Распоряжение Администрации г. Ижевска УР от 10.07.2009 N 248 "Об утверждении Положения о защите конфиденциальной информации в автоматизированных информационных системах Администрации города Ижевска"

В соответствии с Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", руководствуясь Уставом г. Ижевска:

1. Утвердить прилагаемое Положение об обработке и о защите конфиденциальной информации в автоматизированных информационных системах Администрации города Ижевска (далее - Положение).

2. Заместителям главы Администрации г. Ижевска, Руководителю аппарата Администрации г. Ижевска, руководителям территориальных и отраслевых (функциональных) органов - структурных подразделений Администрации г. Ижевска (далее - структурные подразделения) принять меры к исполнению требований Положения.

3. Руководителям структурных подразделений, осуществляющим на момент утверждения настоящего Положения автоматизированную обработку конфиденциальной информации (в том числе персональных данных), в срок до 01.09.2009 внести проекты распоряжений Администрации г. Ижевска об обработке конфиденциальной информации в автоматизированных информационных системах в соответствии с п. 6.1 Положения.

4. Контроль за исполнением распоряжения возложить на заместителя главы Администрации г. Ижевска Лагунову Т.П.

И. о. Главы Администрации г. Ижевска

М.Ю. Ушнурцев

Положение
об обработке и о защите конфиденциальной информации в
автоматизированных информационных системах Администрации
города Ижевска
(утв. распоряжением Администрации г. Ижевска от 10 июля 2009 г. N 248)

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных", национальным стандартом Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 г. N 282.

1.2. Настоящее Положение определяет порядок наделения полномочиями по обработке конфиденциальной информации (далее - ОКИ), организационную систему обработки и защиты конфиденциальной информации (далее - ЗКИ), в том числе персональных данных в автоматизированных информационных системах (далее - АИС) Администрации города Ижевска (далее - Администрация города), территориальных органов - администраций районов города и отраслевых (функциональных) органов - структурных подразделений Администрации г. Ижевска, наделенных статусом юридического лица, отраслевых (функциональных) органов - структурных подразделений Администрации г. Ижевска, не наделенных статусом юридического лица (далее - Структурные подразделения, при необходимости выделения особенностей, соответственно, Структурные подразделения, наделенные статусом юридического лица, Структурные подразделения, не наделенные статусом юридического лица), основные направления и методы ЗКИ в АИС Администрации города и ее Структурных подразделений (далее - АИС Администрации), обязанности и ответственность пользователей и должностных лиц при ОКИ в АИС Администрации.

1.3. Настоящее Положение не распространяется на вопросы защиты информации, содержащей государственную тайну.

1.4. В Положении используются термины и определения, установленные в актах, указанных в п. 1.1 настоящего документа.

1.5. В дополнение к установленным в актах, указанных в п. 1.1 настоящего документа, для целей настоящего Положения используются следующие термины и определения:

обработка конфиденциальной информации - действия (операции) с конфиденциальной информацией, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание (персональных данных), блокирование, уничтожение;

оператор обработки конфиденциальной информации - Администрация г. Ижевска, Структурное подразделение, наделенное статусом юридического лица, организующие и (или) осуществляющие обработку конфиденциальной информации, а также определяющие цели и содержание обработки конфиденциальной информации.

2. Цели обработки и защиты конфиденциальной информации

2.1. Основной целью ОКИ в АИС Администрации является повышение эффективности исполнения Администрацией города, ее Структурными подразделениями установленных законодательством полномочий.

2.2. Основными целями ЗКИ в АИС Администрации являются:

предотвращение неконтролируемого распространения конфиденциальной информации в результате ее разглашения сотрудниками или получения несанкционированного доступа к информации (далее - НСД);

предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в АИС Администрации;

предотвращение утрат, несанкционированного уничтожения или сбоев функционирования машинных носителей информации, обеспечение полноты, целостности, достоверности информации в АИС Администрации;

соблюдение правового режима использования АИС Администрации;

обеспечение возможности обработки и использования конфиденциальной информации сотрудниками Администрации города, ее Структурных подразделений, имеющими соответствующие полномочия.

3. Организационная система обработки и защиты
конфиденциальной информации

3.1. Операторами ОКИ в АИС Администрации могут являться:

Администрация города Ижевска;

Структурные подразделения, наделенные статусом юридического лица.

3.2. Структурные подразделения, не наделенные статусом юридического лица, осуществляющие обработку конфиденциальной информации, могут назначаться исполняющими функции оператора по ОКИ в порядке, устанавливаемом настоящим Положением.

3.3. Организационную систему ОКИ и ЗКИ в АИС Администрации образуют:

Глава Администрации города Ижевска - осуществляет общее руководство по вопросам ОКИ и ЗКИ в АИС Администрации;

Первый заместитель главы Администрации города - осуществляет распорядительные функции по организации работ по ОКИ и ЗКИ в АИС Администрации;

заместители главы Администрации города, Руководитель аппарата Администрации города - несут ответственность за организацию работы по ОКИ и ЗКИ в подведомственных Структурных подразделениях, осуществляют непосредственное руководство реализацией мероприятий по ЗКИ в подведомственных Структурных подразделениях, не наделенных статусом юридического лица;

руководители Структурных подразделений - операторов, исполняющих функции операторов АИС, в которых производится ОКИ, - организуют работы по ОКИ и ЗКИ в АИС Структурных подразделений, осуществляют непосредственное руководство реализацией мероприятий по ЗКИ в АИС Структурных подразделений и несут ответственность за организацию ОКИ и ЗКИ в Структурном подразделении;

сотрудники, ответственные за информационную безопасность в Структурных подразделениях (далее - Администраторы ИБ), - обеспечивают выполнение организационных мероприятий по обеспечению ЗКИ в АИС Структурных подразделений, обеспечивают исполнение работ по технической защите информации (далее - ТЗИ) в АИС Структурных подразделений (за исключением АИС Структурных подразделений, не наделенных статусом юридического лица), несут ответственность за исполнение мероприятий по ЗКИ и соблюдение требований информационной безопасности пользователями Структурных подразделений;

Управление по информатизации Администрации города (далее - Управление по информатизации) - организует работу по технической защите информации в АИС Администрации, осуществляет ведение Реестра АИС Администрации, в которых осуществляется ОКИ (далее - Реестр АИС ОКИ, Реестр), предоставление Реестра в пользование.

Управление по информатизации включает в себя Сектор безопасности информации;

Сектор безопасности информации Управления по информатизации Администрации города (далее - Сектор БИ) - обеспечивает исполнение работ по ТЗИ в АИС Структурных подразделений, не наделенных статусом юридического лица, курирует исполнение мероприятий по ТЗИ в АИС Структурных подразделений, наделенных статусом юридического лица, производит оценку эффективности применяемых мер ТЗИ в АИС Администрации;

пользователи (потребители) информации (далее - Пользователи) - сотрудники, наделенные соответствующими правами по доступу к информации и непосредственно использующие информацию для исполнения своих должностных обязанностей или выполняющие непосредственные действия по вводу, обработке и передаче информации;

технические специалисты - сотрудники Администрации города, Структурных подразделений, сотрудники сторонних организаций, привлекаемые к работам в Администрации города и Структурных подразделениях на основании договоров, осуществляющие технические действия по эксплуатации средств вычислительной техники и АИС Администрации.

3.4. Для проведения работ по ЗКИ в АИС Администрации могут привлекаться на договорной основе специализированные организации, имеющие соответствующие лицензии на право проведения работ в области защиты информации.

3.5. Обязанности за соблюдение мер по обеспечению информационной безопасности конфиденциальной информации включаются в должностные обязанности сотрудников, участвующих в ОКИ.

3.6. При наделении должностными обязанностями, предусматривающими работу с конфиденциальной информацией, сотрудники должны быть под подпись ознакомлены с требованиями нормативных и руководящих документов в области ОКИ и ЗКИ и настоящего Положения в части, их касающейся, а также с ответственностью за нарушение требований по ОКИ и ЗКИ.

4. Документационная система обработки и защиты
конфиденциальной информации

4.1. Документационную систему ОКИ и ЗКИ в Администрации города и ее Структурных подразделениях образуют:

Положение о порядке организации и проведения работ по защите конфиденциальной информации;

Перечень сведений конфиденциального характера;

Реестр АИС ОКИ Администрации, Положение о порядке ведения Реестра;

локальные перечни АИС Структурных подразделений, в которых обрабатывается конфиденциальная информация;

приказы заместителей главы Администрации города, Руководителя аппарата Администрации города, руководителей Структурных подразделений, наделенных статусом юридического лица, о разработке (приобретении), внедрении и организации эксплуатации АИС;

приказы заместителей главы Администрации города, Руководителя аппарата Администрации города, руководителей Структурных подразделений о границе контролируемой зоны, о разрешительной системе доступа в пределы контролируемой зоны;

распорядительные документы заместителей главы Администрации города, Руководителя аппарата Администрации города, руководителей Структурных подразделений о назначении лиц, ответственных за ЗКИ;

должностные инструкции лиц, ответственных за ЗКИ, отдельные положения в должностных инструкциях, определяющие полномочия по ОКИ;

эксплуатационная документация на АИС, в которых осуществляется ОКИ;

акты классификации АИС, в которых осуществляется ОКИ;

технические паспорта на АИС, в которых осуществляется ОКИ;

частные модели угроз, планы мероприятий по нейтрализации угроз для АИС, в которых осуществляется ОКИ;

аттестаты соответствия требованиям по безопасности информации на объекты информатизации;

перечни лиц, допущенных к ОКИ;

регламенты, определяющие порядок действий по отдельным аспектам ОКИ и ЗКИ;

инструкции по эксплуатации средств защиты информации;

журнал (карточки) учета средств защиты информации;

настоящее Положение.

5. Объекты защиты конфиденциальной информации

5.1. Объектами ЗКИ в АИС Администрации являются информация, ее материальные носители, программные и технические средства обработки и передачи информации (далее - Активы).

5.2. Защите подлежат следующие Активы:

информационные ресурсы, содержащие сведения, отнесенные к категории конфиденциальной информации, представленные в виде отдельных документов, информационных массивов и баз данных, зафиксированных на машинных носителях;

основные технические средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), телекоммуникационные системы, используемые для обработки и передачи информации, содержащей сведения, отнесенные к конфиденциальной информации;

вспомогательные технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к конфиденциальной информации.

6. Назначение оператора обработки конфиденциальной информации

6.1. С целью реализации установленных законодательством полномочий Структурные подразделения, планирующие создание АИС ОКИ, вносят в установленном порядке проект распоряжения Администрации города об ОКИ в АИС Администрации, в котором определяются цель, правовые основания, содержание ОКИ, категории объектов учета (для обработки персональных данных - категории субъектов персональных данных), организационная система ОКИ (оператор, круг взаимодействующих в процессе ОКИ организаций и должностных лиц, предполагаемый круг Пользователей, субъекты контроля и ЗКИ), предполагаемый класс АИС, дата начала ОКИ, срок или условие прекращения ОКИ, перечень мероприятий по ЗКИ, регламент ОКИ. С целью обеспечения регистрации АИС ОКИ в Реестре АИС ОКИ (п. 0) в список рассылки распоряжения включается Управление по информатизации.

6.2. Должностное лицо, осуществляющее распорядительные функции в организационной системе обработки и защиты конфиденциальной информации (п. 0), распоряжением Администрации (п. 0) назначает оператора ОКИ, определяет других субъектов ОКИ и ЗКИ.

6.3. Заместители главы Администрации города, Руководитель аппарата Администрации города приказами могут назначить Структурные подразделения, не наделенные статусом юридического лица, исполняющими функции оператора ОКИ.

6.4. При создании АИС обработки персональных данных в установленных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" случаях заместители главы Администрации города, Руководитель аппарата Администрации города, Структурные подразделения - операторы обработки персональных данных направляют в уполномоченный орган по защите прав субъектов персональных данных уведомления об обработке персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

6.5. Сведения об АИС ОКИ регистрируются в Реестре АИС ОКИ Управлением по информатизации (п. 0) на основании распоряжения об ОКИ (п. 0).

7. Основные направления и методы ЗКИ

7.1. Основными направлениями работ по ЗКИ являются:

физическая защита помещений, в которых обрабатывается конфиденциальная информация, от проникновения посторонних лиц;

физическая защита Активов от хищения, разрушения, уничтожения;

защита от НСД к конфиденциальной информации, от несанкционированного или непреднамеренного воздействия;

защита от преднамеренных или непреднамеренных действий Пользователей, ведущих к утечке или утрате конфиденциальной информации.

7.2. Мероприятия по ЗКИ включают в себя организационно-распорядительные, технические и контрольно-корректирующие мероприятия.

7.3. Организационно-распорядительные мероприятия по ЗКИ включают в себя:

разработку организационно-распорядительных документов по ЗКИ;

ограничение числа лиц, допущенных к обработке конфиденциальной информации;

организацию контролируемой зоны, размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ, ограничение доступа лиц, не допущенных к обработке конфиденциальной информации, внутрь контролируемой зоны;

размещение дисплеев и других средств отображения, исключающее несанкционированный просмотр информации;

документальное оформление перечня сведений конфиденциального характера, локальных перечней АИС ОКИ Структурных подразделений, Реестра АИС ОКИ;

инвентаризацию, учет и надежное хранение Активов, содержащих конфиденциальную информацию или посредством которых производится обработка конфиденциальной информации;

классификацию и категорирование АИС Администрации, исходя из требований законодательства и критичности для обеспечения муниципального управления, в необходимых случаях - аттестацию АИС Администрации;

выявление угроз НСД к конфиденциальной информации, разработку мероприятий по нейтрализации угроз;

организацию и соблюдение правил парольной защиты в АИС Администрации;

повышение квалификации, совершенствование знаний и навыков Пользователей в вопросах ЗКИ;

дисциплинарную практику.

7.4. Мероприятия по технической защите информации включают в себя:

организацию физической защиты помещений и технических средств обработки информации с использованием организационных мер и технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;

сегментацию локальных вычислительных сетей (далее - ЛВС) в Структурных подразделениях, применение в сегментах ЛВС, в которых обрабатывается конфиденциальная информация, технических средств защиты информации, соответствующих требуемому классу защиты;

техническую реализацию системы парольной защиты для каждой АИС Администрации, в которой обрабатывается конфиденциальная информация;

использование сертифицированных средств защиты информации в АИС Администрации при передаче информации по открытым каналам связи в соответствии с установленными законодательством требованиями;

использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

регистрацию действий Пользователей, технических специалистов, контроль несанкционированного доступа и действий Пользователей, технических специалистов и посторонних лиц;

использование защищенных каналов связи, реализацию технологии частных виртуальных сетей в корпоративной вычислительной сети Администрации;

мероприятия по антивирусной защите в АИС Администрации;

реализацию системы резервного копирования информации.

7.5. Контрольно-корректирующие мероприятия по ЗКИ включают в себя:

контроль исполнения законодательства в области ЗКИ;

контроль исполнения организационно-распорядительных документов;

контроль выполнения мероприятий по ТЗИ, оценку эффективности выполнения мероприятий по ТЗИ;

выработку корректирующих воздействий, реализуемых путем издания и последующего исполнения организационно-распорядительных документов;

применение дисциплинарных мер.

7.6. Объем принимаемых мер по ЗКИ в зависимости от возможного ущерба в случае ее утечки, разрушения или утраты определяют Руководитель аппарата Администрации города, руководители Структурных подразделений.

7.7. Порядок действий по реализации мероприятий по ЗКИ определяется инструкциями и регламентами, разрабатываемыми и утверждаемыми в соответствии с принятым в Администрации города порядком.

8. Обязанности сотрудников Администрации города по
обработке и защите информации конфиденциального характера

8.1. Глава Администрации города Ижевска:

определяет организационную систему обработки и защиты конфиденциальной информации;

осуществляет общее руководство разработкой и исполнением мероприятий по ОКИ и ЗКИ;

взаимодействует с надзорными органами по общим вопросам обработки и защиты конфиденциальной информации в Администрации города.

8.2. Первый заместитель главы Администрации города Ижевска:

осуществляет распорядительные функции по вопросам ОКИ и ЗКИ в Администрации города, в том числе осуществляет назначение операторов ОКИ;

утверждает документы организационно-распорядительного характера, действие которых распространяется на всех субъектов ОКИ и ЗКИ в Администрации города и ее Структурных подразделениях.

8.3. Заместители главы Администрации города, Руководитель аппарата Администрации города в отношении подведомственных Структурных подразделений, не наделенных статусом юридического лица, исполняющих функции операторов ОКИ, руководители Структурных подразделений, наделенных статусом юридического лица, - операторов обработки конфиденциальной информации:

осуществляют распорядительные функции по вопросам ОКИ и ЗКИ в подведомственных (руководимых) Структурных подразделениях;

в целях реализации установленных полномочий определяют необходимость в обработке конфиденциальной информации, необходимость в ее автоматизированной обработке, вносят в установленном порядке проект распоряжения об ОКИ (п. 0), организуют разработку (приобретение) и последующую эксплуатацию АИС, определяют в соответствии с категорией обрабатываемой информации и характером обработки класс АИС;

взаимодействуют с надзорными органами по вопросам ОКИ в АИС Администрации;

направляют уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных;

принимают меры к обеспечению ЗКИ в АИС Администрации в соответствии с действующим законодательством;

организуют работы по подготовке к аттестации АИС Администрации на соответствие предъявляемым требованиям;

организуют ведение локальных перечней АИС Администрации, в которых осуществляется ОКИ, вносят предложения по включению в Реестр АИС ОКИ, изменению или исключению соответствующих сведений в Реестре АИС ОКИ;

утверждают списки сотрудников, допускаемых к работе с защищаемой информацией в эксплуатируемых АИС Администрации;

назначают Администраторов ИБ;

принимают решения о приостановлении ОКИ в случае выявления нарушений требований по ЗКИ;

принимают меры по фактам нарушений требований по ЗКИ, разглашения конфиденциальной информации или утери документов, содержащих такую информацию;

определяют порядок передачи информации конфиденциального характера другим Структурным подразделениям и сторонним организациям в соответствии с установленными требованиями;

организуют разработку и утверждают должностные инструкции, инструкции пользователей (на основе Типовых обязанностей пользователей при обработке конфиденциальной информации в автоматизированных информационных системах Администрации города Ижевска, приложение к данному Положению), другую документацию, регламентирующую ОКИ в подведомственных (руководимых) Структурных подразделениях;

несут персональную ответственность за состояние ЗКИ в подведомственных (руководимых) Структурных подразделениях.

8.4. Администраторы ИБ:

разрабатывают локальные перечни АИС, эксплуатируемых в Структурном подразделении, и обеспечивают их актуализацию, готовят предложения по включению в Реестр АИС ОКИ, изменению или исключению соответствующих сведений в Реестре АИС ОКИ;

разрабатывают частные модели угроз для каждой из эксплуатируемых в Структурном подразделении АИС, в которой производится ОКИ, а также предложения по нейтрализации этих угроз;

разрабатывают предложения по формированию и реализации планов мероприятий по ЗКИ;

вносят предложения об организационных мерах по ЗКИ;

реализуют мероприятия по ТЗИ (за исключением Администраторов ИБ Структурных подразделений, не наделенных статусом юридического лица);

ведут учет должностных лиц, допущенных к обработке конфиденциальной информации в АИС Администрации;

организуют доведение до пользователей руководящих и методических документов по обеспечению безопасности информации с использованием сертифицированных средств криптозащиты;

ведут учет сертифицированных средств криптозащиты, эксплуатируемых в Структурном подразделении;

ведут учет машинных носителей, предназначенных для хранения конфиденциальной информации;

инструктируют Пользователей по вопросам ЗКИ;

вносят предложения по повышению квалификации и обучению Администраторов ИБ, Пользователей по вопросам ЗКИ;

контролируют уничтожение конфиденциальной информации с жестких дисков персональных компьютеров (далее - ПК) и серверов, передаваемых в ремонт или в другие Структурные подразделения;

контролируют выполнение Пользователями общих правил работы на ПК и в ЛВС, при передаче информации по каналам связи, использования сертифицированных средств криптозащиты, за организацией доступа в Интернет, соблюдение Пользователями условий хранения ключевых документов, эксплуатационной и технической документации на сертифицированные средства криптозащиты;

контролируют характер исходящей информации, направляемой пользователями по электронной почте другим адресатам и принимают оперативные меры к соблюдению установленных требований по ЗКИ.

8.5. Управление по информатизации:

организует работу по ТЗИ в АИС Администрации;

осуществляет разработку проектов планов мероприятий по организации системы защиты информации в АИС Администрации, участвует в исполнении планов мероприятий, представляет отчеты о состоянии системы защиты информации в АИС Администрации;

разрабатывает проекты распорядительных документов по вопросам ЗКИ и ТЗИ;

вносит предложения заместителям главы Администрации города, Руководителю аппарата Администрации города, руководителям Структурных подразделений, наделенных статусом юридического лица, о приостановлении ОКИ в подведомственном (руководимом) Структурном подразделении в случае выявления существенных нарушений требований по ЗКИ;

осуществляет ведение Реестра АИС ОКИ, включающее в себя регистрацию АИС в Реестре, внесение изменений при изменении каких-либо атрибутов АИС, предоставление Реестра в пользование в соответствии с регламентом и исключение АИС из Реестра при прекращении ОКИ в АИС, разрабатывает регламент ведения Реестра, осуществляет взаимодействие с заместителями главы Администрации города, Руководителем аппарата Администрации города, руководителями Структурных подразделений, наделенных статусом юридического лица, по вопросам включения в Реестр сведений об АИС, их изменения или исключения сведений об АИС из Реестра;

разрабатывает предложения по совершенствованию системы защиты информации в Администрации города.

8.6. Сектор БИ:

вносит предложения о реализации мероприятий по организации системы защиты информации в АИС Администрации, участвует в исполнении планов мероприятий, готовит отчеты о состоянии системы защиты информации в АИС Администрации;

обеспечивает исполнение работ по ТЗИ в Структурных подразделениях, не наделенных статусом юридического лица, курирует исполнение мероприятий по ТЗИ в АИС Администрации;

осуществляет контроль состояния ЗКИ в АИС Администрации, производит оценку эффективности применяемых мер ТЗИ в АИС Администрации;

информирует заместителей главы Администрации города, Руководителя аппарата Администрации города в отношении подведомственных Структурных подразделений, не наделенных статусом юридического лица, руководителей Структурных подразделений, наделенных статусом юридического лица, о выявлении существенных нарушений требований по ЗКИ в подведомственных (руководимых) Структурных подразделениях;

разрабатывает предложения по совершенствованию системы защиты информации в Администрации города.

8.7. Пользователи:

участвуют в ОКИ, осуществляют непосредственные действия по регистрации информации в АИС, ее обработке, передаче по сетям передачи данных, применению сертифицированных средств криптозащиты;

используют информацию, документы, полученные из АИС, в своей работе с целью реализации возложенных на них функций;

применяют в необходимых случаях сертифицированные средства криптозащиты.

Типовые обязанности Пользователей приведены в приложении 1 к настоящему Положению.

9. Ответственность за разглашение конфиденциальной информации

За разглашение информации конфиденциального характера, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение или неисполнение требований режима защиты, обработки и порядка использования этой информации сотрудник может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.

Приложение

к Положению

об обработке и защите

конфиденциальной информации

в автоматизированных

информационных системах

Администрации города Ижевска

Типовые обязанности
пользователей при обработке конфиденциальной информации
в автоматизированных информационных системах
Администрации города Ижевска

1. При обработке конфиденциальной информации в автоматизированных информационных системах (далее - АИС) Администрации города Ижевска пользователи обязаны:

знать и соблюдать ограничения, связанные с обработкой конфиденциальной информации (далее - ОКИ);

знать и соблюдать правила работы с персональными компьютерами (далее - ПК) и другими средствами вычислительной техники, правила работы в локальной и корпоративной вычислительных сетях;

знать и соблюдать меры по защите конфиденциальной информации (далее - ЗКИ) в АИС;

знать и исполнять требования эксплуатационной документации на АИС;

при работе с АИС выполнять только служебные задания, только в рабочее время;

при работе с машинными носителями использовать только учтенные в установленном порядке машинные носители (дискеты, флэш-карты и т.п.);

перед началом работы на ПК проверить свои рабочие папки на жестком магнитном диске, рабочие съемные машинные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности ПК. При необходимости использования съемных машинных носителей, поступивших из других Структурных подразделений, сторонних организаций, прежде всего провести проверку этих носителей на отсутствие вирусов. При сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить Администратору информационной безопасности (далее - Администратор ИБ) и своему непосредственному руководителю;

выполнять предписания Администратора ИБ;

представлять для контроля свой ПК Администратору ИБ, специалисту Сектора безопасности информации (далее - Сектор БИ) Управления по информатизации Администрации города при осуществлении ими действий по контролю за выполнением правил по ЗКИ;

сохранять в тайне свой индивидуальный пароль, периодически изменять его и не сообщать другим лицам. Вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;

располагать дисплей таким образом, чтобы исключить несанкционированное ознакомление лиц, не допущенных к обработке конфиденциальной информации, с отображаемыми сведениями;

учет, размножение, обращение печатных материалов, содержащих сведения конфиденциального характера и имеющих гриф "Для служебного пользования", проводить в соответствии с требованиями Положения о порядке обращения со служебной информацией ограниченного распространения;

при обнаружении различных неисправностей в работе компьютерной техники или локальной вычислительной сети, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствии номеров на аппаратных средствах сообщить непосредственному руководителю и Администратору ИБ.

2. Пользователю при работе запрещается:

предоставлять свой ПК в пользование другим сотрудникам, посторонним лицам, кроме случаев, связанных с техническим обслуживанием техническими специалистами, осуществляющими эксплуатацию средств информатизации, или осуществлением контрольных функций Администратором ИБ или сотрудниками Сектора БИ;

передавать другим лицам персональные пароли;

самостоятельно устанавливать компьютерные программы на свой ПК;

перенастраивать программное обеспечение ПК;

самостоятельно вскрывать ПК и другие средства вычислительной техники;

запускать на своем ПК любые системные или прикладные программы, кроме установленных техническими специалистами, осуществляющими эксплуатацию средств информатизации;

изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;

оставлять включенным без присмотра свой ПК, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);

оставлять без личного присмотра на рабочем месте или где бы то ни было в доступном для других лиц месте свое персональное устройство идентификации (при наличии), машинные носители и распечатки, содержащие конфиденциальную информацию;

производить копирование защищаемой информации на неучтенные носители;

отсылать по электронной почте информацию, не связанную с исполнением служебных обязанностей, а также информацию по просьбе третьих лиц без согласования с руководителем структурного подразделения;

запрашивать и получать из сети "Интернет" материалы развлекательного характера (игры, клипы и т.д.), кроме случаев их использования в служебных целях (только по согласованию с руководителем структурного подразделения);

запрашивать и получать из сети "Интернет" программные продукты, базы данных, обновления программных продуктов и баз данных, кроме случаев, связанных с исполнением служебных обязанностей;

входить в другие компьютерные системы через локальную вычислительную сеть, корпоративную вычислительную сеть Администрации города без разрешения операторов этих систем и предоставления допуска в установленном порядке;

использовать в личных целях сведения конфиденциального характера, ставшие известными вследствие выполнения служебных обязанностей.