Приложение 5
к приказу Отдела образования
администрации Сусанинского
муниципального района
Костромской области
от 18 января 2016 г. N 10
Правила
работы с информационными системами Отдела образования администрации Сусанинского муниципального района Костромской области
1. Общие положения
1.1. Настоящие Правила определяют основные принципы безопасной работы автоматизированных информационных систем Отдела образования и обработки конфиденциальной информации сотрудниками Отдела образования (Приложение 1.)
1.2. Целью данного документа является формализация требований, предъявляемых к сотрудникам, по обеспечению режима безопасности конфиденциальной информации, циркулирующей в информационных системах, в том числе при обработке персональных данных.
1.3. Правила разработаны в соответствии с требованиями Федеральных законов РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 № 152-ФЗ «О персональных данных», постановлений Правительства РФ от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и иных нормативных актов.
2. Основные термины и определения
Автоматизированное рабочее место пользователя (далее АРМ) - персональный компьютер с предустановленным системным, прикладным и антивирусным программным обеспечением (далее ПО), в том числе предназначенным для защиты информации ограниченного распространения.
Информационная система персональных данных (далее ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Информационные ресурсы - программное обеспечение, документы и массивы документов расположенные, хранящиеся и обрабатываемые в информационных системах;
Интернет - всемирная система объединённых компьютерных сетей, построенная на использовании протокола IP и маршрутизации пакетов данных (телекоммуникационная сеть общего пользования);
Пользователь - сотрудник, допущенный к работе на автоматизированном рабочем месте и использующий для исполнения своих должностных обязанностей средства вычислительной техники;
Персональный компьютер (далее ПК) - компьютер, с предустановленным системным, прикладным и антивирусным ПО и предназначенный для эксплуатации одним пользователем, то есть для личного использования;
Электронная почта - технология и предоставляемые ею услуги по пересылке и получению электронных сообщений (называемых «письма» или «электронные письма») по распределённой (в том числе глобальной) компьютерной сети;
Flash-карта - разновидность твердотельной полупроводниковой энергонезависимой перезаписываемой памяти (один из видов электронных носителей информации).
3. Общие правила работы на АРМ
3.1. В целях исполнения своих служебных обязанностей, сотруднику Отдела образования (пользователю) на период работы предоставляется автоматизированное рабочее место с предустановленным лицензионным системным, прикладным и антивирусным программным обеспечением, имеющим сертификаты соответствия по безопасности.
Для организации доступа пользователя к информационным ресурсам АИС его АРМ подключается к локальной вычислительной сети (далее ЛВС). Установку и настройку АРМ, а также подключение ПК к ЛВС выполняет Администратор безопасности.
3.2. Допуск пользователя к АРМ осуществляется по устной заявке заведующего Отделом образования (либо его заместителя) на основании утвержденного Перечня должностей, имеющих право доступа к обработке конфиденциальной информации, в том числе персональных данных.
Доступ пользователя к работе на АРМ осуществляется на основании индивидуальной учетной записи (Логин + Пароль). Пользователь обязан использовать пароль в соответствии со следующими требованиями:
- длина пароля должна быть не менее 8 символов;
- пароль должен состоять из строчных и прописных букв, а также небуквенных символов (т.е. цифр, знаков пунктуации, специальных символов);
- пароль не должен быть легко угадываемым (не должен включать повторяющуюся последовательность каких-либо символов (например, "11111111", "абвгдеё" и т.п.), пароль не должен включать в себя легко подбираемые сочетания символов (имена, фамилии, даты рождения знакомых, наименования городов и улиц, клички домашних животных и т.п.), а также общепринятые сокращения (ЭВМ, ЛВС и т.п.).
3.3. Пользователь обеспечивает безопасное хранение пароля, исключающее возможность его утери или разглашения. Срок использования пароля составляет не более 90 дней. При смене пароля новое значение должно отличаться от предыдущего не менее чем в трёх-четырёх позициях.
3.4. При необходимости оставить рабочее место, даже на короткое время, пользователь должен заблокировать доступ к АРМ, нажав одновременно Ctrl + Alt + Delete, и принять иные меры по ограничению доступа к отображаемой на экране монитора информации
3.5. При использовании телекоммуникационных возможностей сети общего пользования Интернет пользователи обязаны выполнять следующие требования:
- использовать ресурсы Интернет только для выполнения своих служебных обязанностей;
- не посещать ресурсы Интернет, содержащие материалы противозаконного, экстремистского или неэтичного характера, а также использовать доступ к социальным сетям Интернет и развлекательным сайтам;
- не размещать в сети Интернет информацию служебного характера, о её сотрудниках и решаемых задачах, если это не связано с выполнением служебных обязанностей; - не использовать Интернет для несанкционированной передачи (выгрузки) или получения (загрузки) видео-, аудио- и информационных материалов, защищенных авторским правом;
3.6. При работе с электронной почтой пользователи должны соблюдать следующие требования:
- запрещается использовать возможности электронной почты для отправки сообщений противозаконного (террористического, экстремистского или враждебного характера), а также содержащего в себе информацию неэтичного содержания;
- при получении электронных сообщений из незнакомого источника и/или сомнительного содержания не следует открывать файлы, вложенные в сообщение, так как они с большой долей вероятности могут содержать вирусы. Такие сообщения необходимо удалять;
-не отвечать на подозрительные письма и, тем более, сообщать любые данные о себе и сотрудниках.
3.7. По окончании рабочего времени при отсутствии служебной необходимости пользователь обесточивает АРМ и другую оргтехнику во избежание выхода её из строя и в целях обеспечения противопожарной безопасности.
3.8. В случае подозрения на компрометацию пароля доступа необходимо немедленно изменить пароль и проинформировать об этом своего непосредственного руководителя.
В процессе эксплуатации АРМ пользователям ЗАПРЕЩАЕТСЯ:
3.9. Открывать корпус системного блока и вносить изменения в конфигурацию ПК; 3.10. Без получения санкции руководителя и администратора безопасности изменять настройки программного обеспечения и параметры доступа к информационным ресурсам; 3.11. Отключать и изменять параметры настройки в установленное антивирусное программное обеспечение и иные средства защиты информации;
3.12. Подключать к АРМ неучтенные внешние запоминающие устройства (активное сетевое оборудование, незарегистрированные Flash-карты. НЖМД, смартфоны, фотоаппараты и т.д.), если это не связано с исполнением должностных обязанностей сотрудника;
3.13. Умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты для организации несанкционированного доступа к обрабатываемым информационным ресурсам. При обнаружении такого рода ошибок необходимо информировать своего непосредственного руководителя и администратора безопасности;
3.14. Осуществлять действия направленные на преодоление систем безопасности, получение несанкционированного доступа к ресурсам информационной сети и перехват информации, циркулирующей в ИС;
3.15. Оставлять оборудование АРМ, переносные компьютеры и средства хранения информации без личного присмотра, в случаях, если это может привести к их краже;
При наличии риска хищения ПК и (или) средств хранения информации, необходимо принять меры по их минимизации (например, убирать переносной компьютер на обеденный перерыв и после завершения рабочего дня в закрывающийся на ключ шкаф, не оставлять незакрытым помещение, в котором находится оборудование информационной системы, использовать замки для переносных компьютеров);
3.16. Осуществлять обработку конфиденциальной информации на ПК, не оснащенном принятыми в Отделе образования средствами защиты информации, а также в присутствии лиц, не имеющих права доступа к данной информации, если при этом указанные лица могут ознакомиться с обрабатываемой информацией;
3.17. Записывать и хранить конфиденциальную информацию на неучтённых носителях информации (Flash-карта, CD-диск, носимый HDD и т.п), а также оставлять без личного присмотра на рабочем месте или где бы то ни было носители информации и распечатки, содержащие подобную информацию;
3.18. Допускать к работе на ПК лиц, не имеющих прав доступа к информационным ресурсам.
4. Порядок работы с информационной системой
4.1. При работе с программными и техническими средствами, входящими в состав АРМ и информационной системы, пользователь обязан выполнять установленные правила их эксплуатации. За неисполнение установленных правил он несёт персональную ответственность.
4.2. Отдел образования оставляет за собой право протоколировать и контролировать действия сотрудников при обработке конфиденциальной информации обрабатываемой в информационной системе.
4.3. Пользователи не имеют права предпринимать попыток получения доступа к закрытым информационным ресурсам, не получив официального разрешения на доступ к ним.
4.4. Пользователи не должны разглашать сведения о содержании информации, ставшей известной им в ходе выполнения должностных обязанностей, а также о процедурах и технической реализации защиты информации, принятых в департаменте.
4.5. В целях повышения эффективности служебной деятельности для обмена открытыми информационными ресурсами (обновления программных продуктов, инструкции, правила и т.п.) между пользователями могут использоваться съёмные материальные носители информации (Flash-карты, переносные жесткие диски, иные устройства записи и чтения), зарегистрированные и учтённые по Журналу учёта съемных носителей информации.
4.6. Выдача сотрудникам и учёт материальных носителей информации осуществляется сотрудником, ответственным за организацию работы по защите персональных данных, по Журналу учёта съёмных носителей информации.
5. Ответственность за нарушение порядка
5.1. Ответственность за неисполнение требований настоящей Инструкции возлагается на всех сотрудников, являющихся пользователями информационной системы департамента.
5.2. Сотрудник, нарушивший требования данной Инструкции, может быть подвергнут дисциплинарному наказанию в соответствии с законодательством Российской Федерации (уголовный, налоговый, гражданский, трудовой Кодексы и иное законодательство).
Приложения: 1. Перечень информационных систем персональных данных,
используемых в Отделе образования администрации Сусанинского муниципального района Костромской области
2. Инструкция администратора безопасности АИС.
3. Инструкция по проведению антивирусного контроля на автоматизированном рабочем месте (АРМ).
4. Инструкция по резервному копированию информации и восстановлению работоспособности ИС
Приложение 1
к правилам работы
с информационными системами
Отдела образования
Перечень информационных систем персональных данных,
используемых в Отделе образования
администрации Сусанинского муниципального района Костромской области
1. Программа "1С:Предприятие - КАМИН: расчет заработной платы для бюджетных учреждений".
Приложение 2
к правилам работы
с информационными системами
Отдела образования
Инструкция администратора безопасности АИС
1. Общие положения
1.1. Настоящая Инструкция разработана на основании действующих нормативных документов и определяет общие функции, права и обязанности администратора безопасности по вопросам обеспечения информационной безопасности при обработке персональных данных и иной конфиденциальной информации с использованием средств автоматизации, входящих в состав автоматизированных информационных систем (далее – АИС)
1.2. Администратор безопасности (далее - Администратор) в своей работе руководствуется настоящей Инструкцией, внутренними нормативными документами и требованиями законодательства в сфере защиты информации ограниченного доступа.
1.3. Администратор безопасности назначается из числа сотрудников Оператора персональных данных, имеющих соответствующую квалификацию и опыт работы с оборудованием и программным обеспечением информационных систем. Администратор безопасности является ответственным должностным лицом организации и обеспечивает правильное использование и функционирование установленного системного и прикладного программного обеспечения, средств технической защиты информации (далее по тексту - СЗИ) от несанкционированного доступа (далее по тексту - НСД), а также поддержание достигнутого уровня защиты АИС и её ресурсов на этапах эксплуатации и модернизации.
1.4. Администратор безопасности имеет рабочее место, размещаемое в выделенном помещении, оборудованном средствами физической защиты в которое исключается несанкционированный доступ посторонних лиц. Рабочее место Администратора подключается к ЛВС, оборудуется средствами удаленного контроля используемых информационных ресурсов и местами хранения конфиденциальных документов.
1.5. Требования Администратора безопасности к сотрудникам, связанные с выполнением ими своих должностных обязанностей, обязательны для исполнения всеми пользователями АИС.
1.6. Администратор безопасности осуществляет плановый и периодический контроль действий пользователей при работе в АИС, определяет текущее состояние и поддерживает установленный уровень защиты конфиденциальной информации.
2. Администратор безопасности в своей деятельности имеет право:
2.1. Знать и выполнять требования действующих в организации нормативных и руководящих документов по защите информации, а также внутренних Инструкций регламентирующих работу с конфиденциальной информацией.
2.2. Оказывать содействие в установке и настройке автоматизированных рабочих мест сотрудников Отдела образования, а также осуществлять сопровождение работы установленного системного и прикладного программного обеспечения и средств защиты информации.
2.3. Организовывать доступ пользователей к ресурсам автоматизированной информационной системы в соответствии с Перечнем должностей, имеющих право доступа к обработке конфиденциальной информации, на основании письменных заявок, утверждаемых руководителем организации.
2.4. Уточнять в установленном порядке обязанности пользователей ИС при обработке на автоматизированном рабочем месте (АРМ) конфиденциальных сведений, в том числе персональных данных, являющихся объектами защиты.
2.5. Осуществлять резервное копирование критичных для работы Отдела образования информационных ресурсов, обеспечивая их защиту и целостность.
2.6. Принимать участие в реализации плановых мероприятий по защите конфиденциальной информации, в том числе персональных данных, циркулирующих в АИС.
2.7. Оказывать помощь пользователям ИСПДн в части консультирования по вопросам введенного режима защиты персональных данных.
2.8. Анализировать состояние принятых в организации мер защиты конфиденциальной информации, в том числе выявлять попытки несанкционированного доступа к ресурсам ИС и совершенствовать методы защиты от угроз информационной безопасности.
2.9. Вести журнал учёта событий, регистрируемых средствами защиты, с целью выявления возможных нарушений или попыток несанкционированного доступа.
2.10. Своевременно вносить коррективы в список пользователей информационных ресурсов и матрицу доступов к персональным данным при приеме на работу и увольнении сотрудников. Удалять учётные записи пользователей ИС на доступ к информационным ресурсам в течение суток после подписания Обходного листа либо получения информации от руководителей подразделений об увольнении сотрудника.
2.11. В соответствии с планом внутренних проверок состояния обработки и защиты конфиденциальной информации в том числе персональных данных, на регулярной основе осуществлять контроль:
- за соблюдением сотрудниками требований действующих нормативных и руководящих документов, регламентирующих обработку конфиденциальной информации; - за осуществлением неизменности и целостности программной среды АИС (системное и прикладное ПО), средств антивирусной защиты и межсетевого экранирования, их параметров и режимов;
- за наличием и возможным использованием на автоматизированных рабочих местах вредоносных программ и иного нелицензионного ПО, не связанного с выполнением функциональных задач;
- за соблюдением пользователями принятого в организации режима парольной политики и порядка использования учётных записей на доступ к информационным ресурсам;
- за состоянием допуска пользователей к работе с ресурсами АИС и изменением прав доступа к защищаемой конфиденциальной информации, в том числе персональным данным;
- за выполнением правил учёта, использования и хранения электронных носителей конфиденциальной информации;
- за соблюдением сроков смены паролей доступа к ресурсам АИС и выполнением рекомендаций по выбору наиболее безопасных Паролей;
- за поддержанием установленного порядка обновления антивирусных баз и антивирусной защиты информационных ресурсов;
- за наличием и целостностью пломб (печатей, специальных защитных знаков) на корпусах системных блоков АРМ, обрабатывающих информацию ограниченного доступа; - за сроками действия сертификатов и лицензий эксплуатируемого оборудования и ПО;
2.12. В случаях отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты, принимать меры по своевременному восстановлению и выявлению причин, приведших к отказу работоспособности, а также недопущения доступа посторонних лиц к конфиденциальной информации.
2.13. Периодически (не реже одного раза в полугодие) представлять руководству организации отчёт о состоянии защиты конфиденциальной информации, о нештатных ситуациях на объектах АИС, о работе сотрудников в сетях общего пользования, в том числе в Интернет, и допущенных пользователями нарушениях требований по защите информации, предусмотренных руководящими документами.
|
