Приложение 1. Политика информационной безопасности Пермской городской Думы. Постановление Председателя Пермской городской Думы от 13.02.2024 N 5-1 "Об утверждении Политики информационной безопасности в Пермской городской Думе" (с изменениями и дополнениями)

Приложение 1
к постановлению председателя
Пермской городской Думы
от 13.02.2024 N 5-1

Политика
информационной безопасности Пермской городской Думы

I. Общие положения

1.1. Политика информационной безопасности Пермской городской Думы (далее - Политика ИБ, Дума) разработана в целях установления безопасных способов обработки информации в электронном виде, в том числе в информационных системах (сайтах) Думы (далее - информационная система).

1.2. Политика ИБ определяет в Думе цели и задачи защиты информации, устанавливает методы защиты информации, которыми должны руководствоваться лица, замещающие муниципальные должности в Думе и исполняющие свои полномочия на постоянной основе, и муниципальные служащие аппарата Думы, (далее - пользователи технических средств и информационных систем) при обработке информации в электронном виде, в том числе в информационных системах, ответственность пользователей технических средств и информационных систем за нарушение требований Политики ИБ.

1.3. Политика ИБ применима ко всем техническим средствам (серверам, периферийному оборудованию, автоматизированным рабочим местам (далее - АРМ) и так далее), установленным в Думе, ко всем процессам обработки информации с использованием указанных технических средств (далее - объекты защиты).

1.4. Действие Политики ИБ распространяется на Думу.

При осуществлении санкционированного доступа к информационным ресурсам Думы органами государственной власти, иными органами местного самоуправления, государственными, муниципальными учреждениями требования по обеспечению безопасности информации устанавливаются в соглашении об информационном взаимодействии.

1.5. Правовыми основаниями разработки Политики ИБ являются Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Уголовный кодекс Российской Федерации, Кодекс Российской Федерации об административных правонарушениях, Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", иные нормативные правовые акты Российской Федерации, акты и документы Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, Федеральной службы по надзору в сфере связи и массовых коммуникаций.

II. Термины и определения

2.1. В Политике ИБ используются следующие термины и определения:

2.1.1 вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения;

2.1.2 вредоносная программа - компьютерная программа либо иная компьютерная информация, предназначенная для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;

2.1.3 доступность информации - состояние информации, при котором субъекты, имеющие санкционированные права доступа, могут реализовать их беспрепятственно;

2.1.4 защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых актов или требованиями, устанавливаемыми собственником информации;

2.1.5 идентификатор (имя, логин) - набор символов, представляющий уникальное наименование объекта или субъекта в информационной системе, позволяющее однозначно идентифицировать пользователя при входе его в систему, определить его права в ней, фиксировать действия;

2.1.6 информационная безопасность - состояние защищенности информационной среды;

2.1.7 информационные ресурсы - отдельные документы, массивы документов, в том числе содержащиеся в информационных системах (архивах, фондах, банках данных, других информационных системах);

2.1.8 информационная среда - совокупность условий для технологической переработки и эффективного использования информационных ресурсов (в том числе технические средства, программное обеспечение, телекоммуникации, уровень подготовки пользователей, формы контроля, документопотоки, процедуры, регламенты, юридические нормы, иные факторы, воздействующие на информационные процессы и информационные системы);

2.1.9 инцидент информационной безопасности - совокупность нежелательных событий информационной безопасности, которые способны привести к нарушению информационной безопасности;

2.1.10 ключевая информация - конкретное состояние некоторых параметров алгоритма криптографического преобразования данных и формирования электронной цифровой подписи;

2.1.11 компрометация ключа электронной подписи - утрата доверия к тому, что используемый ключ электронной подписи обеспечивает безопасность информации;

2.1.12 несанкционированное действие - действие субъекта в нарушение установленных в информационной системе регламентируемых правил обработки информации;

2.1.13 носитель ключевой информации - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации;

2.1.14 оператор информационной системы - оператор, определяющий цели и порядок эксплуатации информационной системы;

2.1.15 пароль - конфиденциальная последовательность символов, связанная с субъектом и известная только ему, позволяющая его аутентифицировать, то есть подтвердить соответствие реальной сущности субъекта предъявляемому им при входе идентификатору;

2.1.16 профиль - набор установок и конфигураций, специфичный для данного субъекта или объекта и определяющий его работу в информационной системе;

2.1.17 системный администратор - лицо, обеспечивающее выполнение функций по обеспечению работы компьютерной техники, сети и программного обеспечения в Думе. Системными администраторами в Думе являются заместитель начальника отдела и консультант отдела информационных технологий и материально-технического обеспечения организационного управления аппарата Думы (далее - отдел ИТиМТО);

2.1.18 угроза безопасности информации - потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации, а также неправомерному тиражированию, которое наносит ущерб собственнику, владельцу или пользователю информации;

2.1.19 уязвимость - свойство информационной системы, обуславливающее возможность реализации угроз безопасности, обрабатываемой в ней информации;

2.1.20 целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими санкционированное право на изменение информации.

2.2. Термины: "информация", "информационная система", "информационная система персональных данных", "конфиденциальность информации", "обладатель информации", "сайт в сети Интернет" (далее - сайт), "спам", "обезличивание персональных данных", "общедоступная информация" - используются в значениях, установленных федеральными законами от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 31.12.2021 N 2607 "Об утверждении Правил оказания телематических услуг связи".

2.3. Термины: "электронная подпись", "сертификат ключа проверки электронной подписи", "владелец сертификата ключа проверки электронной подписи", "ключ электронной подписи", "ключ проверки электронной подписи", "средства электронной подписи" - используются в значениях, установленных Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".

III. Цели и задачи защиты информации в Думе, основные виды угроз безопасности информации

3.1. Обеспечение информационной безопасности в Думе (равно как защита информации) - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и (или) непреднамеренных воздействий на защищаемую информацию, ее носители, процессы обработки.

3.2. Защищаемой информацией в Думе является вся информация, обрабатываемая в Думе, (далее - информация) независимо от ее местонахождения в информационной среде.

В Думе обрабатывается информация различных уровней конфиденциальности:

общедоступная (открытая) информация, для которой требуется обеспечение доступности и целостности,

информация ограниченного доступа, использование и распространение которой ограничивается в соответствии с действующим законодательством.

3.3. Основными задачами защиты информации в Думе являются:

выявление и оценка потенциальных угроз информационной безопасности и уязвимостей объектов защиты,

исключение либо минимизация выявленных угроз безопасности,

предотвращение инцидентов информационной безопасности.

3.4. Угрозы безопасности информации могут быть реализованы за счет:

утечки по техническим каналам информации,

несанкционированного доступа с использованием соответствующего программного обеспечения.

3.5. Угрозы безопасности информации могут проявляться в виде инцидентов информационной безопасности:

утрата информации, оборудования или устройств,

противоправные и (или) ошибочные действия пользователей технических средств и информационных систем при работе на АРМ,

нарушение правил обработки информации, в том числе разглашение паролей доступа к информационным ресурсам, которые повлекли или могли повлечь нарушение конфиденциальности, целостности и (или) доступности информации,

нарушение физических мер защиты,

неконтролируемые изменения систем,

сбои программного обеспечения, отказы в обслуживании сервисов, средств обработки информации, оборудования,

внедрение вредоносных программ.

3.6. В качестве методов защиты информации в Думе применяется:

регламентация доступа в служебные помещения Думы,

разграничение доступа к техническим средствам и информационным ресурсам Думы,

применение антивирусной защиты,

применение криптографической защиты информации,

обезличивание персональных данных,

регламентация порядков использования электронной почты,

регламентация работы в сети Интернет,

регламентация создания и эксплуатации информационных систем,

проведение внутреннего контроля и обучение пользователей технических средств и информационных систем.

IV. Регламентация доступа в служебные помещения Думы

4.1. Регламентация доступа в служебные помещения Думы осуществляется в целях:

обеспечения физической сохранности носителей информации, оборудования,

исключения возможности несанкционированного доступа в служебные помещения, в том числе в которых ведется обработка конфиденциальной информации.

4.2. Доступ пользователей технических средств и информационных систем и посетителей в административные помещения Думы осуществляется в соответствии с Положением о пропускном и внутриобъектовом режимах в административных зданиях (помещениях) администрации города Перми, утвержденным правовым актом администрации города Перми.

Доступ в помещения, в которых ведется обработка персональных данных, осуществляется в соответствии с Порядком доступа пользователей технических средств и информационных систем Думы в помещения, в которых ведется обработка персональных данных.

V. Разграничение доступа к техническим средствам и информационным ресурсам Думы

5.1. Разграничение доступа к техническим средствам и информационным ресурсам Думы направлено на предотвращение получения информации, обрабатываемой в электронном виде, в том числе в информационных системах, с нарушением регламентируемых нормативными правовыми актами или владельцами информации правил, следствием которых может быть нарушение конфиденциальности, целостности и (или) доступности информации.

5.2. Обработка и защита персональных данных осуществляется с особенностями, установленными Правилами обработки и защиты персональных данных в Думе, утвержденными председателем Думы.

5.3. К работе с информационными ресурсами Думы допускаются пользователи технических средств и информационных систем, ознакомленные с Политикой ИБ.

5.4. Для осуществления доступа к информационным системам Думы пользователям технических средств и информационных систем создается учетная запись - присваивается уникальный идентификатор (имя, логин) и пароль доступа.

Порядок доступа пользователей технических средств и информационных систем к информационной системе устанавливается в соответствии с правовым актом председателя Думы, определяющим порядок эксплуатации информационной системы.

При увольнении учетная запись пользователя технических средств и информационных систем блокируется.

Обязанность по созданию, блокированию учетных записей возлагается на системных администраторов.

5.5. Для защиты своих паролей пользователи технических средств и информационных систем обязаны:

соблюдать конфиденциальность пароля - не сообщать пароль другим лицам, в том числе другим пользователям технических средств и информационных систем, не хранить пароли в легкодоступных местах (на столе, стене, терминале и так далее),

выбирать трудно угадываемый пароль - использовать в пароле строчные и прописные буквы, цифры, специальные символы, не использовать в качестве пароля свои фамилию, имя, отчество, цифровые ряды или повторяющиеся цифры (123456, 111111 и так далее),

использовать в пароле не менее 8 символов,

в случае компрометации пароля немедленно изменить пароль.

5.6. Для работы с информационными ресурсами Думы пользователю технических средств и информационных систем предоставляется АРМ.

Программное обеспечение (далее - ПО) АРМ устанавливается и обновляется системным администратором со специальных ресурсов или съемных носителей в соответствии с лицензионным соглашением.

При передаче АРМ другому пользователю технических средств и информационных систем производится удаление профиля прежнего пользователя АРМ.

5.7. При работе на АРМ пользователи технических средств и информационных систем обязаны:

работать только под своей учетной записью,

блокировать доступ к АРМ при отсутствии на рабочем месте.

5.8. Пользователям технических средств и информационных систем запрещается самостоятельно устанавливать на АРМ дополнительные технические средства и (или) ПО.

VI. Антивирусная защита

6.1. Антивирусная защита в Думе применяется в целях защиты информационных ресурсов и ПО от несанкционированных действий (утраты, модификации, изменения) путем внедрения в информационную среду вирусов, вредоносных программ (далее - вирус) посредством использования специализированного ПО (далее - антивирусное ПО).

6.2. Антивирусное ПО должно быть развернуто на всех технических средствах, подверженных воздействию вирусов (АРМ, серверах). Антивирусные механизмы должны быть актуальными, постоянно включенными. Отключение антивирусного ПО или отказ от автоматического обновления антивирусных баз не допускается.

6.3. Обязанность по своевременному приобретению лицензионных ключей антивирусного ПО, их обновлению, установке в Думе и предоставлению структурным подразделениям Думы, а также по установке и регулярному обновлению антивирусного ПО, в том числе антивирусных баз, на АРМ и серверах Думы возлагается на отдел ИТиМТО.

6.4. При установке антивирусного ПО системным администратором должны применяться следующие настройки:

актуализация антивирусных баз на АРМ, подключенных к локальной сети администрации города Перми, должна осуществляться ежедневно в автоматическом режиме через специальный сервер обновлений,

актуализация антивирусных баз на АРМ, не подключенных к локальной сети администрации города Перми, должна осуществляться с использованием съемных носителей информации не реже одного раза в неделю,

проверка критических областей АРМ, заражение которых вирусами может привести к серьезным последствиям, должна проводиться автоматически при каждой его загрузке.

6.5. Признаки проявления вредоносного ПО:

прекращение работы или неправильная работа ранее успешно функционировавшего ПО,

медленная работа АРМ,

невозможность загрузки операционной системы,

нетипичная работа ПО,

вывод на экран непредусмотренных сообщений или изображений,

подача непредусмотренных звуковых сигналов,

частые зависания и сбои в работе АРМ,

частое появление сообщений о системных ошибках,

исчезновение файлов, каталогов или искажение их содержимого,

изменение даты и времени модификации файлов,

изменение размеров файлов,

неожиданное значительное увеличение количества файлов на диске,

существенное уменьшение размера свободной оперативной и дисковой памяти.

6.6. Для исключения заражения вирусами и обеспечения надежного хранения информации в электронном виде пользователи технических средств и информационных систем обязаны:

убедиться, что на АРМ установлено и включено антивирусное ПО,

незамедлительно сообщить системному администратору о нарушениях работы антивирусного ПО,

перед использованием проверять съемные носители информации на наличие вирусов средствами установленного на АРМ антивирусного ПО,

при переносе на свой АРМ файлов в архивированном виде проверять их до и после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами,

использовать антивирусное ПО для входного контроля всех файлов (исполняемых файлов, файлов данных, сообщений электронной почты и так далее), получаемых из компьютерных сетей, а также на съемных носителях информации,

при возникновении подозрения на наличие вирусов проверять на наличие вирусов жесткие диски АРМ, запуская антивирусное ПО для тестирования файлов, памяти и системных областей дисков.

6.7. Пользователям технических средств и информационных систем запрещается:

открывать приложения и документы в письмах, получаемых по электронной почте, если имеются сомнения в надежности отправителя и (или) отправления и переходить по ссылкам в спам-письмах,

загружать файлы с сайтов, если имеются сомнения в надежности сайта и (или) загружаемого файла.

6.8. При возникновении подозрения на наличие вирусов пользователи технических средств и информационных систем обязаны:

приостановить все операции, связанные с обработкой файлов на АРМ,

запустить антивирусное ПО для тестирования файлов, памяти и системных областей дисков,

о факте обнаружения вирусов немедленно сообщить системному администратору, владельцам зараженных или поврежденных вирусами файлов, другим пользователям, использующим зараженные файлы в работе,

провести анализ необходимости дальнейшего использования зараженных вирусом файлов,

провести самостоятельно или совместно с системным администратором восстановление зараженных файлов, в случае обнаружения не поддающихся восстановлению от заражения вирусами файлов - удалить инфицированные файлы и проверить работоспособность АРМ.

6.9. Пользователи технических средств и информационных систем допускаются к работе на АРМ только после ознакомления с Политикой ИБ.

VII. Криптографическая защита информации

7.1. Криптографическая защита информации (шифрование) применяется для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении, создания электронной подписи, проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи.

7.2. Применение средств криптографической защиты информации (далее - СКЗИ) для шифрования конфиденциальной информации должно осуществляться с учетом требований, установленных Федеральной службой безопасности Российской Федерации.

7.3. Необходимость криптографической защиты информации конфиденциального характера при ее обработке в информационной системе, выбор применяемых СКЗИ устанавливаются в зависимости от класса информационной системы в соответствии с правовым актом председателя Думы, определяющим порядок эксплуатации информационной системы.

7.4. Шифрование осуществляется перед отправкой данных по незащищенным каналам связи или перед помещением на хранение в ненадежных хранилищах.

7.5. Электронная подпись в Думе используется:

при совершении уполномоченными лицами юридически значимых действий в случаях, установленных законодательством Российской Федерации,

для электронного документооборота, при котором образуемая информация не относится к информации конфиденциального характера.

7.6. Электронная подпись выдается аккредитованным удостоверяющим центром пользователям технических средств и информационных систем, уполномоченным обращаться за получением квалифицированного сертификата (далее - владелец сертификата ключа проверки электронной подписи), в порядке, установленном Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи" и регламентом аккредитованного удостоверяющего центра.

7.7. Порядок хранения сертификата ключа проверки электронной подписи определяется председателем Думы.

Ответственными за выдачу носителей ключевой информации в Думе являются системные администраторы.

7.8. Владелец электронной подписи обязан:

обеспечить безопасное хранение носителя ключевой информации, исключающее бесконтрольный (несанкционированный) доступ к нему неуполномоченных лиц, а также непреднамеренное уничтожение носителя ключевой информации и (или) ключевой информации, хранящейся на нем,

защищать паролем ключевую информацию, хранящуюся на носителе ключевой информации,

подсоединять носитель ключевой информации к АРМ только для подписания электронных документов и в обязательном порядке извлекать из АРМ сразу после окончания работы с ним,

соблюдать конфиденциальность ключевой информации, принимать меры для предотвращения утраты, раскрытия, искажения и несанкционированного использования ключевой информации,

применять для формирования электронной подписи только действующий личный носитель ключевой информации.

7.9. Владельцу электронной подписи запрещается:

отвечать на письма с просьбой выслать ключ электронной подписи, пароль или другую конфиденциальную информацию,

оставлять носители ключевой информации включенными в АРМ, в легкодоступных местах, в том числе на рабочих столах,

предоставлять доступ к носителям ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным,

снимать несанкционированные копии ключевой информации,

выводить ключи электронной подписи на дисплей или принтер;

записывать на носители ключевой информации с ключами электронной подписи иную (постороннюю) информацию, в том числе рабочую.

7.10. При компрометации ключа электронной подписи, выходе из строя носителя ключевой информации, нарушении правил хранения, возникновении подозрений на утечку или искажение ключевой информации владелец сертификата ключа проверки электронной подписи обязан:

немедленно прекратить использование ключа электронной подписи при обмене электронными документами с другими пользователями,

направить в установленном регламентом аккредитованного удостоверяющего центра порядке заявление об аннулировании сертификата ключа проверки электронной подписи,

известить о факте утери (выходе из строя) ключа электронной подписи системного администратора.

7.11. При увольнении владелец сертификата ключа проверки электронной подписи обязан:

сдать системному администратору носитель ключевой информации под подпись в журнале учета носителей ключевой информации,

направить в установленном регламентом аккредитованного удостоверяющего центра порядке заявление об аннулировании сертификата ключа проверки электронной подписи.

7.12. Системный администратор обязан:

вести учет носителей ключевой информации,

уничтожать в установленном порядке вышедшие из строя носители ключевой информации,

убедиться в отсутствии информации на носителе ключевой информации перед его выдачей.

VIII. Обезличивание персональных данных

8.1. Обезличивание персональных данных в Думе проводится в целях обеспечения защиты от несанкционированного распространения персональных данных при размещении в информационных системах, не предназначенных для обработки персональных данных (далее - открытые информационные системы), и (или) передаче по незащищенным каналам связи.

8.2. Обезличивание персональных данных должно осуществляться с учетом требований и методов, утвержденных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации.

8.3. Порядок обезличивания персональных данных, обрабатываемых в информационных системах персональных данных в Думе (далее - ИСПДн), определяется председателем Думы.

8.4. Обезличивание персональных данных должно производиться перед внесением их в открытую информационную систему и (или) передачей по незащищенным каналам связи.

IX. Регламентация использования электронной почты

9.1. Система электронной почты Думы (далее - электронная почта) используется в информационных целях, в том числе оповещения, организации работы, обеспечения внутренних и внешних коммуникаций.

9.2. Регламентация использования электронной почты осуществляется в целях снижения риска умышленной или неумышленной несанкционированной рассылки информации, заражения информационных ресурсов Думы вирусами.

9.3. Угрозы, связанные с электронной почтой:

возможность создания писем с фальшивыми адресами,

возможность нарушения конфиденциальности электронных писем,

возможность изменения в процессе передачи содержимого электронных писем,

осуществление сетевых атак посредством отправки упакованного в архив сообщения, распаковка которого приводит к выводу системы из строя, заражению вирусами,

получение спама.

9.4. Отправка, получение официальных запросов и ответов в целях исполнения своих функций структурными подразделениями аппарата Думы осуществляется с использованием официального адреса электронной почты Думы.

Официальный адрес электронной почты Думы указан на официальном сайте Думы в информационно-телекоммуникационной сети Интернет, на бланках Думы.

9.5. Отправка, получение электронных сообщений в целях исполнения должностных обязанностей пользователей технических средств и информационных систем осуществляется с использованием индивидуального электронного адреса пользователя технических средств и информационных систем в домене gorodperm.ru.

При увольнении пользователя технических средств и информационных систем электронный почтовый ящик отключается с последующим автоматическим удалением.

9.6. При работе с электронной почтой пользователи технических средств и информационных систем обязаны:

перед отправкой тщательно проверять сообщения на отсутствие информации, указанной в абзацах третьем, четвертом, восьмом пункта 10.6 Политики ИБ,

периодически удалять из электронного почтового ящика ненужные сообщения и перемещать необходимые сообщения в архивные почтовые папки,

проверять вложения в сообщениях электронной почты на наличие вирусов,

использовать шифрование, обезличивание конфиденциальной информации при ее отправке.

9.7. При работе с электронной почтой пользователям технических средств и информационных систем запрещено:

отправлять персональные данные без предварительного обезличивания или шифрования,

отправлять сообщения с иного электронного почтового ящика или от имени другого пользователя технических средств и информационных систем без предоставления полномочий,

использовать электронную почту для создания, отправки, пересылки или хранения любых неэтичных и незаконных материалов, гиперссылок или других ссылок на веб-сайты, содержащие указанные материалы, массовых рассылок спама,

рассылать компьютерные коды, файлы или ПО, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования, вирусы или другое злонамеренное ПО, программы для осуществления несанкционированного доступа, серийные номера к программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в сети Интернет, ссылки на указанную информацию,

перехватывать, изменять, удалять, сохранять или публиковать сообщения иных пользователей технических средств и информационных систем, кроме случаев, санкционированных руководителями, или в целях администрирования систем,

использовать веб-сервисы Google, Gmail, Hotmail, Yahoo, Яндекс или подобные почтовые системы третьих сторон ("вебмайл") для отправки и (или) получения служебной корреспонденции,

загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным ПО, переходить по активным ссылкам, полученным от отправителей, если имеются сомнения в надежности отправителя и (или) полученного сообщения.

9.8. Содержимое электронного почтового ящика пользователя технических средств и информационных систем может быть проверено системным администратором без предварительного уведомления пользователя технических средств и информационных систем в случае подозрения на осуществление рассылки писем, содержащих вредоносное ПО, спам, информацию, распространение которой запрещено законодательством Российской Федерации. Информация о выявленных нарушениях направляется пользователю технических средств и информационных систем и руководителю структурного подразделения аппарата Думы.

X. Регламентация работы в сети Интернет

10.1. Сеть Интернет в Думе используется пользователями технических средств и информационных систем для получения информации в рамках исполнения должностных обязанностей.

10.2. Регламентация работы в сети Интернет осуществляется в целях снижения риска заражения информационных ресурсов Думы вирусами.

10.3. Организацию доступа к сети Интернет для нужд Думы осуществляет администрация города Перми.

10.4. Доступ к сети Интернет предоставляется пользователям технических средств и информационных систем с АРМ, закрепленных за пользователем технических средств и информационных систем для исполнения должностных обязанностей, с использованием учетной записи пользователя технических средств и информационных систем.

10.5. Угрозы, связанные с работой в сети Интернет:

легкость перехвата данных и фальсификации IP-адресов в сети Интернет,

заражение вирусами.

10.6. Пользователям технических средств и информационных систем запрещается:

осуществлять действия, запрещенные законодательством Российской Федерации,

отправлять конфиденциальную информацию без предварительного шифрования криптографическим ПО, включенным в Единый реестр российских программ для электронных вычислительных машин и баз данных,

распространять информацию, содержащую неэтичные и незаконные материалы, гиперссылки или другие ссылки на веб-сайты, содержащие указанные материалы, осуществлять массовые рассылки спама,

самостоятельно устанавливать на АРМ дополнительное ПО, полученное в сети Интернет,

загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным ПО,

открывать страницы сайтов, если имеются сомнения в надежности сайта и (или) имеются уведомления о возможном заражении вирусами,

передавать информацию, обрабатываемую в Думе, посредством иностранных интернет-сервисов, в том числе систем обмена мгновенными сообщениями, голосовой и видеоинформацией (ICQ, QIP, Jabber, Viber, WhatsApp, Skype и другие), социальных сетей (Facebook, LiveJournal и другие), облачных сервисов (iCloud, Google Drive, Dropbox и другие).

10.7. Пользователи технических средств и информационных систем обязаны при обнаружении попыток несанкционированного доступа и (или) при подозрении на наличие вируса немедленно прекратить работу в сети Интернет и сообщить системному администратору.

10.8. Доступ к сети Интернет может быть блокирован системным администратором без предварительного уведомления пользователя технических средств и информационных систем при возникновении угрозы безопасности информации.

XI. Регламентация создания, эксплуатации и прекращения эксплуатации информационных систем

11.1. Регламентация создания, эксплуатации и прекращения эксплуатации информационных систем направлена на упорядочение деятельности Думы по созданию информационных систем и обеспечению безопасности информации, содержащейся в информационных системах.

11.2. Порядок принятия решения о создании информационной системы или решения о прекращении эксплуатации информационной системы:

11.2.1 принятие решения о создании информационной системы.

Руководитель структурного подразделения Думы направляет предложение о создании информационной системы руководителю рабочей группы по созданию, внедрению, развитию и использованию информационных систем Думы (далее - Рабочая группа по ИС).

Предложение о создании информационной системы должно содержать:

обоснование необходимости создания информационной системы, в том числе требования законодательства Российской Федерации, иных правовых актов,

оценку (технико-экономической, социальной и другой) целесообразности создания информационной системы,

цели и задачи информационной системы,

категорию доступа обрабатываемой информации (общедоступная, конфиденциальная).

Рассмотрение Рабочей группой по ИС предложения о создании информационной системы, порядок принятия Рабочей группой по ИС решения осуществляется в соответствии с Положением о Рабочей группе по созданию, внедрению, развитию и использованию информационных систем Думы, утвержденным председателем Думы.

Рабочая группа по ИС принимает решение о целесообразности (об отсутствии целесообразности) создания информационной системы (далее - решение Рабочей группы по ИС), которое оформляется протоколом.

Протокол предоставляется председателю Думы в течение 5 (пяти) рабочих дней с момента проведения заседания.

Председатель Думы принимает решение о создании информационной системы с учетом решения Рабочей группы по ИС;

11.2.2 принятие решения о прекращении эксплуатации информационной системы.

Руководитель структурного подразделения аппарата Думы направляет руководителю Рабочей группы по ИС предложение о прекращении эксплуатации информационной системы. Предложение о прекращении эксплуатации информационной системы предварительно согласовывается с заместителем начальника отдела ИТ и МТО.

Предложение о прекращении эксплуатации информационной системы должно содержать:

обоснование необходимости прекращения эксплуатации информационной системы, в том числе ссылки на изменение законодательства Российской Федерации, иных правовых актов, на основании которых функционировала информационная система,

предложения по архивированию, дальнейшему хранению и (или) уничтожению (стиранию) информации, содержащейся в информационной системе, машинных носителей информации, используемых при эксплуатации информационной системы.

Рабочая группа по ИС принимает решение о целесообразности (об отсутствии целесообразности) прекращения эксплуатации информационной системы, которое оформляется протоколом.

Протокол предоставляется председателю Думы в течение 5 (пяти) рабочих дней после дня проведения заседания.

Председатель Думы принимает решение о прекращении эксплуатации информационной системы с учетом решения Рабочей группы по ИС;

11.2.3 решение о создании информационной системы или решение о прекращении эксплуатации информационной системы утверждается правовым актом председателя Думы. Проект правового акта председателя Думы подготавливает руководитель структурного подразделения аппарата Думы, направивший предложение о создании или прекращении эксплуатации информационной системы;

11.2.4 финансирование работ (услуг) по созданию информационной системы осуществляется за счет средств бюджета города Перми на основании правового акта председателя Думы о создании информационной системы и муниципального контракта на оказание услуг по созданию информационной системы, заключенного в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд".

11.3. Процесс создания информационной системы осуществляется в соответствии с государственным стандартом в области информационных технологий и представляет собой совокупность работ, упорядоченных во времени, взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания информационной системы.

11.4. Информационная система вводится в эксплуатацию правовым актом председателя Думы.

Правовой акт председателя Думы о вводе в эксплуатацию информационной системы должен определять порядок эксплуатации информационной системы.

11.5. Порядок эксплуатации информационной системы должен содержать:

полное наименование информационной системы,

цель создания информационной системы,

правовые акты, на основании которых ведется обработка информации в информационной системе и (или) эксплуатация информационной системы,

полномочия структурного подразделения аппарата Думы, реализуемые при эксплуатации информационной системы, и (или) задачи, решаемые в информационной системе,

отнесение информационной системы к категории муниципальной или иной в соответствии с требованиями Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации",

перечень обрабатываемой информации, в том числе персональных данных (при наличии), перечень разделов (для сайтов),

требования по обеспечению безопасности обрабатываемой информации (конфиденциальности, целостности, доступности),

наименование оператора информационной системы, его права и обязанности,

перечень участников, пользователей информационной системы, их права и обязанности,

порядок обеспечения доступа к информационной системе (включая разграничение доступа пользователей),

иную информацию, определяющую особенности эксплуатации информационной системы.

11.6. Порядок эксплуатации ИСПДн разрабатывается с учетом требований внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Думе, установленных председателем Думы.

11.7. Все функционирующие в структурных подразделениях аппарата Думы информационные системы включаются в Реестр информационных систем Думы (далее - Реестр информационных систем). Реестр информационных систем утверждается правовым актом председателя Думы.

Основанием для включения информационной системы в Реестр информационных систем является правовой акт председателя Думы о вводе в эксплуатацию информационной системы.

11.8. Основанием для изменения информации об информационной системе, включенной в Реестр информационных систем, является правовой акт председателя Думы, определяющий порядок эксплуатации информационной системы.

11.9. Основанием для исключения информационной системы из Реестра информационных систем является правовой акт председателя Думы о прекращении эксплуатации информационной системы.

11.10. Обязанность по ведению Реестра информационных систем возлагается на отдел ИТиМТО.

XII. Проведение внутреннего контроля и обучение пользователей технических средств и информационных систем

12.1. В целях выявления угроз безопасности информации, нарушений Политики ИБ и принятия мер, направленных на предотвращение угроз и нарушений, ответственным за организацию обработки персональных данных в Думе осуществляется внутренний контроль:

12.1.1 использования технических средств, ПО, работы в сети Интернет в структурных подразделениях аппарата Думы по поручению руководителя аппарата Думы, руководителей структурных подразделений аппарата Думы;

12.1.2 соответствия обработки персональных данных требованиям к защите персональных данных в Думе;

12.1.3 соблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152 "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Думы.

12.2. Ознакомление пользователей технических средств и информационных систем с Политикой ИБ производится при:

приеме на работу,

изменении Политики ИБ,

обнаружении действий пользователей технических средств и информационных систем, которые повлекли или могли повлечь нарушение безопасности информации.

12.3. Обучение пользователей технических средств и информационных систем пользованию средствами антивирусного ПО производится при:

приеме на работу,

изменении антивирусного ПО,

заражении АРМ вирусами.

12.4. Ознакомление пользователей технических средств и информационных систем с Политикой ИБ и обучение пользованию средствами антивирусного ПО осуществляется под подпись в листе ознакомления (прохождения обучения) либо журнале ознакомления (прохождения обучения) с указанием фамилии, имени, отчества пользователя технических средств и информационных систем и даты ознакомления (прохождения обучения).

Обязанность по организации ознакомления пользователей технических средств и информационных систем с Политикой ИБ возлагается на отдел по вопросам муниципальной службы и кадров аппарата Думы.

Обязанность по обучению пользованию средствами антивирусного ПО возлагается на системных администраторов.

XIII. Ответственность за нарушения Политики ИБ

13.1. Пользователи технических средств и информационных систем в рамках должностных обязанностей и полномочий несут ответственность в соответствии с законодательством Российской Федерации за:

невыполнение требований Политики ИБ,

действия или бездействие, ведущие к нарушению информационной безопасности,

действия или бездействие, ведущие к нарушению законодательства Российской Федерации в области информационных технологий.

13.2. При обнаружении нарушения пользователями технических средств и информационных систем Политики ИБ системный администратор устанавливает причины возникновения нарушения и направляет служебную записку о выявленном нарушении руководителю структурного подразделения аппарата Думы и руководителю аппарата Думы.

Руководитель аппарата Думы принимает решение о необходимости привлечения пользователя технических средств и информационных систем к ответственности.

Системный администратор ведет журнал учета всех выявленных компьютерных атак, уязвимостей и поражений вредоносным ПО информационных ресурсов в соответствии с приложением к Политике ИБ.