Приложение 2. Правила безопасной работы при эксплуатации значимых объектов критической информационной инфраструктуры. Приказ Министерства здравоохранения Кабардино-Балкарской Республики от 18.07.2022 N 270-П "Об обеспечении безопасности значимых объектов критической информационной инфраструктуры"

Приложение 2

Утверждены

приказом

Министерства здравоохранения

Кабардино-Балкарской Республики

от 18 июля 2022 г. N 270-П

Правила
безопасной работы при эксплуатации значимых объектов критической информационной инфраструктуры

1. Общие положения

1.1. Назначение документа и область действия

Настоящий документ (далее - Правила) устанавливает общие права и обязанности безопасной работы с компонентами значимых объектов критической информационной инфраструктуры в Министерстве здравоохранения Кабардино-Балкарской Республики (далее - Министерство).

Правила разработаны на основе Приказа ФСТЭК России от 25 декабря 2017 года N 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" и Приказа ФСТЭК России 21 декабря 2017 года N 235 "Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования".

Правила предназначены для всего персонала, относимого к силам обеспечения безопасности ЗОКИИ (далее - пользователи ЗОКИИ):

- подразделения (работники) Министерства, ответственные за обеспечение безопасности ЗОКИИ;

- подразделения (работники), эксплуатирующие ЗОКИИ;

- подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) ЗОКИИ.

Контроль за выполнением Правил возлагается на руководителей структурных подразделений Министерства и специалиста по безопасности.

1.2. Термины и определения

В Правилах применены термины из организационно-распорядительного документа Министерства "Концепция обеспечения безопасности значимых объектов критической информационной инфраструктуры".

1.3. Сокращения

ЗОКИИ - Значимый объект критической информационной инфраструктуры;

ФСБ России - Федеральная служба безопасности Российской Федерации;

ФСТЭК России - Федеральная служба по техническому и экспортному контролю Российской Федерации.

2. Общие права и обязанности пользователя

2.1. Обязанности пользователя

Каждый пользователь ЗОКИИ Министерства несет персональную ответственность за свои действия и имеет право доступа к ЗОКИИ в соответствие с матрицей доступа.

Каждый пользователь ЗОКИИ обязан:

- строго соблюдать установленные правила обеспечения безопасной работы при работе с программными и техническими средствами ЗОКИИ;

- знать документацию в части, его касающейся, на программное средство и уметь правильно его эксплуатировать;

- хранить в тайне свои пароли;

- не разглашать известные ему реквизиты доступа (имена пользователей, пароли), необходимые для идентификации и аутентификации;

- немедленно уведомить специалиста по безопасности и руководителя подразделения в случае утери личных реквизитов доступа или при подозрении компрометации личных паролей, а также при обнаружении:

1 несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ЗОКИИ;

1) отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ЗОКИИ, выхода из строя или неустойчивого функционирования узлов ЗОКИИ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;

2) некорректного функционирования, установленных на ЗОКИИ, технических средств защиты;

3) использования недокументированных свойств и ошибок в программном обеспечении или в настройках средств защиты, которые могут привести к нарушению функционирования ЗОКИИ;

- хранить съемные машинные носители информации (жесткие диски, флеш-накопители, оптические диски (CD, DVD) однократной и многократной записи), содержащие информацию, обрабатываемую в ЗОКИИ, в сейфе (металлическом шкафу), расположенном в отведенном для этих целей помещении Министерства, и использовать только для выполнения должностных обязанностей;

- при необходимости, допускается хранить значения своих паролей на бумажном носителе в опечатанном сейфе владельца пароля, специалиста по безопасности или руководителя подразделения, способом, исключающим несанкционированный доступ к паролю, с обязательной возможностью контроля вскрытия носителя, содержащего пароль;

- завершать активный сеанс компьютера и терминала по окончанию работы, или когда их оставляют без присмотра, если отсутствует соответствующий механизм блокировки (защищенная паролем экранная заставка);

- обеспечивать доступ специалисту по безопасности к программным и аппаратным средствам в составе ЗОКИИ;

- выполнять предписания специалиста по безопасности, направленные на обеспечение безопасности при эксплуатации ЗОКИИ;

- при необходимости, выносить съемные машинные носители информации (жесткие диски, флеш-накопители, оптические диски (CD, DVD) однократной и многократной записи), содержащие информацию, обрабатываемую в ЗОКИИ, за пределы контролируемой зоны разрешается только с разрешения специалиста по безопасности. Сведения о перемещении съемных машинных носителей вносятся в Журнал учета носителей информации.

Пользователям ЗОКИИ категорически запрещается:

- использовать компоненты программного и аппаратного обеспечения ЗОКИИ в неслужебных целях;

- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ЗОКИИ или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные техническим паспортом ЗОКИИ;

- оставлять включенным без присмотра АРМ ЗОКИИ, не активизировав средства защиты от НСД;

- оставлять без личного присмотра на рабочем месте или где бы то ни было свои персональные реквизиты доступа, машинные носители и распечатки, содержащие информацию, относящуюся к ЗОКИИ;

- умышленно использовать недокументированные свойства и ошибки в ПО или в настройках средств защиты, которые могут привести к нарушению нормального функционирования ЗОКИИ;

- выносить съемные машинные носители информации (жесткие диски, флеш-накопители, оптические диски (CD, DVD) однократной и многократной записи), содержащие информацию, обрабатываемую в ЗОКИИ, из организации без согласования специалиста по безопасности и внесения необходимых данных в "Журнал учета носителей информации";

- оставлять информацию, относящуюся к ЗОКИИ, на печатающих устройствах (например, на копировальных устройствах, принтерах, факсах);

- использовать персональные или находящиеся в частной собственности средства обработки информации (например, лэптопов, домашних компьютеров или карманных устройств), если это не предусмотрено порядком эксплуатации конкретного ЗОКИИ согласованным специалистом по безопасности;

- переходить по ссылкам, запускать файлы, находящиеся в электронных письмах, от незнакомых отправителей.

- эксплуатировать компоненты, технические средства ЗОКИИ с отключенными СЗИ;

- входить в настройки базовой системы ввода-вывода технических средств и систем ЗОКИИ;

- осуществлять загрузку нештатных ОС со сторонних носителей информации;

- самостоятельно удалять, установленное специалистом по безопасности, ПО, изменять настройки ОС и приложений;

- самостоятельно подключать АРМ в составе ЗОКИИ к сети Министерства, а также изменять IP-адрес компьютера, выданный специалистом по безопасности.

2.2. Требования к паролям

Личные пароли должны выбираться пользователями ЗОКИИ самостоятельно с учетом следующих требований:

- длина пароля должна быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (!, #, $, %, , &, *, (,),:, ? и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (qwerty, password, admin, administrator и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

- пароль не должен содержать информацию, связанную с владельцем пароля (имен, номеров телефона, дат рождения и т.д.);

- личный пароль пользователь не имеет права сообщать никому;

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 5 позициях;

- личный пароль нельзя записывать (на бумаге, в файле программного обеспечения или на карманном устройстве), если не может быть обеспечено безопасное хранение и способ хранения не утвержден.

2.3. Реагирование на инциденты

При возникновении подозрения на наличие компьютерных инцидентов (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователю необходимо немедленно сообщить об этом специалисту по безопасности и своему руководителю.

3. Ответственность

Нарушение настоящих Правил может привести к тяжелым последствиям для организации, в частности, невозможности предоставлять услуги, поддерживать целостность, конфиденциальность и доступность данных и пр. Преднамеренные действия пользователей ЗОКИИ, которые привели к нарушению настоящих Правил, приведут к дисциплинарным наказаниям. За преднамеренные или повторяющиеся нарушения Правил, имеющие тяжелые последствия, пользователь ЗОКИИ может быть отстранен от работы специалистом по безопасности на основании соответствующей служебной записки на имя министра. Пользователи ЗОКИИ обязаны строго выполнять требования настоящих Правил.