Приложение 4. Регламент по работе пользователей в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула. Приказ комитета по финансам, налоговой и кредитной политике города Барнаула от 13.05.2022 N 93 "Об утверждении Положения об обеспечении безопасности общедоступной информации в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула" (с изменениями и дополнениями)

Приложение 4
к Положению об обеспечении
безопасности общедоступной
информации в информационных
системах комитета по финансам,
налоговой и кредитной
политике города Барнаула

Регламент
по работе пользователей в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула

1. Перечень использованных сокращений, единиц и терминов

АИБ - администратор информационной безопасности.

АРМ - автоматизированное рабочее место.

ГИС - государственная информационная система.

ИС - информационная система.

ИСОП - информационная система общего пользования.

КИ - конфиденциальная информация.

ЛВС - локальная вычислительная сеть.

НСД - несанкционированный доступ.

ПДн - персональные данные.

ПО - программное обеспечение.

Администратор информационной безопасности - специалист комитета по финансам, налоговой и кредитной политике города Барнаула, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

2. Общие положения

2.1. Настоящий Регламент разработан в соответствии с требованиями Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и других действующих нормативно-правовых актов Российской Федерации.

2.2. Настоящий Регламент определяет общие требования к организации допуска пользователей для работы в информационных системах общего пользования, государственных информационных системах, информационных системах персональных данных, информационных системах, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к ключевым системах информационной инфраструктуры (далее по тексту - ИС, защищаемые информационные ресурсы) комитета по финансам, налоговой и кредитной политике города Барнаула (далее - Комитет) при обработке (наборе, редактировании и печати) защищаемых информационных ресурсов, права и обязанности пользователей при работе в защищаемой ИС, ответственность за невыполнение предъявляемых к работе пользователей требований.

2.3. Основная цель обеспечения информационной безопасности - предотвращение несанкционированного, в том числе случайного, доступа к защищаемой информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение, а также иные несанкционированные действия.

2.4. Методическое руководство работой пользователей осуществляет АИБ, настройку параметров средств защиты, контроль работоспособности и соответствия установленным требованиям, параметров настройки средств защиты, установленных на персональных компьютерах, осуществляет отдел внедрения автоматизированных систем финансовых расчетов.

2.5. Ответственность за безопасность информации и соблюдение установленных правил работы при ее обработке возлагается на лиц, допущенных к их обработке.

3. Порядок организации допуска пользователей для работы в ИС

3.1. Порядок допуска определяется в соответствии с Положением о разрешительной системе к информационным системам персональных данных в комитете по финансам, налоговой и кредитной политике города Барнаула.

4. Общие принципы работы пользователя

4.1. Работа пользователей в системе разрешена только на закреплённых за ними компьютерами, в определенное время и только с разрешенными программами и сетевыми ресурсами.

4.2. Вход в систему в обязательном порядке осуществляется на основе ввода (по запросу системы) имени, присвоенного при первичной регистрации специалистами комитета информатизации города Барнаула, и ввода личного пароля, требования к которому установлены в Порядке по организации парольной защиты комитета по финансам, налоговой и кредитной политике города Барнаула. Ни при каких условиях пароль не может быть сообщён другому лицу за исключением случаев, предусмотренных в Порядке по организации парольной защиты комитета по финансам, налоговой и кредитной политике города Барнаула. В случае отказа системы в идентификации пользователя, либо не подтверждения личного пароля следует немедленно обратиться к АИБу.

4.3. Все автоматизированные рабочие места, установленные в Комитете, имеют унифицированный набор установленного программного обеспечения, определенный в Перечне, разрешенного к использованию в комитете по финансам, налоговой и кредитной политике города Барнаула программного обеспечения. Самостоятельная установка программного обеспечения на автоматизированные рабочие места запрещена. Установка и удаление любого программного обеспечения производится только специалистами отдела внедрения автоматизированных систем финансовых расчетов. Установка и использование игровых программ запрещено.

4.4. Комплектация персональных компьютеров аппаратными и программными средствами, а также расположение компьютеров контролируется специалистами отдела внедрения автоматизированных систем финансовых расчетов. Самовольное перемещение средств вычислительной техники является нарушением персональной ответственности за сохранность переданных специалисту во временное пользование средств автоматизации. Изменение конструкции, конфигурации средств вычислительной техники запрещено.

4.5. Для постоянного хранения и обработки защищаемых информационных ресурсов разрешается использовать исключительно каталоги, определенные АИБом. Использование отчуждаемых носителей в данных целях запрещено.

4.6. Пользователю разрешается обрабатывать информацию в рамках определенных полномочий доступа, обрабатывать информацию с грифом конфиденциальности выше заявленного при регистрации запрещено.

4.7. Пользователю запрещается осуществлять попытки НСД к ресурсам системы и других пользователей; пытаться подменять функции АИБа по перераспределению времени работы и полномочий доступа к ресурсам компьютера.

4.8. При обнаружении неисправности в работе автоматизированного рабочего места (АРМ), элементов информационной системы, средств защиты, пользователю запрещается продолжать работать на АРМ. Об обнаруженных неисправностях необходимо сообщить АИБу или, в случае его отсутствия, в отдел внедрения автоматизированных систем финансовых расчетов Комитета.

5. Обеспечение безопасности персональных данных при использовании сети Интернет

5.1. Доступ к сети Интернет предоставляется в соответствии с должностными обязанностями специалиста с целью получения оперативной и достоверной информации, необходимой для выполнения должностных обязанностей. Разрешение и изменение доступа к ресурсам Интернет (в том числе к внешним почтовым сервисам) производится в порядке, установленном в Комитете.

5.2. Пользователям, имеющим право доступа в Интернет запрещается:

- пересылка документов, содержащих защищаемые информационные ресурсы по сети Интернет, электронной почте или с использованием клиентов службы мгновенного обмена сообщениями (ICQ, jabber и т.п.);

- использование сети Интернет для развлечения, в т.ч. посещения социальных сетей и сервисов, и получения информации, не относящейся к функциональным обязанностям пользователя;

- доступ к сети Интернет и электронной почте не со своего рабочего места с использованием данных своей учетной записи;

- предоставление доступа к сети Интернет с использованием данных своей учетной записи другим лицам;

- публикация своего адреса электронной почты в электронных каталогах и на поисковых машинах сети Интернет;

- подписка по электронной почте на различные рекламные материалы, листы рассылки, электронные журналы и т.п., не связанные с выполнением пользователем функциональных обязанностей;

- открытие (запуск на выполнение) файла, полученного из сети Интернет или по электронной почте, без предварительной проверки его антивирусным ПО.

6. Порядок проведения антивирусного контроля

6.1. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по электронной почте, Интернет-ресурсам, а также информация на съемных носителях (флешках, CD-ROM и т.п.).

6.2. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.), либо на наличие заражения съемного носителя, пользователь самостоятельно или вместе с АИБом должен провести внеочередной антивирусный контроль своей рабочей станции.

6.3. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи обязаны:

- приостановить работу;

- поставить в известность о факте обнаружения зараженных вирусом файлов АИБа Комитета.

- провести лечение или уничтожение зараженных файлов.

6.4. Пользователям запрещается:

- отключать средства антивирусной защиты информации во время работы;

- открывать сомнительные электронные письма (необходимо удаление), ссылки, сайты, источники переноса информации.

7. Обеспечение безопасности защищаемой информации при использовании съемных носителей

7.1. Пользователям запрещается:

- хранить съемные носители конфиденциальной информации вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

- выносить съемные носители с защищаемой информацией из служебных помещений для работы с ними на дому и т. д.

7.2. При отправке или передаче защищаемой информации, адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка защищаемой информации адресатам на съемных носителях осуществляется в установленном порядке.

8. Обеспечение безопасности перед началом обработки защищаемой информации

8.1. Перед началом обработки защищаемой, необходимо убедиться в том, что:

- в помещении, в котором ведется работа защищаемой информацией, отсутствуют посторонние лица;

- технические средства, с использованием которых осуществляется обработка защищаемой информации, находятся в исправном состоянии;

- используемые в работе носители защищаемой информации, не повреждены;

- к защищаемой информации не был осуществлен НСД.

9. Обеспечение безопасности во время обработки защищаемой информации

9.1. Во время обработки защищаемой информации необходимо обеспечить:

- недопущение нахождения в помещении, в котором ведется работа, посторонних лиц;

- недопущение воздействия на технические средства, с использованием которых осуществляется обработка, способного нарушить их функционирование;

- постоянный контроль за соблюдением условий эксплуатации средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- недопущение несанкционированного доступа к информации.

9.2. Во избежание получения НСД к информационным ресурсам АРМ специалиста устанавливается хранитель экрана, который автоматически включается через 15 минут отсутствия работы на данном компьютере, при этом выход из режима хранителя экрана возможен только при введении идентификационных данных пользователя. При необходимости отлучиться от рабочего места пользователь обязан принудительно запустить хранитель экрана посредством комбинации клавиш "Windows + L" либо другим доступным способом.

10. Обеспечение безопасности при завершении обработки защищаемой информации

10.1. После завершения сеанса обработки защищаемой информации необходимо обеспечить:

- исключение возможности несанкционированного проникновения или нахождения посторонних лиц в помещении, в котором размещены технические средства, используемые для обработки;

- работоспособность средств защиты информации, функционирующих при отсутствии лиц, допущенных к обработке защищаемой информации.

11. Порядок действий в случае обнаружения фактов нарушения безопасности защищаемой информации

11.1. При нарушении порядка предоставления защищаемой информации, пользователям информационной системы необходимо приостановить их предоставление.

11.2. При обнаружении НСД к защищаемой информации необходимо немедленно прекратить несанкционированный доступ.

11.3. При модификации или уничтожении защищаемой информации, вследствие НСД к ним необходимо обеспечить их незамедлительное восстановление.

11.4. В случае обнаружения фактов несоблюдения условий хранения носителей защищаемой информации, использования средств защиты информации, которые могут привести к нарушению конфиденциальности защищаемой информации, или другим нарушениям, приводящим к снижению уровня защищенности защищаемой информации, необходимо произвести фиксацию данных фактов, служебное расследование и заключение по данным фактам, разработку и принятие мер по предотвращению возможных негативных последствий подобных нарушений.

11.5. Обо всех случаях нарушения безопасности защищаемой информации необходимо немедленно поставить в известность АИБа и произвести служебное расследование.

12. Права пользователей

12.1. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИС, присвоенными АИБом данному пользователю. При этом для хранения файлов, содержащих защищаемую информацию, разрешается использовать только специально выделенные каталоги, а также соответствующим образом учтенные внешние носители.

13. Ответственность пользователей

13.1. Пользователь отвечает за правильность включения и выключения АРМ, входа в систему и все действия при работе в ИС.

13.2. Пользователь ИС, несет персональную ответственность за соблюдение установленных требований во время работы в ЛВС.

13.3. Пользователи ИС, виновные в нарушении законодательства Российской Федерации о защите прав собственности и охраняемых по закону сведений, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и организационно распорядительными документами Комитета.

13.4. Ответственность за допуск пользователя к ЛВС и установленные ему полномочия несет АИБ.

14. Заключительные положения

14.1. Проверка и пересмотр настоящего Регламента осуществляются в следующих случаях:

- при пересмотре межотраслевых и отраслевых требований обеспечения безопасности информации;

- при внедрении новой техники и (или) технологий;

- по результатам анализа материалов расследования нарушений требований законодательства об обеспечении безопасности информации;

- по требованию представителей органов контроля в сфере обеспечения безопасности информации.

14.2. По всем возникающим вопросам при работе в ИС, необходимо обращаться в отдел внедрения автоматизированных систем финансовых расчетов Комитета.