Приложение N 1. Политика в области информационной безопасности в органах исполнительной власти Республики Калмыкия. Распоряжение Правительства Республики Калмыкия от 22.05.2024 N 177-р Об утверждении Политики в области информационной безопасности в органах исполнительной власти Республики Калмыкия

Приложение N 1
к распоряжению Правительства
Республики Калмыкия
от 22 мая 2024 г. N 177-р

Политика
в области информационной безопасности в органах исполнительной власти Республики Калмыкия

Обозначения и сокращения

Ответственный - отдел или специалист, ответственный за обеспечение информационной безопасности;

Сотрудник - все сотрудники органов исполнительной власти Республики Калмыкия и подведомственных им учреждений;

Организация - органы исполнительной власти Республики Калмыкия, подведомственные учреждения;

АРМ - Автоматизированное рабочее место;

АС - Автоматизированная система;

ЗИ - Защита информации;

ИБ - Информационная безопасность;

ИР - Информационный ресурс;

ИС - Информационная система;

ИТ - Информационные технологии;

НСД - Несанкционированный доступ;

ПО - Программное обеспечение;

СКЗИ - Средство криптографической защиты.

Основные термины и определения

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Авторизация - предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ.

Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Безопасность информации - защищённость информации от её нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности, а также незаконного её тиражирования.

Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.

Доступность информации - состояние, характеризуемое способностью ИС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию и средства доступа к ней.

Идентификация - присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информационная безопасность - состояние защищённости интересов организаций.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационный процесс - процессы сбора, обработки, накопления, хранения, поиска и распространения информации.

Информационный ресурс - всё, что имеет ценность и находится в распоряжении организации.

Инцидент информационной безопасности - одно или серия нежелательных, или неожиданных событий ИБ, имеющих значительную вероятность нарушения функционирования информационной системы или возникновению угроз безопасности информации (нарушению конфиденциальности, целостности, доступности).

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность информации - состояние защищённости информации, характеризуемое способностью ИС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.

Несанкционированный доступ - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

События информационной безопасности - идентифицированное состояние системы, сервиса или сети, свидетельствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности.

Угроза - опасность, предполагающая возможность потерь (ущерба).

Целостность информации - устойчивость информации к несанкционированному доступу или случайному воздействию на неё в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.

1. Общие положения

Политика в области информационной безопасности в органах исполнительной власти Республики Калмыкия (далее - Политика) определяет систему взглядов на проблему обеспечения информационной безопасности (далее - ИБ).

Информация является ценным и жизненно важным ресурсом. Настоящая Политика предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных.

Обеспечение информационной безопасности - необходимое условие для успешного осуществления уставной деятельности органов исполнительной власти Республики Калмыкия и подведомственных им учреждений (далее - Организация). Обеспечение ИБ включает в себя любую деятельность, направленную на защиту информационных ресурсов и/или поддерживающей инфраструктуры. Политика охватывает все автоматизированные и телекоммуникационные системы, владельцем и пользователем которых является Организация.

Реализация Политики должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищённости информационных ресурсов не только с помощью отдельного средства, но и с помощью их простой совокупности. Необходимо их системное, согласованное между собой применение, а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищённом исполнении при оптимальном соотношении технических и организационных мероприятий.

Политика служит основой для поддержания безопасной и надежной среды для данных и информационных систем Организации.

2. Цели и задачи

Целями настоящей Политики являются:

- сохранение конфиденциальности информационных ресурсов;

- обеспечение непрерывности доступа к информационным ресурсам Организации;

- защита целостности деловой информации с целью поддержания возможности Организации по оказанию услуг высокого качества и принятию эффективных управленческих решений;

- повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Организации;

- определение степени ответственности и обязанностей сотрудников по обеспечению ИБ.

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информационных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация рисков ИБ.

Для достижения основной цели необходимо обеспечивать эффективное решение следующих задач:

- своевременное выявление, оценка и прогнозирование источников угроз ИБ;

- создание механизма оперативного реагирования на угрозы ИБ;

- предотвращение и/или снижение ущерба от реализации угроз ИБ;

- защита от вмешательства в процесс функционирования ИС посторонних лиц;

- соответствие требованиям федерального и регионального законодательства, нормативно-методических документов ФСТЭК России и Министерства цифрового развития Республики Калмыкия;

- недопущение проникновения структур организованной преступности и отдельных лиц с противоправными намерениями;

- выявление, предупреждение и пресечение возможной противоправной и иной негативной деятельности сотрудников.

Руководители Организаций должны обеспечить регулярный контроль за соблюдением положений настоящей Политики.

3. Область применения настоящей Политики

Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации. Соблюдение настоящей Политики обязательно для всех сотрудников Организации.

Организации принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования организации, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала организации.

4. Ответственность за обеспечение ИБ

Для непосредственной организации и эффективного функционирования системы обеспечения информационной безопасности в Организации функции обеспечения ИБ возложены на отдел или специалиста, ответственного за информационную безопасность (далее - Ответственный).

На Ответственного возлагаются решения следующих основных задач:

определение требований к защите информации;

организация мероприятий и координация работ всех подразделений по вопросам комплексной защиты информации;

контроль и оценка эффективности принятых мер и применяемых средств защиты;

оказание методической помощи сотрудникам в вопросах обеспечения информационной безопасности;

регулярная оценка и управление рисками информационной безопасности в соответствии с установленными процедурами в области управления рисками;

выбор и внедрение средств защиты информации, включая организационные, физические, технические, программные и программно-аппаратные средства обеспечения ИБ;

расследование инцидентов ИБ;

сбор, накопление, систематизация и обработка информации по вопросам информационной безопасности.

Ответственный имеет следующие права:

определять необходимость в разработке нормативных документов, касающихся вопросов обеспечения безопасности информации, включая документов, регламентирующих деятельность пользователей информационной системы в указанной области;

получать информацию от пользователей информационных систем Организации по любым аспектам применения информационных технологий в Организации;

участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке новых информационных технологий;

контролировать деятельность пользователей по вопросам обеспечения ИБ;

готовить предложения руководству по обеспечению требований ИБ.

5. Объект защиты

Объектом защиты в данной Политике являются информационные ресурсы Организации, обрабатываемые в информационных системах, содержащие сведения, доступ к которым ограничен, и используемые в процессах сбора, обработки, накопления, хранения и распространения в границах информационных систем Организации.

Основными объектами защиты Организации являются:

информационные ресурсы Организации ограниченного распространения, в том числе содержащие конфиденциальные сведения;

программные информационные ресурсы Организации, а именно: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты;

физические информационные ресурсы Организации: компьютерное аппаратное обеспечение всех видов;

носители информации всех видов (электронные, бумажные и прочие);

все расходные материалы и аксессуары, которые прямо или косвенно взаимодействуют с компьютерным аппаратным и программным обеспечением.

Следует также отметить, что указанные выше основные объекты защиты являются наиболее ценными ресурсами, и, следовательно, по отношению к ним должны применяться самые эффективные правила и методы защиты. Доступность, целостность и конфиденциальность в обязательном порядке должны учитываться при разработке организационно-распорядительной документации по обеспечению информационной безопасности для системы в целом и для каждого ее ресурса в отдельности.

6. Оценка рисков

Для оценки рисков при составлении и последующем пересмотре организационно-распорядительных документов необходимо систематически рассматривать следующие аспекты:

ущерб, который может нанести деятельности Организации серьезное нарушение ИБ, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;

реальную вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.

7. Обучение ИБ

Все сотрудники должны проходить периодический инструктаж в области политики и процедур ИБ, принятых в Организации.

Основной целью обучения является:

обеспечение уверенности в осведомленности сотрудников Организации об угрозах и проблемах, связанных с ИБ, об ответственности в соответствии с законодательством;

знание работниками правильного использования средств обработки информации, прежде чем им будет предоставлен доступ к информации или услугам;

оснащение работников Организации всем необходимым для соблюдения требований ИБ организации при выполнении служебных обязанностей.

Работники Организации должны знать и выполнять требования организационно-распорядительных документов в области информационной безопасности, требования обеспечения безопасности обработки информации на средствах вычислительной техники, правила работы в сети Интернет.

8. Требования и рекомендации

8.1. Контроль доступа к информационным системам

8.1.1. Общие положения

Все работы в пределах офисов Организации выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в организации.

Внос в здания и помещения организации личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы организации производится только при согласовании.

Руководители Организаций периодически пересматривают права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.

В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему осуществляется с использованием уникального имени пользователя и пароля.

Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.

В процессе своей работы сотрудники обязаны постоянно использовать режим "Экранной заставки" с парольной защитой. Рекомендуется устанавливать максимальное время "простоя" компьютера до появления экранной заставки не дольше 15 минут.

8.1.2. Доступ третьих лиц к системам Организации

Каждый сотрудник обязан немедленно уведомить руководителя обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.

Доступ третьих лиц к информационным системам Организации должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам Организации должен быть четко определен, контролируем и защищен.

8.1.3. Удаленный доступ

Сотрудникам, использующим в работе портативные компьютеры организации, может быть предоставлен удаленный доступ к сетевым ресурсам организации в соответствии с правами в корпоративной информационной системе.

Сотрудникам, работающим за пределами Организации с использованием компьютера, не принадлежащего организации, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.

Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам организации, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети организации и к каким-либо другим сетям, не принадлежащим Организации.

Все компьютеры, подключаемые посредством удаленного доступа к информационной сети организации, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления.

8.1.4. Доступ к сети Интернет

Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.

Рекомендованные правила:

- сотрудникам Организации разрешается использовать сеть Интернет только в служебных целях;

- запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения, пропаганду расовой ненависти, дискредитирующие заявления или иные материалы с оскорбительными высказываниями религиозных или политических убеждений, национального происхождения или недееспособности;

- сотрудники Организации не должны использовать сеть Интернет для хранения корпоративных данных;

- сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем Организации;

- сотрудники Организации перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;

- запрещен доступ в Интернет через сеть организации для всех лиц, не являющихся сотрудниками организации, включая членов семьи сотрудников Организации.

8.1.5. Управление паролями

Пароли - средство проверки личности пользователя для доступа к ИС или сервису, обеспечивающее идентификацию и аутентификацию на основе сведений, известных только пользователю.

Предоставление паролей должно контролироваться посредством официальной процедуры, отвечающей следующим требованиям:

временные пароли должны назначаться пользователю только после его идентификации;

необходимо избегать передачи паролей с использованием третьих лиц или незашифрованной электронной почтой;

временные пароли не должны быть угадываемыми и повторяющимися от пользователя к пользователю;

пароль должен состоять не менее чем из восьми символов, состоять из произвольных комбинаций букв, цифр и других символов или же представлять собой бессмысленную комбинацию слов, включающую буквы верхнего регистра;

необходимо изменять пароля пользователя не реже одного раза в полгода.

8.1.5.1. Использование паролей

Идентификатор и пароль пользователя в ИС являются учётными данными, на основании которых сотруднику Организации предоставляются права доступа, протоколируются производимые им в системе действия и обеспечивается режим конфиденциальности, обрабатываемой (создаваемой, передаваемой и хранимой) сотрудником информации.

Не допускается использование различными пользователями одних и тех же учётных данных.

Пароли устанавливаются пользователям автоматизированной системы с учетом следующих требований:

длина пароля должна быть не менее 8-ми буквенно-цифровых символов;

в числе символов пароля должны присутствовать три из четырёх видов символов:

1. буквы в верхнем регистре;

2. буквы в нижнем регистре;

3. цифры;

4. специальные символы (! @ # $ % Л & * ( ) - _ + = ~ [ ] { } | : ; г " < > , . ? ;

пароль не должен содержать легко вычисляемые сочетания символов, например, имена, фамилии, номера телефонов, даты; последовательно расположенные на клавиатуре символы ("12345678", "QWERTY", и т.д.); общепринятые сокращения ("USER", "TEST" и т.п.); повседневно используемое слово, например, имена или фамилии друзей, коллег, актёров или сказочных персонажей, клички животных; компьютерный термин, команда, наименование компаний, web сайтов, аппаратного или программного обеспечения; что-либо из вышеперечисленного в обратном написании; что-либо из вышеперечисленного с добавлением цифр в начале или конце;

при смене пароля значение нового должно отличаться от предыдущего не менее чем в 4 позициях;

для различных ИС необходимо устанавливать собственные, отличающиеся пароли.

Сотруднику запрещается:

сообщать свой пароль кому-либо;

указывать пароль в сообщениях электронной почты;

хранить пароли, записанные на бумаге, в легко доступном месте;

использовать тот же самый пароль, что и для других систем (например, домашний интернет провайдер, бесплатная электронная почта, форумы и т.п.);

использовать один и тот же пароль для доступа к различным корпоративным ИС.

Сотрудник обязан в случае подозрения на то, что пароль стал кому-либо известен или в случае получения от кого-либо просьбы сообщить пароль, немедленно обратиться к Ответственному и сообщить о факте компрометации.

8.1.6. Политика чистого стола

Сотрудники Организации обязаны:

сохранять известные им пароли в тайне;

закрывать активные сеансы по завершении работы, если только их нельзя защитить подходящим блокирующим механизмом, например, защищённый паролем хранитель экрана;

завершении сеанса выходить из системы у универсальных ЭВМ, серверов и офисных ПК.

Запрещается вести запись паролей (например, на бумаге, в программном файле или в карманном устройстве), за исключением случаев, когда запись может храниться безопасно, а метод хранения был утверждён.

Документы и носители с конфиденциальной информацией должны убираться в запираемые места (сейфы, шкафы и т.п.), особенно при уходе с рабочего места.

Компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы, когда они находятся без присмотра.

Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место, пользователь обязан заблокировать компьютер (используя комбинации Win + "L" или Ctrl + Alt + Delete "Блокировать компьютер").

Документы, содержащие конфиденциальную информацию, должны изыматься из печатающих устройств немедленно.

В конце рабочего дня сотрудник должен привести в порядок письменный стол и убрать все офисные документы в запираемый шкаф или сейф.

Для утилизации конфиденциальных документов, должны использоваться уничтожители бумаги.

По окончании рабочего дня и в случае длительного отсутствия на рабочем месте, необходимо запирать на замок все шкафы и сейфы.

8.2. Защита оборудования

Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранится информация Организации.

8.3. Аппаратное обеспечение

Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа "мышь", шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы), для целей настоящей Политики вместе именуются "компьютерное оборудование". Компьютерное оборудование, предоставленное Организации, является ее собственностью и предназначено для использования исключительно в производственных целях.

Пользователи портативных компьютеров, содержащих конфиденциальную информацию Организации, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах, или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства, в случаях, когда данный компьютер не используется.

Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.

Данные не должны быть скомпрометированы в случае халатности или небрежности, приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.

Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты и прочие переносные устройства, не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобном устройстве не рекомендуется хранить конфиденциальную информацию.

Порты передачи данных, в том числе FD и CD дисководы в стационарных компьютерах сотрудников Организации блокируются, за исключением тех случаев, когда сотрудником получено разрешение.

8.4. Программное обеспечение

Все программное обеспечение, установленное на предоставленном организации компьютерном оборудовании, является собственностью организации и должно использоваться исключительно в производственных целях.

Самостоятельная установка ПО на АРМ запрещена. Установка и удаление любого программного обеспечения производится только Ответственным. Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное ПО или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю сотрудника.

В случае обнаружения неисправности компьютерного оборудования или программного обеспечения, пользователь должен обратиться к Ответственному. Ответственный имеет право осуществлять контроль над установленным на компьютере программным обеспечением и принимать меры по ограничению возможностей несанкционированной установки программ.

Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем.

Сотрудники Организации не должны:

- блокировать антивирусное программное обеспечение;

- устанавливать другое антивирусное программное обеспечение;

- изменять настройки и конфигурацию антивирусного программного обеспечения.

8.5. Политика допустимого использования информационных ресурсов

Каждому сотруднику Организации, которому необходим доступ к ИР в рамках его должностных обязанностей, выдаются под роспись необходимые средства автоматизации. Ответственность по установке и поддержке всех компьютерных систем, функционирующих в Организации, возложена на Ответственного.

Все АРМ, установленные в Организации, имеют унифицированный набор офисных программ, предназначенных для получения, обработки и обмена информацией, определённый в стандарте рабочих мест Организации. Изменение установленной конфигурации возможно после внесения соответствующих поправок в стандарт рабочих мест или по служебной записке, согласованной с Ответственным. Комплектация персональных компьютеров аппаратными и программными средствами, а также расположение компьютеров контролируется Ответственным.

Передача документов внутри Организации производится только посредством общих папок, а также средствами электронной почты.

При работе в ИС Организации сотрудник обязан:

1. знать и выполнять требования внутренних организационно-распорядительных документов Организации;

2. использовать ИС и АРМ Организации исключительно для выполнения своих служебных обязанностей;

3. ставить в известность Ответственного о любых фактах нарушения требований ИБ;

4. ставить в известность Ответственного о любых фактах сбоев ПО, некорректного завершения значимых операций, а также повреждения технических средств;

5. незамедлительно выполнять предписания Ответственного Организации;

6. при необходимости прекращения работы на некоторое время корректно закрывать все активные задачи, блокировать АРМ.

При использовании ИС Организации запрещено:

1) использовать АРМ и ИС в личных целях;

2) отключать средства управления и средства защиты, установленные на рабочей станции;

3) передавать:

- информацию, за исключением случаев, когда это входит в служебные обязанности и способ передачи является безопасным, согласованным с Ответственным;

- информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также ссылки на вышеуказанные объекты;

- угрожающую, клеветническую, непристойную информацию;

4) самовольно вносить изменения в конструкцию, конфигурацию, размещение АРМ и других узлов ИС Организации;

5) предоставлять сотрудникам Организации (за исключением Ответственного) и третьим лицам доступ к своему АРМ;

6) защищать информацию, способами, не согласованными с Ответственным заранее;

7) самостоятельно подключать рабочую станцию и прочие технические средства к корпоративной ИС Организации;

8) осуществлять поиск средств и путей повреждения, уничтожения технических средств и ресурсов ИС или осуществлять попытки несанкционированного доступа к ним;

9) использовать для выполнения служебных обязанностей локальные (не доменные) учетные записи АРМ.

8.6. Обработка конфиденциальной информации

При обработке конфиденциальной информации сотрудники обязаны:

- при необходимости размещать конфиденциальную информацию на открытом ресурсе корпоративной сети Организации применять средства защиты от неавторизованного доступа;

- размещать экран монитора таким образом, чтобы исключить просмотр обрабатываемой информации посторонними лицами;

- не отправлять на печать конфиденциальные документы, если отсутствует возможность контроля вывода на печать и изъятия отпечатанных документов из принтера сразу по окончании печати;

- обязательно проверять адреса получателей электронной почты на предмет правильности их выбора;

- не запускать исполняемые файлы на съемных накопителях, полученные не из доверенного источника;

- не передавать конфиденциальную информацию по открытым каналам связи, кроме сетей корпоративной ИС;

- не оставлять без личного присмотра на рабочем месте или где бы то ни было электронные носители информации (CD/DVD - диски, Flash - устройства и пр.), а также распечатки из принтера или бумажные копии документов, содержащие конфиденциальную информацию.

8.7. Рекомендуемые правила пользования электронной почтой

Электронная почта используется для обмена в рамках ИС Организации и общедоступных сетей информацией в виде электронных сообщений и документов в электронном виде.

Корпоративная электронная почта Организации предназначена исключительно для использования в служебных целях.

Использование корпоративной электронной почты Организации для частной переписки сотрудником, надлежащим образом, ознакомленным с данной Политикой, является нарушением трудовой дисциплины Организации.

Сотрудникам запрещается направлять партнерам конфиденциальную информацию Организации по электронной почте без использования систем шифрования. Строго конфиденциальная информация Организации, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.

Сотрудникам Организации запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.

В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю.

Отправитель электронного сообщения, документа или лицо, которое его переадресовывает, должен указать свое имя и фамилию, служебный адрес и тему сообщения.

Ниже перечислены недопустимые действия и случаи использования электронной почты:

- рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;

- групповая рассылка всем пользователям Организации сообщений/писем;

- рассылка рекламных материалов, не связанных с деятельностью Организации;

- подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;

- поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);

- пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит корпоративным стандартам в области этики.

8.8. Защита от вредоносного ПО

Ответственный регулярно проверяет сетевые ресурсы Организации антивирусным программным обеспечением и обеспечивает защиту входящей электронной почты от проникновения вирусов и другого вредоносного ПО.

При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление о системных ошибках, увеличение исходящего/входящего трафика и т.п.) сотрудник Организации должен незамедлительно оповестить об этом Ответственного. После чего Ответственный должен провести внеочередную полную проверку на вирусы рабочей станции пользователя, проверив, в первую очередь, работоспособность антивирусного ПО.

В случае обнаружения при проведении антивирусной проверки заражённых компьютерными вирусами файлов сотрудники подразделений обязаны:

- приостановить работу;

- немедленно поставить в известность о факте обнаружения заражения своего руководителя и Ответственного, а также владельца файла и смежные подразделения, использующие эти файлы в работе;

- совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования.

Для предупреждения вирусного заражения рекомендуется:

- никогда не открывать файлы и не выполнять макросы, полученные в почтовых сообщениях от неизвестного или подозрительного отправителя;

- удалять подозрительные вложения, не открывая их, и очищать корзину, где хранятся удаленные сообщения;

- удалять спам, рекламу и другие бесполезные сообщения;

- никогда не загружать файлы и программное обеспечение из подозрительных или неизвестных источников;

- периодически резервировать важные данные и системную конфигурацию, хранить резервные копии в безопасном месте.

8.9. Безопасность информационных систем

При описании требований к созданию новых систем или к усовершенствованию существующих необходимо учитывать потребность в средствах обеспечения безопасности.

Требования к безопасности и средства защиты должны соответствовать ценности используемых ИР и потенциальному ущербу для Организации в случае сбоя или нарушения безопасности. Основой для анализа требований к безопасности и выбору мер для поддержки безопасности является оценка рисков и управление рисками.

8.10. Криптографические средства

Все поступающие в Организации СКЗИ должны быть учтены в соответствующем журнале поэкземплярн