Приложение. Приказ Службы по контролю в области градостроительной деятельности Красноярского края от 04.12.2023 N 4/25 "О внесении изменений в приказ службы по контролю в области градостроительной деятельности Красноярского края от 14.08.2018 N 3-01/52 "Об обработке и защите персональных данных в службе по контролю в области градостроительной деятельности Красноярского края"

Приложение
к приказу службы по контролю
в области градостроительной деятельности
Красноярского края
от 04.12.2023 N 4/25

Приложение N 13
к приказу службы по контролю
в области градостроительной деятельности
Красноярского края
от 14 августа 2018 г. N 3-01/52

Положение
об организации обеспечения безопасности информации на объектах информатизации службы по контролю в области градостроительной деятельности по Красноярскому краю

1. Перечень использованных терминов и сокращений

Автоматизированное рабочее место - программно-технический комплекс, располагающийся непосредственно на рабочем месте сотрудника, предназначенный для автоматизации его работы и обработки информации.

Безопасность информации (данных) - состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы автоматизированной системы.

Доступ к информации - возможность получения информации и ее использования.

Защита информации от несанкционированного доступа - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации правил или правил разграничения доступа к защищаемой информации. Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Компрометация пароля - это процесс получения несанкционированного доступа к защищаемой информации, а также подозрение на него, путем различных методов, таких как перебор паролей, рассмотрение шаблонов, использование словарей или фишинговые атаки. Компрометация пароля является одним из наиболее распространенных способов несанкционированного доступа или взлома онлайн-учетных записей, что может привести к утечке личной информации, финансовым потерям и нанести значительный ущерб.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Машинный носитель информации (далее - МНИ) - носитель данных, предназначенный для записи и считывания данных (HDD, SSD, USB-флеш-накопитель, DVD (CD) оптический диск), который может быть несъемным (установленный внутри автоматизированного рабочего места) и съемным (переносной, временно подключаемый к средствам вычислительной техники через стандартные разъемы).

Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Средство защиты информации (далее - СЗИ) - техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Средства криптографической защиты информации (далее - СКЗИ) - это программы и устройства, которые шифруют и дешифруют информацию и проверяют, вносились ли в неё изменения. СКЗИ используют для безопасного хранения и передачи данных. С их помощью также создают электронные подписи.

Съемный носитель - переносное устройство хранения информации, временно подключаемое к компьютерам, ноутбукам, планшетам и т.д. через стандартные разъёмы.

2. Общие положения

Настоящее Положение об организации обеспечения безопасности информации на объектах информатизации службы по контролю в области градостроительной деятельности Красноярского края (далее - Положение) разработано в соответствии с Федеральным законом Российской Федерации от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными и правовыми актами, операторами, являющимися государственными или муниципальными органами"; Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных", и определяет порядок организации и проведения работ по обеспечению безопасности персональных данных и информации, не составляющей государственную тайну, содержащейся в информационных системах (далее - защищаемая информация), обрабатываемых на объектах информатизации службы по контролю в области градостроительной деятельности Красноярского края (далее - Служба).

Положение разработано с целью:

- организации и координации работ по обеспечению безопасности защищаемой информации на объектах информатизации, взаимодействующих с федеральными государственными информационными системами и с региональными государственными информационными системами;

- регламентации порядка проведения работ по обеспечению безопасности защищаемой информации, обрабатываемой на объектах информатизации;

- контроля состояния безопасности защищаемой информации, обрабатываемой на объектах информатизации;

- определение такого порядка обработки персональных данных (далее - ПДн), при котором обеспечиваются законные права и интересы субъектов ПДн.

Положение обязательно для исполнения всеми лицами, участвующими в обработке защищаемой информации.

3. Администратор информационной безопасности

3.1. Функции администратора информационной безопасности

Полномочия по обеспечению безопасности и организации работ по защите информации, осуществлению контроля состояния безопасности защищаемой информации, обрабатываемой на объектах информатизации в Службе возлагаются на сотрудника, ответственного за поддержку и обслуживание программных и технических средств Службы (далее - администратор информационной безопасности).

Администратор информационной безопасности осуществляет следующие мероприятия, направленные на обеспечение безопасности защищаемой информации, обрабатываемой на объектах информатизации:

1) настройку и сопровождение системы защиты объектов информатизации:

- реализует полномочия доступа для каждого пользователя объекта информатизации на основе утвержденного руководителем Службы перечня лиц, имеющих доступ к защищаемой информации, обрабатываемой на объектах информатизации;

- своевременно удаляет учетные записи пользователей на объектах информатизации при увольнении или перемещении сотрудника;

- своевременно блокирует учетные записи пользователей объектов информатизации на период пребывания пользователей в отпуске, а также на период их отсутствия на службе в связи с временной нетрудоспособностью, и производит разблокировку учетных записей по окончании таких периодов;

- периодически, но не реже одного раза в 6 месяцев контролирует смену паролей пользователями для доступа на объект информатизации;

- регистрирует новых пользователей объектов информатизации;

- регистрирует средства защиты информации;

- периодически, но не реже одного раза в месяц, выполняет мероприятия по периодическому тестированию функционирования СЗИ в соответствии с документацией разработчика данных средств, регистрируя проведение данных мероприятий;

2) настройку и сопровождение подсистемы регистрации и учета объектов информатизации:

- проводит регулярный анализ системного журнала объектов информатизации для выявления попыток несанкционированного доступа к защищаемым ресурсам с соответствующей регистрацией проверки;

- своевременно информирует руководство о несанкционированных действиях сотрудников и участвует в разбирательствах по фактам попыток несанкционированного доступа;

- проводит резервное копирование информационных массивов объектов информатизации;

3) сопровождение подсистемы обеспечения целостности объектов информатизации:

- осуществляет учет возникновения нештатных ситуаций;

- осуществляет восстановление информационной системы при возникновении сбоев.

4) контроль функционирования подсистемы антивирусной защиты объектов информатизации:

- обеспечивает поддержание установленного порядка и соблюдение правил антивирусной защиты;

- периодически, но не реже одного раза в месяц, проводит антивирусные проверки всех жестких дисков, SSD объектов информатизации;

- регистрирует результаты антивирусных проверок.

5) контроль использования машинных носителей информации и ведение их учета;

6) сопровождение подсистемы межсетевого экранирования объектов информатизации;

7) сопровождение подсистемы обнаружения вторжений объектов информатизации;

8) организацию обновлений программного обеспечения и средств защиты, выполнение профилактических работ, установку и модификацию программных средств на объектах информатизации;

9) проведение модернизации аппаратных компонентов;

10) проведение инструктажа сотрудников, имеющих право доступа к защищаемой информации;

11) осуществление контроля за соблюдением пользователями информационной системы требований к защите информации;

12) осуществление контроля за обеспечением уровня защищенности ПДн на объектах информатизации, а также контроля за соблюдением пользователями объектов информатизации требований к защите ПДн;

13) участие в анализе ситуаций, касающихся функционирования СЗИ и проверки фактов несанкционированного доступа;

14) оказание методической помощи по вопросам обеспечения безопасности защищаемой информации;

15) разработку предложений и участие в проводимых работах по совершенствованию системы защиты информации, обрабатываемой на объектах информатизации;

16) Проведение внутреннего контроля соответствия обработки ПДн к защите ПДн.

3.2. Обязанности администратора информационной безопасности

Администратор информационной безопасности обязан:

- обеспечивать функционирование и поддерживать работоспособность средств защиты объектов информатизации в пределах возложенных на него функций;

- в случае отказа работоспособности технических средств и программного обеспечения, средств вычислительной техники, в том числе средств защиты объектов информатизации, принимать меры по их своевременному восстановлению и выявлению причин, которые вызвали отказ работоспособности;

- информировать руководство о фактах нарушения установленного порядка работ, попытках и фактах несанкционированного доступа к защищаемой информации, обрабатываемой на объектах информатизации.

3.3. Права администратора информационной безопасности

Администратор информационной безопасности вправе:

- контролировать работу пользователей объектов информатизации;

- требовать прекращения обработки информации, как в целом, так и отдельных пользователей объектов информатизации, в случае выявления нарушений требований по обработке и обеспечению безопасности защищаемой информации, обрабатываемой на объекте информатизации Службы.

3.4. Ответственность администратора информационной безопасности

Администратор информационной безопасности несет ответственность за:

- неисполнение (ненадлежащее исполнение) своих обязанностей, предусмотренных настоящим Положением в пределах, определенных законодательством Российской Федерации;

- совершенные в процессе осуществления своей деятельности правонарушения - в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации;

- невыполнение или ненадлежащее выполнение указаний руководства;

- сохранность защищаемой информации;

- соблюдение требований нормативных правовых актов и локальных актов Службы, определяющих порядок организации и проведения работ, направленных на обеспечение безопасности информации, обрабатываемой на объектах информатизации;

- сохранность и работоспособное состояние технических средств, программного обеспечения, средств защиты, входящих в состав объекта информатизации;

- выполнение обязанностей, предусмотренных настоящим Положением.

4. Инструкция пользователей информационных систем ПДн в Службе

4.1. Общие положения

Пользователем является каждый сотрудник Службы, участвующий в рамках своих должностных обязанностей в процессах обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.

Пользователь информационных систем ПДн (далее - пользователь) осуществляет обработку ПДн в информационных системах персональных данных.

Пользователь несет персональную ответственность за свои действия.

Пользователь в своей работе руководствуется настоящей инструкцией и нормативными документами Службы в части, касающейся обеспечения защиты информации.

Методическое руководство работой пользователя осуществляется администратором информационной безопасности.

4.2. Должностные обязанности пользователя

4.2.1. Пользователь обязан:

- знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних документов, регламентирующих порядок действий по защите информации;

- выполнять на рабочем месте только те процедуры, которые определены для него в должностной инструкции, а также в других нормативно-правовых актах Службы;

- знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов;

- соблюдать порядок организации парольной защиты, передачи и хранения паролей в службе;

- соблюдать правила при работе в сетях общего доступа - Интернет;

- экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты) так, чтобы исключить возможность визуального просмотра монитора за пределами помещения;

- обо всех выявленных нарушениях, связанных с информационной безопасностью Службы, а также для получения консультаций по вопросам информационной безопасности, работы и настройке элементов информационных систем персональных данных необходимо обращаться к администратору информационной безопасности;

- при отсутствии визуального контроля за рабочей машиной доступ к ней должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш <Windows+L> (для оперативной системы семейства Windows); для оперативной системы семейства Linux необходимо нажать одновременно комбинацию клавиш <Ctrl+Alt+L> или <Windows+L>;

- принимать меры по реагированию в случае возникновения нештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий, в пределах возложенных на него функций;

- соблюдать режим допуска в помещения, где осуществляется обработка ПДн;

- использовать только учтенные машинные носители информации;

- перед началом работы с машинным носителем информации осуществлять проверку носителя на предмет отсутствия вредоносных программ;

- в случае получения сотрудником электронно-цифровой подписи самостоятельно, необходимо уведомить об этом администратора информационной безопасности и расписаться в соответствующем журнале;

- перед тем, как покинуть помещение, где ведется обработка ПДн, необходимо запереть помещение на ключ.

4.2.2. Пользователю запрещается:

- разглашать защищаемую информацию третьим лицам;

- копировать защищаемую информацию на внешние неучтенные машинные носители информации;

- самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;

- несанкционированно открывать общий доступ к папкам на своей рабочей машине;

- запрещено подключать к рабочей машине и информационной сети личные внешние носители (неучтенные) и мобильные устройства;

- отключать (блокировать) средства защиты информации;

- обрабатывать на рабочей машине постороннюю информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным системам персональных данных;

- сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам информационных систем персональных данных (логины, пароли и т.д.);

- привлекать посторонних лиц для производства ремонта или настройки рабочих машин, без согласования с ответственным лицом.

- хранить на одном машинном носителе информации ПДн, цели обработки которых заведомо несовместимы;

- открывать общий доступ к папкам на своей рабочей машине, если в этом нет должностной необходимости;

- оставлять посторонних лиц без присмотра в помещениях, в которых осуществляется обработка ПДн;

- производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;

- передавать защищаемую информацию по открытым каналам без использования необходимых средств защиты.

4.3. Правила работы в сетях общего доступа и (или) международного обмена

4.3.1. Работа в сетях общего доступа (Интернет и других) (далее - Сеть) на элементах информационных систем ПДн должна проводиться при служебной необходимости.

4.3.2. При работе в Сети запрещается:

- осуществлять работу при отключенных средствах защиты (антивирус и других);

- передавать по Сети защищаемую информацию без использования средств шифрования;

- запрещается скачивать из Сети программное обеспечение и другие файлы;

- запрещается посещение сайтов сомнительной репутации (сайты, содержащие нелегально распространяемое программное обеспечение и другие);

- запрещается нецелевое использование подключения к Сети.

4.4. Порядок реагирования на аварийную ситуацию

4.4.1. Под аварийной ситуацией, в данном случае, понимается некоторое происшествие, связанное со сбоем в функционировании элементов информационных систем ПДн.

Аварийная ситуация становится возможной в результате реализации одной из угроз, приведенных ниже.

- отключение электроэнергии;

- сбой в работе вычислительной сети (коммутационного оборудования);

- ошибка персонала;

- нарушение конфиденциальности, целостности и доступности персональных данных;

- физический разрыв внешних каналов связи.

4.4.2. В случае реализации любой из угроз (выявлении предпосылок к ее реализации) пользователь обязан:

- предпринять попытку сохранения обрабатываемой информации, содержащей ПДн;

- прекратить работу на рабочем месте;

- немедленно оповестить администратора информационной безопасности о возникновении аварийной ситуации.

4.5. Права и ответственность пользователя информационной системы ПДн

4.5.1. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам информационной системы ПДн.

4.5.2. Пользователь, виновный в несоблюдении настоящей инструкции, расценивается как нарушитель Федерального закона РФ 27.07.2006 N 152-ФЗ "О персональных данных" и несет предусмотренную законодательством Российской Федерации ответственность.

5. Ознакомление лица, допущенного к обработке персональных данных, с нормами текущего законодательства

5.1. Первичный инструктаж лица, допущенного к обработке ПДн на объектах информатизации, проводится после утверждения руководителем документа о наделении лица правом доступа к обработке ПДн до непосредственного доступа этого лица к объекту информатизации.

Лицо получает непосредственный доступ к защищаемой информации только после прохождения первичного инструктажа.

Все лица, допущенные к работе с защищаемой информацией, должны быть ознакомлены с нормативными правовыми актами Российской Федерации, Красноярского края, и с локальными актами Службы, регламентирующими работу с персональными данными, в том числе в которых содержатся требования к защите персональных данных, под подпись с фиксацией в журнале ознакомления сотрудников Службы с положениями текущего законодательства. Форма журнала приведена в Приложении N 1 к Положению.

5.2. Лицо, являющееся пользователем объекта информатизации, должно иметь доступ только к тем информационным ресурсам объекта информатизации, которые необходимы для выполнения им его должностных обязанностей.

5.3. Администратор информационной безопасности, проводящий инструктаж лица, допущенного к работе с защищаемой информацией, обязан разъяснить ему, какие действия на объекте информатизации лицо имеет право совершать, а какие действия ему запрещены.

Лицо, допущенное к работе с защищаемой информацией, обрабатываемой на объекте информатизации, должно быть предупреждено:

- об обязанностях выполнения всех правил и требований, предусмотренных локальными актами Службы в области защиты информации;

- о проведении проверок по фактам нарушений правил обработки персональных данных, в соответствии с установленными Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Службе.

5.4. Факт прохождения лицом первичного инструктажа регистрируется администратором информационной безопасности в журнале учета прохождения первичного инструктажа о мерах по обеспечению безопасности персональных данных сотрудниками Службы по форме, приведенной в Приложении N 2 к Положению.

В случае изменений в законодательстве в области обработки и защиты ПДн, в том числе в локальных актах Службы, необходимо ознакомлять сотрудников с такими изменениями под подпись, о чем делается соответствующая запись в журнале ознакомления сотрудника с положениями текущего законодательства.

6. Организация режима обеспечения безопасности помещений, в которых осуществляется обработка защищаемой информации

6.1. Общие сведения

Помещения, в которых осуществляется обработка защищаемой информации, должны располагаться в пределах контролируемой зоны.

Доступ иных лиц в помещения Службы, где осуществляется обработка защищаемой информации, разрешается только в присутствии лиц, имеющих право доступа в помещение.

Помещения, в которых осуществляется обработка защищаемой информации, должны обеспечивать сохранность информации, обрабатываемой на объектах информатизации, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.

Машинные носители, содержащие информацию, обрабатываемую на объектах информатизации (диски, флеш-карты), должны храниться в недоступном для посторонних лиц месте - в запираемых шкафах (сейфах).

Помещения, в которых осуществляется обработка защищаемой информации, должны иметь прочные входные двери и замки, гарантирующие надежное закрытие помещений в нерабочее время.

Вскрытие и закрытие помещений, в которых ведется обработка защищаемой информации, производится сотрудниками Службы, имеющими право доступа в соответствующее помещение.

Перед закрытием помещений, в которых осуществляется обработка защищаемой информации, по окончании рабочего дня сотрудники, имеющие право доступа к защищаемой информации, обрабатываемой в соответствующем помещении, обязаны:

- убрать машинные носители, содержащие защищаемую информацию (диски, флеш-карты) в запираемые шкафы (сейфы), запереть шкафы (сейфы) на замок;

- отключить персональный компьютер, а также технические средства (кроме постоянно действующего оборудования) от сети, выключить освещение;

- закрыть окна, двери.

Перед открытием помещений, в которых осуществляется обработка защищаемой информации, сотрудники обязаны:

- провести внешний осмотр с целью установления целостности двери и замка;

- открыть дверь и осмотреть помещение, проверить наличие и целостность замков на шкафах.

При обнаружении неисправности двери и запирающих устройств сотрудники обязаны:

- не вскрывая помещение, в котором осуществляется обработка защищаемой информации, сообщить об этом руководителю;

- в присутствии не менее двух сотрудников, включая руководителя, вскрыть помещение и осмотреть его;

- составить акт о выявленных нарушениях и передать установленным порядком руководителю.

При работе с защищаемой информацией, двери помещений должны быть всегда закрыты.

Присутствие лиц, не имеющих права доступа к защищаемой информации, должно быть исключено.

Доступ в помещения, где осуществляется обработка защищаемой информации, вспомогательного и обслуживающего персонала (уборщиц, электромонтёров, сантехников и других лиц) разрешается только в случае служебной необходимости в сопровождении лица, имеющего право доступа в соответствующее помещение, после принятия мер, исключающих визуальный просмотр документов, содержащих защищаемую информацию, обрабатываемую на объектах информатизации, и экранов мониторов.

Внутренняя планировка и расположение рабочих мест в помещениях, где осуществляется обработка защищаемой информации, должны исключать визуальный просмотр обрабатываемой на объекте информатизации защищаемой информации для сотрудников, не осуществляющих обработку таких сведений. Окна помещений, в которых осуществляется обработка защищаемой информации, должны быть оборудованы шторами (жалюзи).

Ответственность за соблюдение порядка доступа в помещения, в которых осуществляется обработка защищаемой информации, возлагается на пользователей объектов информатизации.

6.2. Порядок доступа сотрудников и третьих лиц к обработке ПДн и в помещения, в которых осуществляется обработка

Доступ сотрудников в помещения, в которых обрабатываются ПДн, осуществляется в соответствии с утвержденным Порядком доступа государственных гражданских служащих Службы в помещения, в которых ведется обработка персональных данных, а также перечнем должностей, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн. Данные документы подлежат своевременной актуализации.

Доступ третьих лиц в помещения, в которых обрабатываются ПДн, к обработке ПДн, или в серверную осуществляется в присутствии сотрудника Службы.

Ответственными за организацию доступа в помещения, в которых ведется обработка персональных данных, являются начальники соответствующих структурных подразделений Службы.

6.3. Обеспечение безопасности серверного помещения

Для обеспечения безопасности серверного помещения необходимо оборудование его металлической дверью с замком. В конце рабочего дня помещение необходимо опечатывать. Также, необходимо оборудовать помещение техническими устройствами, сигнализирующими о несанкционированном доступе.

Доступ в серверное помещение осуществляется сотрудниками отдела Службы, в чьем ведении находится обеспечение работы информационной инфраструктуры Службы.

7. Контроль и надзор за эксплуатацией аттестованных объектов информатизации

Государственный контроль и надзор за проведением аттестации объектов информатизации по требованиям безопасности информации, а также за соблюдением правил эксплуатации аттестованных объектов информатизации и эффективностью принятых мер защиты не криптографическими методами проводится Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России) и ее территориальными органами.

Объем, содержание и порядок государственного контроля и надзора устанавливаются нормативными и методическими документами по обеспечению безопасности информации при ее обработке на объектах информатизации. Контрольные мероприятия проводятся в соответствии с утвержденными планами работ.

Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, проверку правильности оформления отчетных документов и протоколов аттестационных испытаний, проверку своевременности внесения изменений в организационно-распорядительные документы по обеспечению безопасности информации, а также контроль за эксплуатацией аттестованных объектов информатизации.

8. Порядок организации парольной защиты, передачи и хранения паролей в Службе

8.1. Общие положения

Порядок организации парольной защиты, передачи и хранения паролей в Службе (далее - Порядок) регламентирует организационно-техническое обеспечение процессов выдачи, хранения, смены и прекращения действия паролей на объекте информатизации (удаления учетных записей пользователей), а также контроль над действиями пользователей объекта информатизации при работе с паролями в Службе.

Целью применения и реализации парольной защиты является исключение утечки защищаемой информации, обрабатываемой на объекте информатизации Службы, а также ее несанкционированной модификации или уничтожения.

Организационное и техническое обеспечение процессов выдачи, использования, смены и прекращения действия паролей во всех подсистемах объекта информатизации, контроль действий пользователей при работе с паролями, своевременное информирование о необходимости смены паролей в Службе возлагается на администратора информационной безопасности.

Ответственность за соблюдение требований хранения и использования паролей возлагается на их владельцев.

8.2. Порядок организации парольной защиты

8.2.1. Защите паролем подлежит доступ к следующей информации:

- базовая система ввода-вывода объекта информатизации;

- настройки операционной системы;

- настройки сетевого оборудования;

- настройки средств защиты информации;

- программное обеспечение, предназначенное для обработки защищаемой информации;

- ресурсы объекта информатизации и информационные ресурсы, содержащие защищаемую информацию.

8.2.2. Личные пароли доступа пользователей объекта информатизации генерируются и выдаются администратором информационной безопасности.

8.2.3. Факт выдачи идентификационных данных (логина, пароля) пользователю объекта информатизации фиксируется администратором информационной безопасности в журнале учета выдачи сотрудникам Службы идентификационных данных для доступа к информационным ресурсам, форма которого приведена в Приложении N 3 к Положению.

8.2.4. После получения сгенерированного пароля пользователь должен сменить пароль самостоятельно с учетом следующих требований:

- длина пароля должна быть не менее 8 (восьми) буквенно-цифровых символов;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования автоматизированных рабочих мест, общепринятые сокращения (например, ЭВМ, ЛВС, USER, ADMIN, ADMINISTRATOR и т.д.) и другие данные, которые могут быть подобраны злоумышленником путем анализа информации о пользователе объекта информатизации;

- не допускается использование в качестве пароля одного и того же повторяющегося символа или повторяющейся комбинации из нескольких символов;

- не допускается использование в качестве пароля комбинации символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего;

- в числе символов пароля обязательно должны присутствовать латинские буквы в верхнем и нижнем регистрах, а также цифры и символы;

- не допускается использование ранее использованных паролей.

8.3. Правила хранения паролей

8.3.1. При организации парольной защиты запрещается:

- записывать свои пароли в очевидных местах (например, на мониторе, на обратной стороне клавиатуры и т.д.);

- хранить пароли в записанном виде на отдельных листах бумаги;

- сообщать другим лицам свои пароли, а также сведения о применяемой системе защиты от несанкционированного доступа.

8.3.2. Хранение значений действующих паролей в электронном виде допускается на средствах вычислительной техники или информационной системе, обеспечивающих авторизованный доступ исключительно владельцу пароля.

8.3.3. Хранение значений действующих паролей на бумажном носителе или съемных МНИ допускается только в прочных, надежно запираемых хранилищах (сейфах, ящиках), исключающих доступ посторонних лиц.

8.4. Обязанности лиц, использующих паролирование:

Лица, использующие паролирование, обязаны:

- четко знать и строго выполнять требования по парольной защите;

- своевременно сообщать администратору информационной безопасности обо всех нештатных ситуациях, возникающих при работе с паролями.

- в случае компрометации (утери, передачи другому лицу) личного пароля принять незамедлительные меры для смены пароля, а также сообщить об этом администратору информационной безопасности.

8.5. Порядок применения парольной защиты

8.5.1. Личные пароли должны создаваться пользователями самостоятельно не реже чем 1 раз в 6 месяцев в соответствии с настроенной администратором информационной безопасности доменной политикой.

8.5.2. Внеплановая смена (блокировка) пароля в случаях его компрометации производится администратором информационной безопасности на основании заявки пользователя, по форме согласно Приложению N 4 к Положению, в том числе на основании копии приказов о приеме (увольнении, переводе) сотрудников Службы.

8.5.3. Удаление (в том числе внеплановая смена) личного пароля любого пользователя должна производиться в следующих случаях:

- при подозрении на компрометацию пароля;

- по завершении срока действия пароля;

- в случае прекращения полномочий пользователя (увольнение, переход на другую должность внутри Службы) - после завершения последнего сеанса работы данного пользователя с системой;

- по указанию администратора информационной безопасности;

- в случае прекращения полномочий (увольнение, переход на другую должность внутри Службы) администратора информационной безопасности.

8.5.4. Для предотвращения доступа к объекту информатизации, минуя ввод пароля, пользователь объекта информатизации во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки "Заблокировать" в появившемся меню или выключить объект информатизации.

8.5.5. Порядок применения (смены) паролей при работе на объектах информатизации, оборудованных системой защиты, приведен в эксплуатационной документации на СЗИ.

8.5.6. В случае несоответствия данной парольной политики технической документации по СКЗИ применять следует требования технической документации по СКЗИ.

9. Порядок организации антивирусной защиты в Службе

9.1. Общие положения организации антивирусной защиты

Целью антивирусной защиты объекта информатизации является реализация мер по антивирусной защите информационных систем Службы, предотвращение и нейтрализация негативных воздействий вредоносных программ на информационные ресурсы, содержащие защищаемую информацию, и программное обеспечение, предназначенное для обработки такой информации.

Порядок организации антивирусной защиты определяет требования к организации и обеспечению защиты объекта информатизации от разрушающего воздействия вредоносных программ и устанавливает ответственность за их выполнение.

К использованию на объектах информатизации допускаются только лицензионные и сертифицированные ФСТЭК России и Федеральной службой безопасности Российской Федерации (далее - ФСБ России) по требованиям безопасности информации средства антивирусной защиты.

Установка и начальная настройка средств антивирусной защиты на объекте информатизации может осуществляться администратором информационной безопасности, а также представителями организации-лицензиата ФСТЭК России и ФСБ России.

Обновления баз данных средств антивирусной защиты от вредоносных программ и контроль их работоспособности производится в автоматическом режиме.

Пользователи объектов информатизации обязаны руководствоваться в работе Порядком организации антивирусной защиты.

Ответственность за проведение мероприятий антивирусной защиты и контроля, соблюдения требований антивирусной защиты на объектах информатизации возлагается на администратора информационной безопасности.

9.2. Требования по обеспечению антивирусной защиты

Обязательному антивирусному контролю подлежат все средства вычислительной техники (персональные компьютеры, сетевые рабочие станции, серверы и другие типы компьютеров), а также любая информация, получаемая и передаваемая по телекоммуникационным каналам и линиям связи (текстовые файлы любых форматов, файлы данных, исполняемые файлы), защищаемая информация, обрабатываемая на объектах информатизации, и содержащаяся на машинных носителях (жесткие магнитные диски, оптические носители информации (CD-, DVD-диски), флеш-накопители USB).

Антивирусный контроль входящей информации, в том числе при разархивировании, должен проводиться непосредственно после получения информации. Антивирусный контроль исходящей информации должен проводиться непосредственно перед отправкой (записью на съемный носитель).

Антивирусный контроль информации необходимо осуществлять перед архивированием или записью на машинный носитель. Файлы, помещаемые в электронный архив, в обязательном порядке проходят антивирусный контроль. Периодические проверки электронных архивов проводятся администратором информационной безопасности не реже 1 (одного) раза в месяц.

При получении электронной почты необходимо осуществлять антивирусный контроль с применением средств антивирусной защиты всех входящих сообщений, содержимого файлов, являющихся вложениями электронных почтовых сообщений. В случае если проверка входящего сообщения на почтовом сервере показала наличие в нем вируса или вредоносного кода, отправка данного сообщения должна блокироваться.

Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вредоносных программ. После установки (изменения) программного обеспечения должна быть осуществлена антивирусная проверка объекта информатизации.

На объектах информатизации, аттестованных по требованиям безопасности информации, установка (изменение) системного и прикладного программного обеспечения, средств защиты информации должна осуществляться только администратором информационной безопасности.

9.3. Действия при обнаружении вирусов

При возникновении подозрения на наличие вредоносных программ (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь объекта информатизации самостоятельно (или совместно с администратором информационной безопасности) должен провести внеочередной антивирусный контроль объекта информатизации.

В случае обнаружения вредоносного ПО при проведении антивирусной проверки пользователь объекта информатизации обязан:

- приостановить работу объекта информатизации;

- немедленно поставить в известность о факте обнаружения вредоносного ПО администратора информационной безопасности, а также других пользователей ОИ, использующих зараженные файлы в работе;

- совместно с владельцем зараженных вредоносным ПО файлов провести анализ возможности их дальнейшего использования;

- провести "лечение" или удаление зараженных файлов.

При включении персонального компьютера установленное антивирусное программное обеспечение должно производить сканирование в фоновом режиме. При перезапуске серверов антивирусный контроль должен проводиться в автоматическом режиме.

10. Порядок использования съемных носителей конфиденциальной информации в Службе

10.1. Общие положения

Порядок использования съемных носителей конфиденциальной информации в Службе (далее - Порядок) определяет порядок работы со съёмными носителями персональных данных в Службе в соответствии с федеральным законодательством, иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.

Все сотрудники Службы, допущенные к обработке персональных данных, выполняют и соблюдают требования настоящего Порядка.

10.2. Порядок работы со съёмными носителями

Съёмные носители выдаются пользователям работником Службы, являющимся материально ответственным лицом, в подотчете у которого находятся съемные носители (далее - материально ответственное лицо), только в случаях производственной необходимости на основании служебной записки (заявки) пользователя на имя руководителя Службы, согласованной с начальником структурного подразделения и администратором информационной безопасности.

Все съёмные носители (USB-накопитель, переносные жесткие диски, CD/DVD диски, цифровые фотоаппараты, телефоны и т.д.) учитываются и выдаются материально ответственным лицом пользователям под подпись в журнале учета (Приложение N 5 к Положению).

Пользователям, получившим съёмные носители персональных данных под подпись, запрещается передавать их третьим лицам.

Администратор информационной безопасности изымает съёмные носители персональных данных при увольнении пользователя.

Запрещается использование неучтённых съёмных носителей.

Запрещается копирование защищаемой информации пользователями объектов информатизации с целью их передачи другим сотрудникам или посторонним лицам.

Полученные извне съемные носители информации должны:

- проверяться на наличие вредоносных программных продуктов;

- учитываться в соответствии с настоящей политикой;

- передаваться сотрудникам Службы, являющимся пользователями объектов информатизации, только с разрешения начальника структурного подразделения с записью в соответствующем журнале учета.

10.3. Порядок хранения носителей информации

Все съёмные носители персональных данных хранятся в запираемых шкафах (сейфах).

Допускается хранение съёмных носителей персональных данных вне запираемых шкафов (сейфов) при условиях уничтожения персональных данных в соответствии с правилами обработки персональных данных в Службе, либо если на съёмном носителе персональных данных хранятся только персональные данные в зашифрованном или обезличенном виде.

Право на перемещение съёмных носителей информации за пределы территории, на которой осуществляется обработка, имеют только те сотрудники Службы, которым это необходимо для выполнения своих должностных обязанностей.

В случае обнаружения администратором информационной безопасности несанкционированного использования пользователями неучтённых съёмных носителей для обработки персональных данных, первый инициирует служебную проверку в порядке, установленном Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Службе.

Пользователи, в случаях утраты или кражи съёмных носителей персональных данных, сообщают об этом администратору информационной безопасности.

Съёмные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению в соответствии с правилами обработки персональных данных в Службе. По результатам уничтожения составляется Акт уничтожения персональных данных по форме, установленной Приложением N 6 к Положению.

10.4. Порядок организации учёта съёмных носителей

На каждом съёмном носителе персональных данных размещается этикетка с уникальным учётным номером.

Администратор информационной безопасности при выдаче, приёме, уничтожении съёмных носителей персональных данных вносит в Журнал учета съёмных носителей персональных данных:

- учётный номер, размещённый на этикетке на съёмном носителе персональных данных;

- тип съёмного носителя (USB-накопитель, внешний жёсткий диск, CD/DVD диск);

- серийный или инвентарный номер съёмного носителя;

- место хранения (номер запираемого шкафа или сейфа, номер помещения);

- дату и номер Акта уничтожения персональных данных в случае уничтожения съёмного носителя;

- подпись.

Пользователи при получении либо сдаче съёмных носителей персональных данных заносят в Журнал учёта съёмных носителей персональных данных (Приложение N 4 к Положению) свои фамилию, имя, отчество, ставят дату и подпись.

10.5. Порядок работы со съемными носителями информации

Подключение съемных носителей информации следует производить при включенном компьютере и загруженной операционной системе.

Все подключаемые к персональному компьютеру съемные носители информации должны проверяться на отсутствие вредоносных программ.

Администратор информационной безопасности на объектах информатизации:

- реализует отключение функции автозапуска съемных носителей при их подключении;

- активирует функцию автоматической проверки на отсутствие вредоносных программ подключаемых носителей.

В случае необходимости копирования информации со съёмного носителя на посторонний компьютер, перед подключением необходимо включить блокировку записи (если она предусмотрена конструкцией съемного носителя), поскольку вирусы на зараженном компьютере постоянно загружены в оперативную память и отслеживают порты на предмет подключения съемных носителей.

Не извлекать из компьютера съемный носитель в момент обращения к нему, это может привести к потере данных и повреждению устройства.

10.6. Ответственность

Все сотрудники Службы, допущенные в установленном порядке к работе с персональными данными, несут административную, материальную, уголовную ответственность в соответствии с действующим законодательством за обеспечение сохранности и соблюдение правил работы с персональными данными.

Ответственность за доведение требований настоящего Порядка до работников Службы несёт администратор информационной безопасности.

Ответственность за обеспечение мероприятий по реализации требований настоящего Порядка, в том числе учёт, выдачу, уничтожение съёмных носителей персональных данных несёт администратор информационной безопасности.

11. Ответственность за нарушение требований законодательства

Лица, виновные в нарушении норм законодательства в сфере защиты информации, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, предусмотренном законодательством Российской Федерации.

Приложение N 1
к Положению об организации
обеспечения безопасности информации
на объектах информатизации службы
по контролю в области градостроительной деятельности
Красноярского края

                            Журнал

      ознакомления сотрудников службы по контролю

   в области градостроительной деятельности Красноярского края

 с положениями текущего законодательства Российской Федерации

                в области персональных данных

N п/п	Ф.И.О. сотрудника	Должность, структурное подразделение Службы	Наименование и реквизиты нормативного правового акта, локального акта Службы	Дата ознакомления	Подпись

Начат: "_____" ____________ 20___г.

Окончен: "_____" ____________ 20___г.

Приложение N 2
к Положению об организации
обеспечения безопасности информации
на объектах информатизации службы
по контролю в области градостроительной деятельности
Красноярского края

                           Журнал

         учёта прохождения первичного инструктажа

    о мерах по обеспечению безопасности персональных данных

                сотрудниками службы по контролю

   в области градостроительной деятельности Красноярского края

N п/п	Ф.И.О. сотрудника, должность, структурное подразделение Службы	Дата проведения инструктажа	Фамилия и инициалы инструктора	Надпись "Ознакомлен(а)", дата, подпись сотрудника

Начат: "_____" ____________ 20___г.

Окончен: "_____" ____________ 20___г.

Приложение N 3
к Положению об организации
обеспечения безопасности информации
на объектах информатизации службы
по контролю в области градостроительной деятельности
Красноярского края

                            Журнал

         учёта выдачи сотрудникам службы по контролю

   в области градостроительной деятельности Красноярского края

            идентификационных данных (логина и пароля)

             для доступа к информационным ресурсам

N п/п	Ф.И.О. получателя идентификационных данных	Место осуществления доступа	Информационный ресурс (система)	Выдано: дата, подпись, Ф.И.О.	Получено: дата, подпись

Начат: "_____" ____________ 20___г.

Окончен: "_____" ____________ 20___г.

Приложение N 4
к Положению об организации
обеспечения безопасности информации
на объектах информатизации службы
по контролю в области градостроительной деятельности
Красноярского края

(Форма)

                             ____________________________________________

                                          (Должность и Ф.И.О.

                                        сотрудника, ответственного

                             ____________________________________________

                                за поддержку и обслуживание программных

                             ____________________________________________

                                     и технических средств Службы)

                           Заявка

        на регистрацию пользователя и предоставление

         (изменение, блокировку) ему прав доступа

         к информационным системам (ресурсам, сетям)

Сведения о пользователе
Структурное подразделение Службы
Ф.И.О (полностью)
Должность
Служебный телефон
Адрес служебной электронной почты
Сведения о системе
Наименование системы
Дополнительная информация
Необходимые действия (регистрация, изменение прав и т.д.)
Выполняемые задачи
Примечание

________________ /________________

    (подпись)     (И.О. Фамилия)

Заявку принял _________________:

                   (дата)

_________________ /_____________

    (подпись)     (И.О. Фамилия)

Приложение N 5
к Положению об организации
обеспечения безопасности информации
на объектах информатизации службы
по контролю в области градостроительной деятельности
Красноярского края

                         Журнал

       учёта съёмных носителей персональных данных

               в службе по контролю в области

      градостроительной деятельности Красноярского края

N п/п	Учётный номер	Тип съемного носителя	Номер съемного носителя (серийный/ инвентарный)	Место хранения	Расписка в получении		Дата и номер акта уничтожения	Подпись ответственного лица	Примечание
					ФИО, дата получения, подпись	ФИО, дата сдачи, подпись
1	2	3	4	5	6	7	8	9	10

Начат: "_____" ____________ 20___г.

Окончен: "_____" ____________ 20___г.

Приложение N 6
к Положению об организации
обеспечения безопасности информации
на объектах информатизации службы
по контролю в области градостроительной деятельности
Красноярского края

                          Акт N _____

           об уничтожении съемных носителей информации

     Комиссия в составе:

- председатель комиссии _________________________________________________

                               (должность, Фамилия Имя Отчество)

- члены комиссии        _________________________________________________

                               (должность, Фамилия Имя Отчество)

                        _________________________________________________

                               (должность, Фамилия Имя Отчество)

     провела отбор съемных  носителей  информации  и  установила,   что в

соответствии  с  требованиями  действующего  законодательства  Российской

Федерации информация, записанная на них в процессе эксплуатации, подлежит

гарантированному уничтожению,  и  составила  настоящий  акт  о   том, что

произведено уничтожение съемных носителей информации:

N п/п	Дата	Тип носителя	Учетный номер машинного носителя информации	Категория информации	Примечание

     Всего машинных носителей информации:

________________________________________________________________________.

                   (количество цифрами и прописью)

     На указанных носителях информация уничтожена путем

________________________________________________________________________.

            (способ уничтожения защищаемой информации)

- председатель комиссии _________________________________________________

                               (должность, Фамилия Имя Отчество)

- члены комиссии        _________________________________________________

                               (должность, Фамилия Имя Отчество)

                        _________________________________________________

                               (должность, Фамилия Имя Отчество)