3. Посетители получают доступ только в соответствии с необходимостью и ознакамливаются с инструкциями по безопасности и по действиям в аварийных ситуациях.
4. Для защиты помещений, в которых расположены ТС ИСПДн, принимаются меры для минимизации воздействий огня, дыма, воды, пыли, взрыва, химических веществ, а также кражи.
5. ТС ИСПДн и размещенное совместно с ними вспомогательное оборудование подвергаются регулярным осмотрам с целью выявлений изменения конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.).
6. Обеспечивается размещение устройств вывода информации средств вычислительной техники, дисплеев АРМ ИСПДн таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.
7. Работникам Росреестра запрещается подключать к сети неучтенные информационно-телекоммуникационные средства.
3.3. Правила обеспечения безопасности ПДн при использовании съемных носителей ПДн
3.3.1. Правила обращения со съемными носителями ПДн
При обращении со съемными носителями ПДн выполняются следующие основные правила:
- носители ПДн учитываются и выдаются пользователям под роспись и защищены;
- носители ПДн, срок эксплуатации которых истек, уничтожаются в установленном порядке;
- для выноса носителей ПДн за пределы объектов Росреестра и территориальных органов Росреестра*(4) дается специальное разрешение, а факт выноса фиксируется в специальной базе данных;
- все носители ПДн хранятся в безопасном месте в соответствии с требованиями по их эксплуатации.
Ответственным за хранение, учет и выдачу съемных носителей ПДн является ответственный работник Отдела ИБ Росреестра, его территориального органа.
3.3.2. Порядок учета носителей информации
Все находящиеся на хранении и в обращении съемные носители ПДн учитываются в Журнале учета носителей ПДн. Форма Журнала приведена в приложении (см. Приложение З).
Каждый носитель, с записанными на нем ПДн, имеет этикетку, на которой указывается метка съемного носителя и гриф.
Пользователи ИСПДн для выполнения работ получают учтенный съемный носитель от ответственного работника Отдела ИБ Росреестра. При получении делаются соответствующие записи в Журнале учета.
После окончания работ пользователь ИСПДн сдает съемный носитель в помещение для хранения, о чем делается соответствующая запись в Журнале учета. При наличии личного сейфа у пользователя ИСПДн допускается хранение учтенных съемных носителей в личных сейфах, опечатанных печатью пользователя ИСПДн.
3.3.3. Порядок уничтожения носителей ПДн
Носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.
Уничтожение носителей ПДн осуществляется комиссией по уничтожению, назначенной руководителем Росреестра/территориального органа Росреестра по представлению руководителя Отдела ИБ (подразделения, отвечающее за безопасность информации).
Уничтожение магнитных, оптических, магнитооптических и электронных носителей информации производится путем их физического разрушения. Перед уничтожением носителя информация с него стирается (уничтожается), если это позволяют физические принципы работы носителя.
Бумажные носители данных уничтожаются на специальных бумагорезательных устройствах (шредерах).
Перед утилизацией оборудования, участвующего в обработке ПДн, работником подразделения ИТ осуществляется проверка всех его компонентов, включая носители информации (жесткие диски) на отсутствие ПДн и лицензированного программного обеспечения (ПО).
По результатам уничтожения комиссией составляется Акт уничтожения носителей ПДн, который хранится в помещении для хранения носителей ПДн, уничтоженные носители ПДн (утилизированное оборудование) снимается с материального учета.
3.4. Порядок и правила использования паролей пользователей
Организационное и техническое обеспечение смены, прекращения действия паролей в ИСПДн Росреестра, процессов генерации и использования возлагается в пределах своих полномочий на работников подразделения ИТ и администратора безопасности, сопровождающего механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
При использовании паролей в ИСПДн Росреестра выполняются следующие правила:
- пароли обязаны меняться с установленной периодичностью в соответствии с требованиями организационно-распорядительного документа Росреестра;
- пароль имеет не менее 6 символов и содержать буквенные и цифровые символы;
- обязательно применение индивидуальных паролей;
- применение групповых паролей не допускается;
- при создании пароля пользователя администратором предусмотривается его автоматическое изменение самим пользователем после первого же его входа в ИСПДн Росреестра;
- для предотвращения повторного использования паролей ведется их учет (запись) за предыдущие 12 месяцев;
- при вводе пароль не выдается на монитор компьютера в явном виде;
- пароли могут храниться только на АРМ владельца пароля в зашифрованном виде с использованием стойких алгоритмов шифрования. Файл с паролями хранится отдельно от системных приложений;
- рекомендуется использование возможностей операционной системы (ОС) по контролю за периодичностью смены (не реже 1 раза в 3 месяц), составу символов и недопущению повторений паролей.
Контроль за действиями пользователей ИСПДн Росреестра при работе с паролями возлагается на администратора безопасности в пределах своих полномочий.
При использовании паролей запрещается:
- использовать в качестве пароля свои имя, фамилию, дату рождения, имена родственников, кличку собаки и т. п., равно как и обычные слова;
- использовать в качестве пароля русское слово, введенное при нахождении клавиатуры в латинском регистре;
- использовать в качестве пароля легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения;
- использовать в качестве пароля "пустой" пароль, имя входа в систему, а также выбирать пароли, которые уже использовались ранее;
- использовать один и тот же пароль при загрузке АРМ и при работе в ИСПДн Росреестра;
- записывать пароль на неучтённых бумажных носителях информации;
- разглашать кому бы то ни было свои персональные пароли доступа.
Владельцы паролей ознакомливаются с перечисленными требованиями организации парольной защиты в Росреестре с проставлением собственноручно подписи в листе ознакомления с соответствующей документированной процедурой и предупреждаются об ответственности за использование паролей, не соответствующих установленным требованиям, а также за разглашение парольной информации.
3.5. Обязанности работников Росреестра, его территориальных органов при возникновении инцидентов ИБ
Настоящий раздел регламентирует взаимодействие подразделений Росреестра, его территориальных органов при возникновении нештатных ситуаций.
При возникновении инцидентов ИБ работник, обнаруживший инцидент, немедленно ставит в известность своего непосредственного руководителя и уполномоченного работника подразделения ИБ и в установленном порядке оформляет отчёт.