Инструкция администратора информационной безопасности Акты, образцы, формы, договоры Консультант Плюс

Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:

• Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
• Инструкция администратора безопасности
• Инструкция ответственного за организацию обработки персональных данных
• Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
• Инструкция по реагированию на инциденты информационной безопасности
• Инструкция пользователя государственной информационной системы
• Приказ об утверждении внутренних нормативных актов по защите информации
• Политика информационной безопасности в составе:
• — Общие положения
• — Технологические процессы обработки защищаемой информации в информационных системах
• — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
• — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
• — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
• — Правила и процедуры выявления, анализа и устранения уязвимостей
• — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
• — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
• — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
• — Форма задания на внесение изменений в списки пользователей информационной системы
• — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
• — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
• — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
• — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
• — Форма списка разрешенного программного обеспечения в информационной системе
• — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
• — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
• — Порядок резервирования информационных ресурсов
• — План обеспечения непрерывности функционирования информационной системы
• Приказ об организации контролируемой зоны
• Положение о контролируемой зоне
• План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
• Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
• Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
• Форма журнала учета приема/выдачи съемных машинных носителей информации
• Форма журнала учета средств защиты информации
• Форма журнала учета периодического тестирования средств защиты информации
• Форма журнала проведения инструктажей по информационной безопасности
• Форма журнала учета мероприятий по контролю обеспечения защиты информации

Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:

• Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
• Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
• Приказ о классификации государственной информационной системы
• Форма акта классификации государственной информационной системы
• Приказ о вводе в эксплуатация государственной информационной системы

Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:

• Положение о защите и обработке персональных данных в составе:
• — Общие положения
• — Основные понятия и состав персональных данных
• — Общие принципы обработки персональных данных
• — Порядок сбора и хранения персональных данных
• — Процедура получения персональных данных
• — Передача персональных данных третьим лицам
• — Трансграничная передача персональных данных
• — Порядок уничтожения и блокирования персональных данных
• — Защита персональных данных
• — Согласие на обработку персональных данных
• — Организация доступа работников к персональным данным субъектов
• — Организация доступа субъекту персональных данных к его персональным данным
• — Права и обязанности оператора персональных данных
• — Права и обязанности работников, допущенных к обработке персональных данных
• — Права субъекта персональных данных
• — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
• Правила рассмотрения запросов субъектов персональных данных или их представителей
• Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
• Форма перечня лиц, допущенных к обработке персональных данных
• Политика в отношении обработки персональных данных
• Приказ об определении уровня защищенности персональных данных
• Форма акта определения уровня защищенности персональных данных
• Правила обработки персональных данных без использования средств автоматизации
• Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
• Форма акта уничтожения персональных данных
• Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
• Форма согласия субъекта на обработку его персональных данных
• Положение о системе видеонаблюдения
• Форма соглашения о неразглашении персональных данных
• Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав

Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств

• Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
• Форма перечень сотрудников, допущенных к работе с СКЗИ
• Инструкция по обеспечению безопасности эксплуатации СКЗИ
• Форма акта об уничтожении криптографических ключей и ключевых документов
• Схема организации криптографической защиты информации

Судебная практика: администратор информационной безопасности

Функции администратора

Задачей администратора ИБ является контроль за эффективностью защиты информации, использованием необходимых программно-технических средств обеспечения безопасности.

Функциями администратора являются:

1. Проверка соблюдения правил безопасности при работе с секретной информацией, обрабатываемой на компьютерах и с помощью электронно-вычислительного оборудования;

2. Учет персональных данных сотрудников, имеющих доступ в информационную систему (регистрация или удаление учетных записей пользователей); 

3. Разграничение доступа персонала к определенным видам информации, проведение необходимой корректировки; 

4. Выдача электронных и бумажных носителей с секретной информацией;

5. Обеспечение периодической смены паролей для входа в систему;

6. Контроль за соблюдением должностных инструкций, а также правил распечатки, регистрации и учета секретных документов и материалов;

7. Проверка информации, остающейся на жестких дисках ПК по окончании работы сотрудников, обеспечение актуальной антивирусной защиты;

8. Создание и выдача электронных ключей для входа в систему информационной безопасности и доступа к секретным сведениям в рамках установленных ограничений;

9. Проверка целостности пломб и защитных знаков на корпусе персональных электронных устройств. Наблюдение за их вскрытием и опечаткой в ходе настройки или ремонта.