УТВЕРЖДАЮ
(Организация)
________ ФИО
Должностная инструкция
администратора безопасности информационных систем персональных данных в (Организация)
1. Общие положения
1.1. Настоящий документ определяет основные обязанности, права и ответственность администратора безопасности информационных систем персональных данных (далее – ИСПДн) в (Организация).
1.2. Администратор безопасности назначается руководителем оператора или начальником подразделения, ответственного за обеспечение безопасности персональных данных (далее – ПДн).
1.3. Администратор безопасности в своей работе руководствуется настоящей инструкцией и требованиями нормативных документов Российской Федерации в сфере защиты информации.
1.4. Администратор безопасности является ответственным должностным лицом, уполномоченным на проведение работ по поддержанию достигнутого уровня защиты ИСПДн и ее ресурсов на этапах промышленной эксплуатации и модернизации.
1.5. Администратор безопасности осуществляет методическое руководство операторами, системными администраторами и другими лицами, допущенными к работе в ИСПДн, в вопросах обеспечения защиты ПДн.
1.6. Требования администратора безопасности, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми пользователями ИСПДн.
1.7. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн, состояние и поддержание установленного уровня защиты ИСПДн.
2. Должностные обязанности администратора безопасности
2.1. Администратор безопасности обязан:
2.1.1. Знать перечень и состав ИСПДн, перечень задач, решаемых их использованием.
2.1.2. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций и распоряжений, регламентирующих порядок действий по обеспечению защиты ПДн.
2.1.3. Осуществлять установку, настройку и сопровождение средств защиты информации (далее – СЗИ).
2.1.4. Осуществлять учет применяемых СЗИ, эксплуатационной и технической документации к ним.
2.1.5. Участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн.
2.1.6. Участвовать в приемке новых программных средств.
2.1.7. Обеспечить доступ к защищаемой информации пользователям ИСПДн согласно Разрешительной системы доступа к информационным ресурсам, программным и техническим средствам ИСПДн.
2.1.8. Уточнять в установленном порядке обязанности пользователей ИСПДн.
2.1.9. Проводить резервирование ПДн.
2.1.10. Вести учет носителей ПДн.
2.1.11. Выдавать пользователям личные пароли доступа к средствам ИСПДн.
2.1.12. Анализировать состояние защиты ИСПДн и ее отдельных подсистем.
2.1.13. Контролировать неизменность состояния СЗИ их параметров и режимов защиты.
2.1.14. Контролировать физическую сохранность средств и оборудования ИСПДн.
2.1.15. Контролировать исполнение пользователями ИСПДн введенного режима безопасности, а так же правильность работы с элементами ИСПДн и СЗИ.
2.1.16. Контролировать исполнение пользователями парольной защиты.
2.1.17. Контролировать работу пользователей в сетях общего пользования и международного обмена.
2.1.18. Своевременно анализировать журналы учета событий, с целью выявления возможных нарушений.
2.1.19. Не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач.
2.1.20. Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования СЗИ ИСПДн.
2.1.21. Оказывать помощь пользователям ИСПДн в части применения СЗИ и консультировать по вопросам введенного режима защиты.
2.1.22. Периодически представлять руководству отчет о состоянии защиты ИСПДн, о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации.
2.1.23. В случае отказа работоспособности СЗИ ИСПДн принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
2.1.24. Принимать меры по реагированию, в случае возникновения нештатных и аварийных ситуаций, с целью ликвидации их последствий, участвовать в расследовании причин их возникновения.
3. Организация парольной защиты
3.1. Личные пароли доступа к средствам ИСПДн выдаются пользователям администратором безопасности, ответственным за обеспечение безопасности ПДн или другим уполномоченным лицом.
3.2. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца.
3.3. Правила формирования пароля:
- пароль не может содержать имя учетной записи пользователя или какую-либо его часть;
- пароль должен состоять не менее чем из 6 символов;
- в пароле должны присутствовать символы трех категорий из числа следующих четырех:
- прописные буквы английского алфавита от A до Z;
- строчные буквы английского алфавита от а до z;
- десятичные цифры (от 0 до 9);
- запрещается использовать в качестве пароля имя входа в систему, простые пароли
- типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе;
- запрещается выбирать пароли, которые уже использовались ранее.
4. Права администратора безопасности
4.1. Администратор безопасности имеет право:
4.1.1. Отключать любые элементы системы защиты ПДн (далее – СЗПДн) при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей в установленном порядке.
4.1.2. В установленном порядке изменять конфигурацию элементов ИСПДн и СЗПДн.
4.1.3. Требовать от сотрудников соблюдения правил работы в ИСПДн, приведенных в должностных инструкциях.
4.1.4. Требовать от пользователей безусловного соблюдения установленной технологии обработки ПДн и выполнения требований локальных документов, регламентирующих вопросы обеспечения защиты ПДн.
4.1.5. Требовать прекращения обработки информации в случае нарушения установленной технологии обработки ПДн или нарушения функционирования СЗИ.
4.1.6. Вносить свои предложения по совершенствованию СЗПДн.
4.1.7. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты ПДн в ИСПДн.
5. Ответственность администратора безопасности
5.1. Администратор безопасности несет ответственность:
5.1.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими локальными организационно-распорядительными документами, в соответствии с действующим трудовым законодательством Российской Федерации.
5.1.2. За правонарушения, совершенные в процессе своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
5.1.3. За разглашение сведений конфиденциального характера и другой защищаемой информации в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
5.1.4. На администратора безопасности возлагается персональная ответственность за работоспособность и надлежащее функционирование СЗИ ИСПДн.