Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства цифровых технологий и связи Калининградской области от 12 июля 2021 г. N 273 "Об утверждении методических рекомендаций по обеспечению защиты информации в государственных информационных системах"
- Приложение. Методические рекомендации по обеспечению защиты информации в государственных информационных системах
- Приложение N 15. Инструкция пользователя "Наименование информационной системы"
Приложение N 15. Инструкция пользователя "Наименование информационной системы"
Приложение N 15
к Методическим рекомендациям
Инструкция
пользователя "Наименование информационной системы"
1. Общие положения
1.1. Назначение документа
Настоящий документ определяет порядок работы, основные функции и обязанности пользователей "Наименование информационной системы".
1.2. Область применения документа
Настоящий документ обязаны знать и использовать в работе пользователи "Наименование информационной системы" (далее - ИС). К пользователям ИС в рамках данного документа относятся операторы ИС - функциональные пользователи: должностные лица, выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств ИС и которым в ИС присвоены учетные записи.
1.3. Сокращения, термины и определения
В настоящем документе используются сокращения, термины и определения, приведенные, соответственно, в таблицах 1 и 2.
Таблица 1. Перечень сокращений
|
Сокращение |
Расшифровка сокращения |
|
АРМ |
Автоматизированное рабочее место |
|
ИБ |
Информационная безопасность |
|
ИС |
Информационная система |
Таблица 2. Перечень терминов и определений
|
Термин |
Определение термина |
Источник |
|
Автоматизированное рабочее место |
Программно-технический комплекс автоматизированной системы, предназначенный для автоматизации деятельности отдельного вида |
|
|
Администратор информационной безопасности (Администратор ИБ) |
Лицо, обеспечивающее эксплуатацию, администрирование системы защиты информации конкретной ИС и ее штатное функционирование. Администратор ИБ имеет право передачи полномочий по администрированию системы защиты информации курируемых ИС другим лицам, при этом он должен осуществлять контроль за использованием переданных полномочий. Администратор ИБ назначается правовым актом и (или) внесением соответствующих положений в должностную инструкцию работника |
|
|
Администратор "Наименование информационной системы" |
Лицо, обеспечивающее эксплуатацию, администрирование конкретной ИС и ее штатное функционирование. Администратор ИС имеет право передачи полномочий по администрированию курируемых ИС другим лицам, при этом он должен осуществлять контроль за использованием переданных полномочий. Администратор ИС назначается правовым актом и (или) внесением соответствующих положений в должностную инструкцию работника |
|
|
Безопасность информации |
Состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность |
|
|
Вредоносная программа (программное обеспечение) |
Программа (программное обеспечение), предназначенная для осуществления несанкционированного доступа к информации и/или деструктивного воздействия на информацию или ресурсы информационной системы, нарушение их целостности и/или доступности |
|
|
Доступ к информации |
Возможность получения информации и ее использования |
|
|
Информационная система |
Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств |
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Информационно-телекоммуникационная сеть |
Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники |
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Информация |
Сведения (сообщения, данные), независимо от формы их представления |
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Информация ограниченного доступа |
Информация, доступ к которой ограничен федеральными законами |
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Инцидент информационной безопасности |
Одно или несколько нежелательных или неожидаемых событий информационной безопасности, которые со значительной вероятностью приводят к компрометации бизнес-операций и создают угрозы для информационной безопасности |
|
|
Конфигурация |
Совокупность процессов информационной системы и способ взаимосвязи этих процессов |
|
|
Конфиденциальность информации |
Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя |
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
Недокументированные (недекларированные) возможности |
Функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и (или) целостности обрабатываемой информации |
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. |
|
Несанкционированный доступ к информации |
Доступ к информации, ресурсам информационной системы, осуществляемый с нарушением установленных прав и/или правил доступа к информации, ресурсам информационной системы с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам |
|
|
Организация |
Орган исполнительной власти города Москвы, государственное учреждение города Москвы и иные организации, подведомственные органам исполнительной власти города Москвы |
|
|
Ответственный за защиту информации в "Наименование информационной системы" |
Лицо, обеспечивающее защиту информации в конкретной ИС. Ответственный за защиту информации имеет право передачи своих полномочий другим лицам, при этом он должен осуществлять контроль за использованием переданных полномочий. Ответственный за защиту информации назначается правовым актом и (или) внесением соответствующих положений в должностную инструкцию работника |
|
|
Прикладная программа |
Программа, предназначенная для решения задачи или класса задач в определенной области применения системы обработки информации |
|
|
Программно-аппаратные средства |
Технические средства, содержащие компьютерную программу и данные, которые не могут изменяться средствами пользователя. Компьютерная программа и данные, входящие в программно-аппаратные средства, классифицируются как программное обеспечение; схемы, содержащие компьютерную программу и данные, классифицируются как технические средства |
|
|
Программное обеспечение |
Совокупность программ системы обработки информации иных документов, необходимых для эксплуатации этих программ |
|
|
Средство защиты информации |
Техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для защиты информации |
|
|
Средства вычислительной техники |
Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем |
2. Общие требования
2.1. Общие сведения
Доступ пользователей в ИС осуществляется в соответствии с "Наименование документа" (указать: документ, в котором определяется порядок доступа к ИС. Это может быть нормативно-правовой акт о создании ИС, нормативно-правовой акт об использовании ресурсов ИС, локальный акт организации о порядке предоставления доступа, иное).
2.2. Общие обязанности пользователей по обеспечению информационной безопасности
Пользователи ИС обязаны:
1. Не разглашать информацию ограниченного доступа, содержащуюся в ИС, а также строго исполнять требования внутренних документов организации в области обработки и обеспечения безопасности информации.
2. Перед началом обработки информации ограниченного доступа убедиться в том, что:
- рабочее место организовано способом, исключающим просмотр информации ограниченного доступа, а также с дисплеев рабочих станций посторонними лицами;
- за время отсутствия пользователя к персональной рабочей станции не был осуществлен несанкционированный доступ;
- средства обработки информации находятся в исправном состоянии.
3. При возникновении подозрения на наличие вредоносных программ (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) провести внеочередной антивирусный контроль используемой рабочей станции (либо, при отсутствии такой возможности, сообщить Администратору ИБ). В случае выявления заражения вирусом и невозможности его автоматического лечения штатными антивирусными средствами пользователь обязан приостановить работу и немедленно сообщить о случившемся Администратору ИБ.
4. Выполнять требования по парольной защите.
5. Знать и строго выполнять правила работы со средствами защиты информации, установленными на АРМ.
6. Незамедлительно оповестить своего непосредственного руководителя:
- о ставших ему известными попытках разглашения информации ограниченного доступа, а также о других причинах или условиях возможной утечки информации ограниченного доступа;
- при подозрении на компрометацию личных ключей и паролей;
- в случае обнаружения фактов или подозрений совершения попыток несанкционированного доступа к рабочей станции, ИС, сейфу, шкафу и др.;
- в случае обнаружения несанкционированных или произведенных с нарушением установленного порядка изменений в параметрах конфигурации технических компонентов ИС;
- в случае возникновения иных инцидентов ИБ, связанных с обработкой и обеспечением безопасности информации.
7. Незамедлительно оповестить своего непосредственного руководителя в случае отклонений от штатного функционирования, неустойчивой работы или выхода из строя технических компонентов ИС.
8. Предоставлять всю необходимую информацию и документы при проведении расследования инцидентов, связанных с обработкой и обеспечением безопасности информации, при проведении внутренних контрольных мероприятий по обеспечению безопасности информации, а также во время проведения проверок регулирующими органами.
2.3. Запрещенные пользователям действия
Пользователям ИС запрещается:
1. Использовать компоненты АРМ в личных (неслужебных) целях.
2. Самостоятельно вносить изменения в состав и конфигурацию программно-аппаратных средств ИС.
3. Осуществлять изменения настроек и параметров средств защиты информации на своем АРМ. Действия по изменению настроек средств защиты информации должен производить только Администратор ИБ.
4. Вскрывать корпуса технических средств, входящих в состав АРМ, вносить изменения в их схему и конструкцию, производить техническое обслуживание (ремонт) технических средств АРМ без согласования с Администратором ИБ.
5. Привлекать посторонних лиц для производства ремонта (технического обслуживания) технических средств, входящих в состав АРМ.
6. Оставлять без личного присмотра на АРМ или вне защищенных мест хранения свои персональные реквизиты доступа (имя учетной записи, пароль на вход в ИС).
7. Умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к нарушению безопасности защищаемой информации.
8. Производить перемещение технических компонентов АРМ (системный блок, монитор, клавиатура, мышь и т.п.) без согласования с Администратором ИБ.
9. Самостоятельно подключать к АРМ нештатные средства.
10. Передавать (разглашать) обрабатываемую информацию другим работникам, не допущенным к обработке информации в ИС.
11. Размещать информацию ограниченного доступа в открытом доступе (корпоративные адресные книги, справочники, портал, сайты в сети Интернет и т.п.).
2.4. Права пользователей
Пользователи ИС имеют право:
1. Получать доступ к информации в количестве и объеме, требуемых для выполнения определенных должностной инструкцией обязанностей.
2. Вносить предложения по совершенствованию процессов обработки информации, в которых он принимает участие.
3. Получать консультации по вопросам:
- обработки и обеспечения защиты информации у лица, ответственного за защиту информации в ИС;
- использования технических компонентов ИС у Администратора ИС;
- использования средств защиты информации из состава системы защиты информации ИС у Администратора ИС и Администратора ИБ в рамках их компетенций.
2.5. Ответственность пользователей
Пользователи ИС несут дисциплинарную ответственность за невыполнение и/или ненадлежащее выполнение требований настоящего документа, а также других организационно-распорядительных документов организации в области обработки и обеспечения безопасности информации.
Прекращение доступа к информации не освобождает пользователя ИС от принятых обязательств по неразглашению информации, ставшей доступной при выполнении должностных обязанностей.
Незаконное распространение, раскрытие третьим лицам или использование в личных целях информации влекут за собой ответственность, предусмотренную законодательством Российской Федерации.