Приложение № 1
к приказу управления ГСЗН
Кировской области
от 30 декабря 2010 г. № 165
Инструкция
о порядке работы при подключении к сетям общего пользования и международного обмена (Интернет)
Общие положения
Настоящая Инструкция определяет требования к организации доступа к сетям общего пользования и международного обмена (Интернет) пользователей, участвующих в обработке персональных данных, от несанкционированной передачи персональных данных и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих информационные системы персональных данных (далее – ИСПДн), за их выполнение.
Сетевые сервисы
Сервис – совокупность аппаратных и программных средств, обеспечивающих выполнение функций, направленных на предоставление информационных услуг, информационных или вычислительных ресурсов или обеспечение работоспособности других сервисов.
Политика в области определения списка сервисов, поддерживаемых в корпоративной сети, выбора технических и программных средств их реализации и прочие вопросы, связанные с созданием, поддержкой, развитием и закрытием сервиса целиком определяется лицом, ответственным за информационную безопасность управления ГСЗН Кировской области.
Сервис в сети управления ГСЗН Кировской области может быть создан по инициативе руководителя или лица, ответственного за информационную безопасность управления ГСЗН Кировской области, при наличии согласования с администратором безопасности ИСПДн.
Сотрудникам запрещается создавать на включенных в корпоративную сеть компьютерах и серверах сервис, доступный для внешних пользователей, или из внешних сетей, без согласования с администратором безопасности ИСПДн.
Каждому создаваемому сервису распоряжением лица, ответственного за информационную безопасность, должен быть назначен специалист, ответственный за его эксплуатацию (далее - администратор сервиса).
Администратор сервиса обязан выполнять указания и учитывать рекомендации администратора безопасности ИСПДн управления ГСЗН Кировской области в вопросах безопасности ИСПДн.
Администратор сервиса определяет порядок его использования, разрабатывает и своевременно обновляет инструкции и другую необходимую документацию для пользователей данного сервиса.
При обнаружении сервиса, не имеющего данных об администраторе и не зарегистрированном у администратора безопасности ИСПДн, администратор безопасности ИСПДн принимает меры по ликвидации такого сервиса.
Любые действия, связанные с поддержанием работоспособности сервиса, его модернизацию или иное изменение, создание нового и удаление старого сервиса вправе производить только администратор сервиса или администратор безопасности ИСПДн.
Удаленный доступ
Администратору сервиса (сервера) удаленного доступа запрещается устанавливать сервера и/или сервисы удаленного доступа и сетевые сервисы, доступные за пределами ЛВС, без согласования с лицом, ответственным за информационную безопасность управления ГСЗН Кировской области.
При удаленном доступе разрешается пользоваться только услугами сети Интернет и электронной почтой.
Администратору сервиса (сервера) удаленного доступа запрещается предоставлять через сеть Интернет доступ к информации, располагающейся на рабочих станциях и серверах, входящих в сегмент ЛВС, в котором осуществляется обработка конфиденциальной (защищаемой) информации.
Контроль за сервисами удаленного доступа осуществляет администратор безопасности ИСПДн, который определяет необходимый объем мер и мероприятий по обеспечению безопасности ИСПДн и несет ответственность за все установленные сервисы удаленного доступа.
Сервер удаленного доступа считается рабочей станцией общего доступа и администратор сервиса (сервера) удаленного доступа несет ответственность за эксплуатацию сервера удаленного доступа и за всех пользователей, работающих на данном сервисе.
Администратор сервисов (серверов) удаленного доступа обязан по требованию лица, ответственного за информационную безопасность управления ГСЗН Кировской области, представлять список лиц (учетных записей), получающих доступ, с указанием времени сеансов удаленного доступа для каждого лица.
Администратору сервисов (серверов) удаленного доступа запрещается предоставлять и использовать услуги удаленного доступа без принятия мер по обеспечению защиты от несанкционированного доступа (далее - НСД) в ЛВС через сервер удаленного доступа.
Лицу, ответственному за информационную безопасность центра занятости населения по требованию администратора безопасности ИСПДн управления ГСЗН Кировской области предоставлять информацию о выполнении технических мер по защите доступа к ЛВС управления ГСЗН Кировской области от всех имеющихся в наличии серверов удаленного доступа, а также компьютерах и серверах, имеющих установленные сетевые сервисы, доступные за пределами ЛВС управления ГСЗН Кировской области.
Порядок предоставления внутренних IP адресов
Внутренние IP адреса предоставляются по заявке директора либо лица, ответственного за информационную безопасность центра занятости населения, направленной по адресу admin@trudkirov.ru в соответствии с правилами присвоения и регистрации имен рабочих станций в ЛВС управления ГСЗН Кировской области.
Заявки рассматриваются администраторам безопасности ИСПДн управления ГСЗН Кировской в индивидуальном порядке и могут быть отклонены. Внутренние IP адреса могут быть отключены или отозваны в случае обнаружения связанных с ними злоупотреблений или нарушений на установленный период или до устранения причин, повлекших за собой отключение IP адреса.
Работа с электронной почтой
Адреса электронной почты предоставляются по заявке директора либо лица, ответственного за информационную безопасность центра занятости населения, направленной по адресу admin@trudkirov.ru. в соответствии с правилами регистрации учетных записей в корпоративной почтовой системе управления ГСЗН Кировской области. В заявке должны быть указаны реквизиты (ГУ ЦЗН, Ф.И.О., номер кабинета, контактный телефон) лица, ответственного за данную учетную запись, предлагаемое имя учетной записи и псевдонимы.
Имя учетной записи может иметь длину до 8 символов и содержать английские строчные буквы а-z и цифры 0-9. Псевдонимы могут иметь длину до 20 символов и содержать английские строчные буквы а-z и цифры 0-9, и не более одного символа: «_» (подчеркивание) или «-» (тире) или «.» (точка). Учетная запись и псевдонимы должны содержать не менее 3 букв в начале.
Лицу, ответственному за информационную безопасность центра занятости населения, организацию передачи корпоративной электронной почты разрешается только через SMTP сервера управления ГСЗН Кировской области.
Пользователям корпоративной почтовой системы ГСЗН Кировской области запрещается:
передача конфиденциальной (защищаемой) информации в открытом, не зашифрованном виде, при этом шифрование должно осуществляться средством защиты, имеющим действующий сертификат безопасности ФСБ России;
отправка личной корреспонденции с коллективных учетных записей корпоративной электронной почты а также через внешние SMTP сервера;
передача электронной почты от чужого имени;
рассылка не служебной корреспонденции.
Работа в сети Интернет
Лицу, ответственному за информационную безопасность центра занятости населения, использующему подключение к сетям общего пользования по технологии широкополосного доступа ADSL оператора ООО «Волгателеком», и администратору безопасности ИСПДн управления организовать доступ к информационным ресурсам сети Интернет через сервер доступа (шлюз) управления.
Подключение к сети Интернет центров занятости населения по технологии ADSL разрешается только через «региональное подключение» оператора ООО «ВолгаТелекома».
Лицу, ответственному за информационную безопасность центра занятости населения, организовать доступ к информационным ресурсам сети Интернет по принципу «запрещено все что не разрешено».
Доступ к необходимым информационным ресурсам предоставляется по заявке директора либо лица, ответственного за информационную безопасность центра занятости населения или начальника отдела управления на имя лица, ответственного за информационную безопасность управления ГСЗН Кировской области. Оформляется заявка с указанием адреса ресурса.
Запрещается работа в сети Интернет для неавторизованных сотрудников.
Пользователям запрещается использование сети Интернет в неслужебных целях.
Разрешается использовать для служебных целей сервис (службу) обмена мгновенными сообщениями (ICQ).
Устанавливаются ограничения на получение информации из сети Интернет:
по всем каналам связи – запрет на получение файлов звуковых и видео-форматов;
на все каналы связи – ограничение на размер получаемого файла до 10 Мбайт.
Изменение ограничений рассматривается по заявкам по адресу admin@trudkirov.ru . В заявке следует указать центр занятости населения, имя сотрудника, URL обращения, цель получения информации. Заявки рассматриваются лицом, ответственным за информационную безопасность управления ГСЗН Кировской области, в индивидуальном порядке и могут быть отклонены.
Нарушение правил работы в сети Интернет (пункт 8 настоящей инструкции) влечет за собой отключение доступа данной учетной записи к сети Интернет вплоть до разбора инцидента, анализа преднамеренности действий сотрудника, наступивших и возможных последствий и решения начальника управления ГСЗН Кировской области об ответственности нарушителя и необходимости возобновления доступа к сети Интернет.
Часы работы в ЛВС и Интернет
Доступ в сеть Интернет разрешен в период с 8:00 часов до 18:30 часов для сотрудников управления ГСЗН Кировской области, для сотрудников центров занятости населения доступ в сеть Интернет разрешен в период с 7:30 часов до 20:00 часов. В нерабочее время доступ в сеть Интернет запрещен для всех сотрудников, за исключением клиентов сервисов удаленного доступа. Работа в нерабочее время также разрешается для группы серверов и рабочих станций, список которых должен быть согласован с лицом, ответственным за информационную безопасность управления ГСЗН Кировской области, с указанием причины необходимости доступа в не рабочее время.
Лицо, ответственное за информационную безопасность центра занятости населения, предоставляет списки серверов и рабочих станций, для которых требуется функционирование и доступ в сеть Интернет в нерабочее время. Заявки на добавление новых серверов и рабочих станций в список доступа в нерабочее время подаются по электронной почте на адрес admin@trudkirov.ru . Заявки рассматриваются лицом, ответственным за информационную безопасность управления ГСЗН Кировской области, в индивидуальном порядке и могут быть отклонены.
Нарушения правил работы в сети Интернет
Перечень нарушений правил работы в сети Интернет:
не согласованная с администратором безопасности ИСПДн смена имен рабочей станции и/или домена и/или рабочей группы;
обход/попытка обхода систем контроля доступа к сети Интернет, учетных систем получаемого трафика, их повреждение или дезинформация;
предоставление конфиденциальной информации для общего доступа;
распространение через сеть Интернет информации, запрещенной действующим законодательством или не соответствующей морально-этическим нормам ее получателей, а также рассылка обманных, беспокоящих или угрожающих сообщений и рассылка вирусов, незапрашиваемых сообщений (спама), за исключением служебных сообщений от администратора безопасности ИСПДн;
установка и/или удаление программного обеспечения без согласования с администраторами безопасности ИСПДн.
Публикация служебной информации
Запрещается публиковать конфиденциальную (защищаемую) информацию согласно Перечню и категориям персональных данных, обрабатываемых в информационных системах персональных данных управления ГСЗН Кировской области, и Перечню конфиденциальной информации и соответствующих перечней центров занятости населения, информацию, касающуюся устройства и архитектуры ЛВС управления и центров занятости населения, в том числе схемы ЛВС и ее сегментов, точек подключения, информацию о назначенных рабочим станциям IP адресах и именах, используемых на серверах, средствах удаленного доступа и т.п. без разрешения лица, ответственного за информационную безопасность управления ГСЗН Кировской области.
Ответственность
Контроль за соблюдением настоящих правил возлагается на администратора безопасности ИСПДн управления и лицо, ответственное за информационную безопасность центра занятости населения. В случае выявления нарушений администратор безопасности ИСПДн, либо лицо, ответственное за информационную безопасность центра занятости населения, информирует лицо, ответственное за информационную безопасность управления, или директора цента занятости населения для принятия решения по расследованию инцидента и принятию мер.
Принятые в документе сокращения:
ИСПДн – информационная система персональных данных
ЛВС – локальная вычислительная сеть.
|
