СОВЕТ ДЕПУТАТОВ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ «КЕЗСКОЕ»
«КЕЗ» МУНИЦИПАЛ КЫЛДЫТЭТЛЭН ЁРОС ДЕПУТАТ КЕНЕШЕЗ
РАСПОРЯЖЕНИЕ
от 01 июня 2011 года № 4
п. Кез
Об утверждении инструкций по организации
антивирусной и парольной защиты в
информационных системах персональных данных,
обрабатываемых в органах местного
самоуправления муниципального
образования «Кезское»
В целях обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных органов местного самоуправления муниципального образования «Кезское», руководствуясь Постановлением Правительства РФ от 17 ноября 2007 года № 781 « Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК от 5 февраля 2010 года № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
1. Утвердить Инструкцию об организации антивирусной защиты информационных систем персональных данных в органах местного самоуправления муниципального образования «Кезское» (приложение № 1).
2. Утвердить Инструкцию об организации парольной защиты информационных систем персональных данных в органах местного самоуправления муниципального образования «Кезское» (приложение № 2).
Глава муниципального
образования «Кезское» Г.И.Шатров
Приложение № 1
Инструкция по организации антивирусной защиты информационных систем персональных данных в органах местного самоуправления муниципального образования «Кезское»
1. Общие положения.
1.1. Настоящая Инструкция определяет требования к организации защиты информационных систем персональных данных от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников структурных подразделений, эксплуатирующих и сопровождающих информационные системы, за их выполнение.
1.2. Под компьютерным вирусом подразумевается программа, обязательным (необходимым) свойством которой является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Кроме того, данная программа не выполняет полезных действий или даже может приносить вред, без привлечения и информирования пользователя.
2. Антивирусные программные средства.
2.1. К использованию в структурных подразделениях допускаются только лицензионные антивирусные средства, поставляемые централизовано, либо приобретаемые самостоятельно структурными подразделениями, рекомендованные к применению сектором информатизации.
2.2. Установка и настройка средств антивирусного контроля на рабочих станциях и серверах осуществляется сотрудниками сектора информатизации.
2.3. При настройке параметров антивирусных средств для проверки файлов, записанных на жестких магнитных дисках пользовательских станций, должно быть предусмотрено:
- периодичность автоматической проверки и лечения всех файлов не реже одного раза в месяц;
- возможность проверки и лечения всех файлов или по определенному шаблону (в определенных каталогах) по мере необходимости.
2.4. При настройке параметров антивирусных средств, предназначенных для проверки файлов пользовательских станций, записанных на сменных машинных носителях информации должны выполняться следующие требования:
- первое обращение к сменному носителю информации должно производиться через антивирусное программное обеспечение;
- проверки (при необходимости лечение) должны проводиться в автоматическом режиме;
3. Действия по предотвращению проникновения вирусов в локальной вычислительной сети.
3.1. Установка (изменение) системного и прикладного программного обеспечения осуществляется сотрудниками сектора информатизации. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено сектором информатизации на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети), должна быть выполнена антивирусная проверка, лицом, установившим (изменившим) программное обеспечение.
3.2. Сотрудникам других подразделений запрещается самостоятельно устанавливать, модифицировать или удалять программы и их компоненты, а также запускать программы с принесенных дискет и компакт-дисков. При необходимости эти действия могут быть проведены с письменного разрешения руководства структурного подразделения по согласованию с сектором информатизации.
3.3. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, программы и их компоненты), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных и магнитооптических дисках, лентах, CD-ROM и т.п.).
3.4. Разархивирование и контроль входящей информации, поступающей по каналам электронной почты, осуществляется до передачи поступившей информации исполнителю. До проведения антивирусного контроля файлы запрещается копировать на сетевые диски и в архивы электронной почты. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой.
3.5. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
3.6. Проверку на вирусы информации, поступающей на съемных машинных носителях, производит пользователь рабочей станции, либо сектор информатизации.
3.7. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь обязан немедленно оповестить сектор информатизации.
4. Действия в случае обнаружения вируса
4.1. В случае обнаружения вируса на рабочих станциях сектор информатизации обязан:
- при необходимости остановить работу локальной вычислительной сети;
- сообщить начальнику структурного подразделения о факте заражения;
- провести лечение или уничтожение зараженных файлов;
- провести проверку всех рабочих станций пользователей, которые допущены к работе с данным сетевым ресурсом;
- установить владельца зараженного файла(ов);
- установить причины заражения вирусом и принять соответствующие меры по предотвращению подобных ситуаций;
4.2. В случае обнаружения файлов, зараженных компьютерными вирусами, пользователь обязан:
- приостановить работу;
- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов сектор информатизации и начальника структурного подразделения;
- не начинать работу до устранения причины заражения вирусом и выполнения антивирусных мероприятий;
- в случае обнаружения компьютерных вирусов на сменных машинных носителях информации клиента, вернуть носитель клиенту, без обработки, записанной на нем информации.
4.3. Сектором информатизации по фактам обнаружения зараженных вирусом файлов, по указанию руководства проводится служебное расследование, в ходе которого выясняются обстоятельства заражения информационной системы вирусами, устанавливаются виновные лица, определяется нанесенный ущерб. Результаты служебного расследования докладываются руководителю для принятия соответствующих мер.
5. Ответственность
5.1. Ответственность за антивирусный контроль в структурном подразделении, эксплуатирующем информационную систему, в соответствии с требованиями настоящей Инструкции возлагается на начальника сектора информатизации.
5.3. Сотрудники, являющиеся пользователями информационной системы несут ответственность за невыполнение требований п.п. 3.6, 4.2 настоящей Инструкции.
5.3. Периодический контроль за состоянием антивирусной защиты в инфориационной системе, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции сотрудниками, осуществляется сектором информатизации не реже одного раза в год.
Приложение № 2
Инструкция по организации парольной защиты информационных систем персональных данных в органах местного самоуправления муниципального образования «Кезское
1. Личные пароли доступа к информационной системе персональных данных выдаются пользователям администратором информационной системы, сектором информатизации или создаются самостоятельно.
2. Полная плановая смена паролей в информационных системах персональных данных проводится не реже одного раза в 3 месяца.
3. Правила формирования пароля:
пароль не может содержать имя учетной записи пользователя или какую-либо его часть.
пароль должен состоять не менее чем из 8 символов.
в пароле должны присутствовать символы трех категорий из числа следующих:
1)прописные буквы английского алфавита от A до Z;
2)строчные буквы английского алфавита от a до z;
3)десятичные цифры (от 0 до 9);
запрещается использовать в качестве пароля имя входа в систему, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе.
запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);
запрещается выбирать пароли, которые уже использовались ранее.
4. Правила ввода пароля:
ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан.
во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
5. Правила хранение пароля:
запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах.
запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
6. Лица, использующие паролирование, обязаны:
четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию.
своевременно сообщать администратору информационной системы об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.
сотрудники, являющиеся пользователями информационной системы несут ответственность за невыполнение требований настоящей Инструкции.
7. Ответственность за организацию контроля по парольной защите в структурных подразделениях, эксплуатирующих информационные системы, возлагается на начальника сектора информатизации.
8. Периодический контроль за соблюдением установленного порядка парольной защиты и выполнением требований настоящей Инструкции сотрудниками, осуществляется сектором информатизации не реже одного раза в год.
|
