Формирование политики безопасности
Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения безопасности персональных данных (отражающую подходы к защите персональных данных) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. С практической точки зрения политику в области обеспечения безопасности персональных данных в ГБПОУ СКСС целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность ГБПОУ СКСС в целом. Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности персональных данных, определить какими ресурсами (материальные, структурные, организационные) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью. Политика нижнего уровня, определяет процедуры, и правила достижения целей и решения задач безопасности персональных данных и детализирует (регламентирует) эти правила: - каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности персональных данных; - кто имеет права доступа к персональным данным, кто и при каких условиях может читать и модифицировать персональные данные и т.д. Политика нижнего уровня должна: - предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении информационных ресурсов; - определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к персональным данным; - выбирать программно-технические (аппаратные) средства противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.
Регламентация доступа в помещения Компоненты информационных систем ГБПОУ СКСС должны размещаться в помещениях, находящихся под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.п.). Уборка таких помещений должна производиться в присутствии ответственного сотрудника, за которым закреплены данные компоненты, с соблюдением мер, исключающих доступ посторонних лиц к защищаемым информационным ресурсам. Во время обработки персональных данных в таких помещениях должен присутствовать только персонал, допущенный к работе с персональными данными. Запрещается прием посетителей в помещениях, когда осуществляется обработка персональных данных. По окончании рабочего дня, помещения, в которых размещаются компоненты информационных систем ГБПОУ СКСС, должны запираться на ключ. В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции. Регламентация допуска сотрудников к использованию информационных ресурсов В рамках разрешительной системы (матрицы) доступа устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях. Допуск пользователей к работе с информационными системами ГБПОУ СКСС и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производиться установленным порядком.
Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования: - каждый сотрудник пользуется только предписанными ему правами по отношению к персональным данным, с которыми ему необходима работа в соответствии с должностными обязанностями. Расширение прав доступа и предоставление доступа к дополнительным информационных ресурсам, в обязательном порядке, должно согласовываться с ответственными за организацию обработки персональных данных; - руководитель ГБПОУ СКСС имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями. Все сотрудники ГБПОУ СКСС и обслуживающий персонал, должны нести персональную ответственность за нарушения установленного порядка обработки персональных данных, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению персональных данных ГБПОУ СКСС. Обработка персональных данных в компонентах информационных систем ГБПОУ СКСС должна производиться в соответствии с утвержденными технологическими инструкциями. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов В целях поддержания режима информационной безопасности аппаратно-программная конфигурация автоматизированных рабочих мест сотрудников ГБПОУ СКСС, с которых возможен доступ к ресурсам информационной системы, должна соответствовать кругу возложенных на данных пользователей функциональных обязанностей.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|