3.1. Знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты информации, обрабатываемой в ИСПДн Росреестра.
3.2. Участвовать в установке, настройке и сопровождении программных средств защиты информации.
3.3. Участвовать в приемке новых программных средств обработки информации.
3.4. Обеспечить доступ к защищаемой информации пользователям ИСПДн Росреестра согласно их правам доступа при получении оформленного соответствующим образом разрешения (заявки).
3.5. Уточнять в установленном порядке обязанности пользователей ИСПДн Росреестра при обработке ПДн.
3.6. Вести контроль осуществления резервного копирования информации.
3.7. Анализировать состояние защиты ИСПДн Росреестра.
3.8. Контролировать правильность функционирования средств защиты информации и неизменность их настроек.
3.9. Контролировать физическую сохранность технических средств обработки информации.
3.10. Контролировать исполнение пользователями ИСПДн Росреестра введенного режима безопасности, а также правильность работы с элементами ИСПДн и средствами защиты информации.
3.11. Контролировать исполнение пользователями правил парольной политики.
3.12. Периодически анализировать журнал учета событий, регистрируемых средствами защиты, с целью контроля действий пользователей и выявления возможных нарушений.
3.13. Не допускать установку, использование, хранение и размножение в ИСПДн Росреестра программных средств, не связанных с выполнением функциональных задач.
3.14. Осуществлять периодические контрольные проверки автоматизированных рабочих мест (АРМ) ИСПДн Росреестра.
3.15. Оказывать помощь пользователям ИСПДн Росреестра в части применения средств защиты и консультировать по вопросам введенного режима защиты.
3.16. Периодически представлять руководству отчёт о состоянии защиты ИСПДн Росреестра и о нештатных ситуациях и допущенных пользователями нарушениях установленных требований по защите информации.
3.17. В случае отказа работоспособности технических средств и программного обеспечения ИСПДн Росреестра, в том числе средств защиты, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
3.18. В случае выявления нарушений режима безопасности информации (ПДн), а также возникновения внештатных и аварийных ситуаций принимать необходимые меры с целью ликвидации их последствий.
3.19. Принимать участие в проведении работ по оценке соответствия ИСПДн Росреестра требованиям безопасности информации*.
4. Права администратора безопасности
Администратор безопасности имеет право:
4.1. Отключать от ресурсов ИСПДн Росреестра работников, осуществивших НСД к защищаемым ресурсам ИСПДн или нарушивших другие требования по ИБ.
4.2. Давать работникам обязательные для исполнения указания и рекомендации по вопросам ИБ.
4.3. Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ИСПДн Росреестра.
4.4. Организовывать и участвовать в любых проверках по использованию пользователями Росреестра и территориальных органов Росреестра телекоммуникационных ресурсов.
4.5. Осуществлять контроль информационных потоков, генерируемых пользователями ИСПДн Росреестра при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.
4.6. Осуществлять взаимодействие с руководством и персоналом Росреестра и территориальных органов Росреестра по вопросам обеспечения ИБ.
4.7. Запрещать устанавливать на серверах и автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.
4.8. Запрашивать и получать от начальников и специалистов структурных подразделений Росреестра и территориальных органов Росреестра информацию и материалы, необходимые для организации своей работы.
4.9. Вносить на рассмотрение руководства предложения по улучшению состояния ИБ ПДн, обрабатываемых в Росреестре и территориальных органах Росреестра.
5. Ответственность администратора безопасности
Администратор безопасности несет ответственность**:
5.1. За организацию защиты информационных ресурсов и технических средств ИСПДн Росреестра.
5.2. За качество проводимых работ по контролю действий пользователей и администраторов ИСПДн, состояние и поддержание необходимого уровня защиты информационных и технических ресурсов ИСПДн Росреестра.
5.3. За разглашение сведений ограниченного доступа (коммерческая тайна, персональные данные и иная защищаемая информация), ставших известными ему по роду работы.
6. Действия администратора безопасности при обнаружении попыток НСД
6.1. К попыткам НСД относятся:
- сеансы работы с телекоммуникационными ресурсами Росреестра и территориальных органов Росреестра незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции доступа к определенным данным или манипулирования ими;
- действия третьего лица, пытающегося получить доступ (или получившего доступ) к информационным ресурсам ИСПДн Росреестра с использованием учетной записи администратора или другого пользователя ИСПДн, в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.
6.2. При выявлении факта/попытки НСД администратор безопасности обязан:
- прекратить доступ к информационным ресурсам со стороны выявленного участка НСД:
- доложить руководству подразделения ИБ о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;
- известить начальника структурного подразделения Росреестра и/или территориальных органов Росреестра, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;
- проанализировать характер НСД;
- по решению руководства подразделения ИБ осуществить действия по выяснению причин, приведших к НСД;
- предпринять меры по предотвращению подобных инцидентов в дальнейшем.
──────────────────────────────
* Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", постановление Правительства Российской Федерации от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативно-правовые акты и методические документы ФСТЭК России и ФСБ России по защите персональных данных при их обработке в информационных системах персональных данных.
** Работники организации и территориальных органов, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
Приложение Д