безопасности (уполномоченного по безопасности) автоматизированной системы объекта информатизации ХХХХХХХ, далее по тексту – администратора. Требования настоящей инструкции должны выполняться во всех режимах функционирования автоматизированной системы (АС).

 

          1.2. Нарушение установленных требований и норм по защите информации по степени важности делятся на три категории:

·     первая – невыполнение требований и норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам или несанкционированного доступа к ней (НСД);

·     вторая – невыполнение требований и норм по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам или НСД;

·     третья – невыполнение других требований по защите информации.

          При выявлении  нарушения первой категории администратор обязан немедленно прекратить работы на АС и подать служебную записку руководству, в которой изложить факт нарушения, предпринятые и/или рекомендуемые им действия.

          При выявлении нарушений второй и третьей категорий администратор обязан подать служебную записку руководству, в которой изложить факт нарушения, предпринятые и/или рекомендуемые им действия.

 

          1.3. В своей повседневной деятельности администратор руководствуется другими документами, регламентирующими защиту конфиденциальной информации от утечки по техническим каналам и НСД и эксплуатационной документацией на установленные на объекте информатизации системы защиты от несанкционированного доступа к информации (СЗИ НСД) и от утечки информации по техническим каналам.


 

2.ОБЩИЕ ОБЯЗАННОСТИ АДМИНИСТРАТОРА

 

          2.1. Администратор отвечает за:

·        соблюдение требований по противодействию утечке информации по техническим каналам;

·        обеспечение пользователей АС параметрами опознания;

·        обеспечение установленных правил разграничения доступа пользователей к защищаемым информационным ресурсам АС;

·        анализ работоспособности СЗИ НСД;

·        контроль за соблюдением пользователями установленных правил работы с конфиденциальной информацией;

·        обеспечение неизменности системного и прикладного программного обеспечения АС, в том числе и программного обеспечения СЗИ НСД.

 

          2.2. Администратор обязан:

·        знать требования документов, регламентирующих защиту конфиденциальной информации от утечки по техническим каналам и НСД, выявлять возможные каналы утечки информации и способы совершения НСД и готовить предложения по их устранению;

·        не допускать использования, хранения и размножения на АРМ АС программных продуктов и носителей информации, непосредственно не связанных со служебной деятельностью на данном рабочем месте;

·        разработать и утвердить у руководства инструкцию по обеспечению безопасности информации в случаях возникновения чрезвычайных обстоятельств на объекте информатизации, предусматривающую систему мер и действий при стихийном бедствии, пожаре, аварии систем жизнеобеспечения объекта, заражении АРМ компьютерными вирусами, фактов НСД к информации, фактов компрометации параметров идентификации пользователя и т.п.;

·        не допускать к работе на АРМ АС посторонних лиц;

·        следить за сохранностью голографических наклеек  на корпусах ПЭВМ;

·        организовывать и координировать работы по защите информации;

·        участвовать в планировании эксплуатации АРМ при изменении условий его эксплуатации, контролируя выполнение требований Аттестата соответствия объекта информатизации;

·        участвовать в разработке организационных мероприятий по обеспечению защиты информации в подразделении при обработке конфиденциальной информации;

·        знать уровень конфиденциальности обрабатываемой информации, следить за тем, чтобы обработка информации производилась только с использованием учтенных съемных и несъемных носителей информации, причем уровень конфиденциальности последних должен быть не ниже уровня конфиденциальности обрабатываемой информации;

·        контролировать соблюдение требований по учету, хранению и пересылке носителей конфиденциальной информации;

·        вести документацию, предусмотренную документами, регламентирующими защиту конфиденциальной информации от утечки по техническим каналам и НСД;

·        при выявлении нарушений действовать в соответствии с  п.1.2 настоящей Инструкции;

·        постоянно повышать свою квалификацию.

 

3. ОБЯЗАННОСТИ АДМИНИСТРАТОРОВ ПО ПРЕДОТВРАЩЕНИЮ УТЕЧКИ ИНФОРМАЦИИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ

 

          3.1. Администратор обязан контролировать выполнение требований Аттестата соответствия объекта информатизации, соответствие состава и расположения ОТСС и ВТСС Техническому паспорту объекта информатизации и не допускать их нарушения.

 

          3.2. Администратор обязан не допускать:

·        внесение несанкционированных изменений в состав и размещение ОТСС и ВТСС, а также в схемы их соединений;

·        изменение состава, размещения и изменения уровней излучения средств активной защиты информации, если они установлены в помещениях объекта;

·        внесение несанкционированных изменений в системы электроснабжения, заземления и других проводных коммуникаций объекта;

·        обработку конфиденциальной информации при открытых (снятых) кожухах (крышках) ОТСС, а также при выключенных средствах активной защиты информации;

 

3.3. Администратор обязан периодически (не реже одного раза в месяц) осуществляет контроль работоспособности системы активной защиты согласно эксплуатационной документации на систему.

 

4. ОБЯЗАННОСТИ АДМИНИСТРАТОРОВ ПО ПРЕДОТВРАЩЕНИЮ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

 

          4.1. Каждому пользователю АС администратор обязан выдать уникальный персональный идентификатор (типа Touch Memory). Регистрация идентификатора в СЗИ НСД производится в соответствии с эксплуатационной документацией на нее.

          При настройке СЗИ НСД на АРМ пользователя администратор обязан установить минимальную длину пароля пользователя не менее 8 символов. Администратор обязан следить за тем, чтобы смена значения паролей пользователей производилась не реже одного раза в месяц. Свой собственный пароль администратор также должен изменять не реже одного раза в месяц.

          Администратор обязан пресекать действия пользователей, которые могут привести к компрометации паролей и / или персональных идентификаторов (хранение персональных идентификаторов открытых местах, не запирающихся ящиках письменных столов и т.д., запись паролей пользователей в блокноты, тетради и т.д., произнесение паролей вслух в присутствии третьих лиц). При утере пользователем персонального идентификатора администратор должен немедленно сообщить об этом факте руководству и принять меры к обеспечению пользователя новым идентификатором с перерегистрацией последнего в СЗИ НСД либо исключить этого пользователя из числа субъектов АС.

 

          4.2. Администратор устанавливает правила разграничения доступа пользователей к защищаемым ресурсам АС (ПРД) средствами СЗИ НСД в строгом соответствии с разработанной и утвержденной Матрицей доступа субъектов…. Изменения в ПРД допускается вносить только после внесения их в Матрицу доступа….. При этом подпись лица, утвердившего ее, обязательна.

          Все изменения в матрице доступа после выдачи.

 

          4.3. Для проведения анализа устойчивости системы защиты, определения скрытых каналов утечки информации администратор осуществляет сбор, хранение и анализ учетной информации СЗИ НСД.

          Администратор обязан регулярно (1 раз в месяц) анализировать содержимое системных журналов СЗИ НСД.

 

          4.4. При необходимости проведения обслуживания или ремонта средств вычислительной техники администратор организовывает согласование с организацией, проводившей работы.

 

          4.5. Для обеспечения неизменности программного обеспечения СЗИ НСД администратор обязан использовать средства контроля целостности СЗИ НСД в соответствии с эксплуатационной документацией СЗИ НСД. Аттестаты соответствия согласовываются с аттестационным центром.

 

Подписи………..