Приложение № _
к приказу от «__» ___________ 2017 г. №_________
ИНСТРУКЦИЯ
пользователя информационных систем Полное наименование организации
-
Общие положения
Инструкция пользователя информационных систем Полное наименование организации (далее – ИС Краткое наименование организации) (далее – Инструкция) определяет функциональные обязанности, права и ответственность пользователей ИС Краткое наименование организации, в которых обрабатывается информация согласно утвержденному Перечню информационных систем и информации, обрабатываемой в Краткое наименование организации.
Настоящая Инструкция подготовлена в соответствии с требованиями нормативно-методических документов ФСТЭК России и ФСБ России по защите информации ограниченного доступа (в том числе персональных данных), не содержащей сведений, составляющих государственную тайну (далее – Информация), обрабатываемой с использованием средств автоматизации.
-
В настоящей Инструкции используются следующие понятия и определения:
Автоматизированное рабочее место (АРМ) – объект вычислительной техники, созданный на базе автономных средств вычислительной техники с необходимым для решения конкретных задач периферийным оборудованием.
Компрометация пароля – утрата доверия к тому, что используемый пароль обеспечивает безопасность персональных данных. К событиям, приводящим к компрометации пароля, относятся следующие события (включая, но не ограничиваясь) – несанкционированное сообщение пароля другому лицу; утеря бумажного или машинного носителя информации, на котором был записан пароль; запись пароля на бумажном, машинном, ином носителе информации, доступ к которому не контролируется.
Конфиденциальность информации – обязательное для соблюдения лицом, получившим доступ к информации, требование не допускать ее распространение без наличия иного законного основания.
-
Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Несанкционированный доступ к информации – доступ к информации с нарушением установленных прав доступа, приводящий к нарушению конфиденциальности персональных данных, к утечке, искажению, подделке, уничтожению, блокированию доступа к информации.
Средство защиты информации (СЗИ) – программные, программно-аппаратные, аппаратные средства, предназначенные и используемые для защиты информации в информационных системах.
Пользователь информационной системы – лицо, участвующее в функционировании информационной системы или использующее результаты ее функционирования.
Утеря пароля – события, приводящие к невозможности восстановления пароля в памяти лица, владеющего данным паролем.
Электронная вычислительная машина (ЭВМ) – персональный компьютер, предназначенный для автоматизации деятельности пользователей и входящий в состав информационной системы. В состав ЭВМ входят: системный блок, монитор, клавиатура, мышь, внешние устройства (локальный принтер, сканер и т.д.), программное обеспечение.
-
Обязанности пользователя
-
Пользователь ИС Краткое наименование организации обязан:
Знать и выполнять требования:
настоящей инструкции;
внутренних распорядительных документов по режиму обработки Информации, учету, хранению и пересылке носителей информации, обеспечению безопасности Информации;
нормативных правовых актов действующего законодательства в области защиты Информации.
Хранить в тайне Информацию, ставшую ему известной во время работы или иным путем, и пресекать действия других лиц, которые могут привести к разглашению Информации. О таких фактах, а также о других причинах или условиях возможной утечки Информации немедленно информировать Ответственного за защиту информации, Администратора информационной безопасности (далее – ИБ).
При определении информации, подлежащей защите, использовать «Перечень информационных систем и информации ограниченного доступа», утвержденный ….
Знать и выполнять правила работы со средствами защиты информации (средствами разграничения доступа), используемыми на персональных компьютерах в соответствии с инструкциями, требованиями, регламентирующими функционирование установленных средств защиты.
Хранить в тайне свой пароль доступа в ИС Краткое наименование организации, а также информацию о системе защиты, установленной в ИС Краткое наименование организации.
Немедленно ставить в известность Администратора ИБ:
в случае утери носителя с Информацией и/или при подозрении компрометации личных ключей и паролей;
нарушений целостности пломб (наклеек с защитной и идентификационной информацией, нарушении или несоответствии номеров печатей) на аппаратных средствах АРМ или иных фактов совершения попыток несанкционированного доступа к ИС Краткое наименование организации;
несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИС Краткое наименование организации.
-
В случае отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования узлов АРМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в ИС Краткое наименование организации программно-аппаратных средств защиты информации ставить в известность Администратора ИС.
Принимать меры по реагированию, в случае возникновения нештатных и аварийных ситуаций, с целью ликвидации их последствий, в пределах возложенных на него функций. Оперативно докладывать Администратору ИС и Администратору ИБ о случаях возникновения нештатных и аварийных ситуаций. В кратчайшие сроки принимать меры по восстановлению работоспособности элементов ИС. Предпринимаемые меры по возможности согласуются с вышестоящим руководством.
Для получения консультаций по вопросам информационной безопасности и по использованию СЗИ Пользователь обращается к администратору ИБ.
В случае увольнения Пользователь обязан вернуть все документы и материалы, относящиеся к ИС. В том числе: отчеты, инструкции, служебную переписку, списки сотрудника, компьютерные программы, а также все прочие материалы и копии названных материалов, имеющих какое-либо отношение к ИС Краткое наименование организации, полученные в течение срока работы.
Уборка помещений должна производиться под контролем Пользователя, имеющего доступ в помещение и постоянно в нем работающего.
Вынос технических средств ИС Краткое наименование организации, на которых проводилась обработка Информации, за пределы контролируемой зоны с целью их ремонта, замены и т. п. без согласования с Администратором ИБ и Ответственным за защиту информации запрещен. При принятии решения о выносе компьютеров, жесткие магнитные диски должны быть демонтированы. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с ней.
АРМ, используемые для работы с Информацией, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра монитора (экрана).
Пользователю категорически запрещается:
передавать кому бы то ни было, устно или письменно, Информацию, а также личные ключи и атрибуты доступа к ресурсам ИС Краткое наименование организации, открыто осуществлять ввод персонального пароля в присутствии других лиц;
использовать Информацию при подготовке открытых публикаций, докладов, научных работ и т.д.;
выполнять работы с документами, содержащими Информацию, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения Ответственного за защиту информации;
оставлять на рабочих столах, в столах и незакрытых сейфах документы, содержащие Информацию, а также оставлять незапертыми и не опечатанными после окончания работы сейфы, помещения и хранилища с документами, содержащими Информацию;
использовать компоненты программного и аппаратного обеспечения ИС Краткое наименование организации в неслужебных целях;
самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств АРМ или устанавливать дополнительно любые программные и аппаратные средства (в том числе отключать (блокировать) СЗИ);
осуществлять обработку Информации в присутствии посторонних (не допущенных к данной информации) лиц;
подключать к АРМ и корпоративной информационной сети личные внешние носители и мобильные устройства;
записывать и хранить Информацию на неучтенных носителях информации;
оставлять включенной без присмотра свое АРМ, не активизировав средства защиты информации от НСД (временную блокировку экрана);
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность Администратора ИБ.
обсуждать с посторонними лицами процедуры доступа к ИС Краткое наименование организации и обрабатываемую Информацию.
Без согласования с Администратором ИБ Пользователю запрещается:
производить установку программных средств;
самостоятельно устанавливать, тиражировать или модифицировать программное и аппаратное обеспечение;
изменять установленный алгоритм функционирования аттестованной ИС Краткое наименование организации;
запускать на рабочем месте файлы, не связанные с исполнением Пользователем служебных обязанностей;
открывать общий доступ к папкам на своей рабочей станции;
привлекать посторонних лиц для производства ремонта или настройки АРМ ИС Краткое наименование организации.
-
Права пользователя
-
Пользователь имеет право:
Требовать от своего непосредственного руководителя обеспечения организационно-технических условий, необходимых для исполнения обязанностей.
Получать доступ к информации, материалам, техническим средствам, помещениям, необходимых для надлежащего исполнения своих обязанностей.
-
Ответственность пользователя
Пользователь несет ответственность за соблюдение требований настоящей инструкции, а также нормативных документов в области защиты информации.
Пользователь несет ответственность за нарушения в работе аттестованной ИС Краткое наименование организации, вызванные его неправомерными действиями или неправильным использованием предоставленных прав, предусмотренных настоящей инструкцией.
Пользователь отвечает за правильность включения и выключения АРМ ИС Краткое наименование организации и всех действий при работе с ним.
За разглашение Информации, а также за нарушение порядка работы с документами или машинными носителями информации, сотрудники могут быть привлечены к дисциплинарной или иной предусмотренной законодательством ответственности.
Лист ознакомления
с Инструкцией пользователя информационных систем Полное наименование организации
№ п/п
|
ФИО
|
Должность
|
Дата
ознакомления
|
Подпись
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
