Приложение N 2. Приказ Департамента городского хозяйства г. Севастополя от 22.08.2023 N 275-ОД "О внесении изменений в приказ Департамента городского хозяйства города Севастополя от 27.04.2022 N 117-ОД "Об организации защиты информации в Департаменте городского хозяйства города Севастополя"

Приложение N 2
к приказу Департамента городского
хозяйства города Севастополя
от 22.08.2023 N 275-ОД

Приложение N 8
к приказу Департамента городского
хозяйства города Севастополя
от 27.04.2022 N 117-ОД (в редакции
приказа Департамента городского
хозяйства города Севастополя
от 22.08.2023 N 275-ОД)

Инструкция по обеспечению требований информационной безопасности на автоматизированном рабочем месте

1. Общие положения

Настоящая инструкция устанавливает порядок обеспечения безопасности информации государственными гражданскими служащими Департамента городского хозяйства города Севастополя при ее обработке на автоматизированных рабочих местах и определяет:

общие меры обеспечения безопасности информации и правила работы с информацией ограниченного доступа;

правила по организации парольной защиты;

правила по организации антивирусной защиты;

правила по использованию съемных носителей;

правила при работе с ресурсами сети Интернет;

правила работы с коммуникационными сервисами автоматизированного рабочего места государственного служащего.

Целью настоящей инструкции является установление правил работы пользователей автоматизированных рабочих мест, при соблюдении которых обеспечивается конфиденциальность, целостность и доступность информации.

Ознакомление с инструкцией и ее соблюдение обязательны для всех государственных гражданских служащих Департамента городского хозяйства города Севастополя.

2. Требования к уровню подготовки пользователя

Перед началом эксплуатации автоматизированного рабочего места пользователь должен ознакомиться под роспись:

с положениями настоящего документа;

с регламентирующими документами по обеспечению информационной безопасности, принятыми в Департаменте городского хозяйства города Севастополя;

с руководствами по эксплуатации информационных систем, к которым пользователю предоставлен доступ.

3. Обязанности пользователя

3.1. Общие правила работы на автоматизированном рабочем месте

Пользователем автоматизированного рабочего места (далее - Пользователь) является государственный гражданский служащий, участвующий в процессах автоматизированной обработки информации на автоматизированном рабочем месте (далее - АРМ) и имеющий доступ к программному обеспечению и данным, обрабатываемым на АРМ.

Каждый Пользователь несет персональную ответственность за свои действия и обязан:

знать и строго соблюдать установленные настоящей Инструкцией правила обеспечения безопасности информации при работе с программными средствами и средствами защиты информации информационных систем согласно соответствующим инструкциям на данные средства;

осуществлять плановую смену паролей на вход в систему при истечении максимального срока действия пароля или заблаговременно, до наступления окончания срока действия пароля;

располагать в помещении экран монитора во время работы так, чтобы исключить возможность несанкционированного ознакомления с отображаемой на нем информацией посторонними лицами;

обеспечивать запирание помещения на ключ при выходе всех работников из помещения, в котором осуществляется работа с информационными системами;

поддерживать постоянную работу (не отключать (блокировать) средства защиты информации;

сообщать ответственному за обеспечение информационной безопасности (далее - Ответственный) о замеченных нарушениях информационной безопасности (в т. ч. о сбоях в работе средств защиты информации);

передавать, в случае прекращения трудовых отношений, Ответственному в Департаменте городского хозяйства города Севастополя все имеющиеся в пользовании материальные носители информации, содержащие информацию ограниченного доступа.

3.2. Правила работы с информацией ограниченного доступа

К информации ограниченного доступа относится информация, содержащая персональные данные, а также служебная, профессиональная, коммерческая, банковская и иная информация, доступ к которой ограничен нормативно-правовыми актами.

При работе с информацией ограниченного доступа Пользователю запрещается:

создавать и хранить документы, содержащие информацию ограниченного доступа, в ресурсах, предназначенных для обмена и хранения открытыми документами;

работать с информацией ограниченного доступа в общественных местах и на АРМ, не оборудованных средствами защиты информации;

осуществлять обработку информации на автоматизированном рабочем месте в присутствии лиц, не допущенных к данной информации;

оставлять без личного контроля съемные и другие носители информации (в том числе и установленные на автоматизированном рабочем месте), распечатки, содержащие информацию ограниченного доступа;

записывать на устройства, предназначенные для хранения информации ограниченного доступа, посторонние данные;

выносить за пределы контролируемой зоны Департамента городского хозяйства города Севастополя материальные носители с информацией ограниченного доступа без служебной необходимости;

оставлять без личного контроля включенное автоматизированное рабочее место без активированной блокировки (п. 3.3).

3.3. Процедура блокирования доступа к автоматизированному рабочему месту

При необходимости временно прервать работу на автоматизированном рабочем месте для защиты от несанкционированного использования необходимо воспользоваться функцией временной блокировки компьютера.

Порядок действий при блокировке автоматизированного рабочего места вручную: нажать комбинацию клавиш "WIN+L" или "Alt+Ctrl+Delete" и выбрать "Блокировать". Для блокирования сеанса пользователя в операционной системе РЕД ОС необходимо нажать комбинацию клавиш "Ctrl+Alt+L" или перейти в меню "Система" и выбрать "Заблокировать экран".

Для разблокировки автоматизированного рабочего места пользователю необходимо ввести свой пароль доступа.

3.4. Правила использования паролей

Пользователь должен следовать следующим правилам при использовании паролей, применяемых для доступа к автоматизированному рабочему месту и входу в информационные системы:

использовать только свои персональные учетные записи (идентификаторы);

хранить в тайне свой пароль (пароли), не размещать на рабочем месте документы, содержащие пароль (пароли), не передавать пароль (пароли) другим лицам;

во время ввода пароля необходимо исключить возможность его просмотра посторонними лицами.

Пользователь на вход в операционную систему АРМ обязан использовать пароли, отвечающие следующим требованиям по парольной защите:

длина пароля должна быть не менее 6 символов;

в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, специальные символы (@, #, $, &,*, % и т. п.) и не менее двух цифр;

максимальный срок действия пароля Пользователя не должен превышать 90 дней;

если информационная система позволяет изменять предустановленный (выданный администратором) пароль, то Пользователь должен сменить пароль на новый при первом входе.

Выбранный пароль не должен поддаваться подбору, поэтому при выборе пароля запрещается:

использовать в пароле имя Пользователя (идентификатор) или его часть;

использовать идущие подряд символы на клавиатуре и в алфавите (qwerty, 45678, abcdef);

использовать распространенные осмысленные слова, общеупотребительные выражения или сокращения, имена собственные (USER, password, system, ADMIN, gfhjkm ("пароль" в английской раскладке);

использовать три и более повторяющихся символов подряд (ggg254, UUU444).

Пользователь обязан в случае подозрения на компрометацию пароля сообщить об этом Ответственному и произвести смену пароля (самостоятельно, если такая функция доступна пользователю, либо совместно с Ответственным).

3.5. Защита от воздействий вредоносных программ

Вредоносный код - любой программный код (компьютерный вирус, троян, сетевой червь), приводящий к нарушению функционирования средств вычислительной техники и/или предназначенный для искажения, модификации, уничтожения, блокирования или несанкционированного копирования информации. Вредоносный код способен создавать свои копии, сохраняющие все его свойства и требующие для своего размножения другие программы, каналы связи или машинные носители.

Возможен следующий характер проявлений действий вредоносного кода:

искажение изображения на экране монитора;

искажение символов, вводимых с клавиатуры;

блокирование клавиатуры, звуковые эффекты;

стирание или порча отдельных частей диска или файлов;

повреждение загрузочных секторов жесткого диска персональной электронно-вычислительной машины и серверов;

остановка загрузки или зависание компьютера, значительное замедление его работы;

уничтожение или искажение информации о системной конфигурации персональной электронно-вычислительной машины и серверов.

В целях обеспечения защиты от воздействий вредоносного кода Пользователю автоматизированного рабочего места запрещается:

самостоятельно устанавливать программное обеспечение, в том числе командные файлы;

использовать при работе "зараженный" вредоносным кодом либо с подозрением на "заражение" носитель информации и/или файл;

использовать личные носители информации на автоматизированном рабочем месте;

использовать служебные носители информации на домашних компьютерах и в неслужебных целях;

самостоятельно отключать, удалять и изменять настройки установленных средств защиты информации.

Пользователь автоматизированного рабочего места обязан проводить контроль на отсутствие вредоносных программ любых сменных и подключаемых носителей (дискет, CD-дисков, DVD-дисков, Flash-памяти) и открываемых архивов (ZIP, RAR и др.).

Периодически самостоятельно осуществлять проверку важных областей системы АРМ не реже 1 раза в 3 дня и полную проверку АРМ не реже 2 раз в месяц установленными средствами антивирусной защиты.

3.6. Правила обращения со съемными носителями

Пользователь использует съемные носители информации только в случаях, когда это необходимо для выполнения трудовых (служебных) обязанностей. При использовании съемных носителей Пользователь обязан:

использовать съемные носители исключительно для выполнения трудовых обязанностей и не использовать в личных целях;

обеспечивать физическую безопасность съемных носителей;

обеспечивать проверку отсутствия вредоносного программного обеспечения на съемных носителях;

извещать Ответственного о фактах утери съемных носителей, содержавших информацию ограниченного доступа;

не передавать съемные носители третьим лицам при отсутствии в этом служебной необходимости.

3.7. Использование ресурсов сети Интернет

При использовании ресурсов сети Интернет Пользователям запрещается:

пересылать информацию ограниченного доступа с использованием общедоступных почтовых сервисов (Яндекс, Рамблер, Mail.ru, Google и другие);

использовать для обмена информацией ограниченного доступа сайты, предоставляющие услуги хранения и обмена информацией;

размещать, публиковать информацию ограниченного доступа на общедоступных ресурсах;

загружать из сети Интернет программное обеспечение и устанавливать его на автоматизированные рабочие места;

скачивать и открывать вложения к письмам без предварительной антивирусной проверки;

открывать вложения подозрительных электронных сообщений: сообщений от незнакомых отправителей; сообщений, содержащих исполняемые файлы (EXE, СОМ, ВАТ); сообщений рекламного, развлекательного, оскорбительного характера;

переходить по ссылкам на сайты из подозрительных электронных сообщений, в том числе сообщений, содержащих приглашения "открыть", "запустить", "посетить", "нажать", "перейти";

отправлять электронные письма от имени других работников Департамента городского хозяйства города Севастополя, если иное не определено их служебными обязанностями;

передавать данные учетной записи другим лицам;

предпринимать попытки несанкционированного доступа к учетным записям других работников Департамента городского хозяйства города Севастополя.

3.8. Правила работы с коммуникационными сервисами автоматизированного рабочего места государственного служащего

Коммуникационные сервисы автоматизированного рабочего места госслужащего (далее - КС "АРМ ГС") предоставляются Пользователю только для выполнения своих прямых служебных обязанностей.

Правила работы Пользователя с КС "АРМ ГС" определяются Регламентом КС "АРМ ГС".

3.9. Порядок действий в случае возникновения нештатных ситуаций

При возникновении нештатных ситуаций, связанных с использованием информационных систем, а также в случаях:

подозрения на компрометацию (утерю, разглашение, несанкционированное копирование или использование) личных паролей;

подозрения на наличие вредоносных программ (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т. п.);

обнаружения фактов совершения в отсутствие пользователя попыток несанкционированного доступа к техническим средствам и носителям информации (следов вскрытия, измененного состава подключенных устройств, кабелей, в том числе отводов кабелей);

невозможности запуска средств защиты информации или при ошибках в процессе их выполнения;

несанкционированных изменений в конфигурации программного обеспечения,

пользователь обязан обратиться с описанием проблемы к Ответственному.