Приложение N 1. Свод правил по безопасной работе сотрудников администрации Батыревского района при осуществлении организации информационного взаимодействия. Постановление Администрации Батыревского района Чувашской Республики от 25.01.2017 N 31 "О регламенте выявления инцидентов информационной безопасности и реагирования на них в администрации Батыревского района" (с изменениями и дополнениями)

Приложение N 1
к постановлению администрации
Батыревского района
от 25 января 2016 г. N 31

ГАРАНТ:

По-видимому, в тексте названия приложения допущена опечатка. Дату названного постановления следует читать как "от 25 января 2017 г."

Свод правил
по безопасной работе сотрудников администрации Батыревского района при осуществлении организации информационного взаимодействия

Общие положения

Свод правил по безопасной работе сотрудников администрации Батыревского района при осуществлении организации информационного взаимодействия (далее - Свод правил) разработан в соответствии с Федеральным законом N 149-ФЗ от 27 июля 2006 года "Об информации, информационных технологиях и защите информации" и другими нормативными правовыми актами Российской Федерации, регулирующими отношения в области защиты информации.

Настоящий свод правил разработан для работников администрации Батыревского района.

Целями свода правил являются:

обеспечение безопасности информации, не содержащей сведения, составляющие государственную тайну, при осуществлении организации информационного взаимодействия;

соблюдение требований нормативных актов и действующего законодательства Российской Федерации в области защиты информации.

Пользователем автоматизированного рабочего места (далее - Пользователь) является уполномоченный сотрудник администрации Батыревского района.

Пользователь должен знать нормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну (далее - защищаемая информация).

В своей деятельности, связанной с обработкой защищаемой информации, Пользователь руководствуется Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", настоящим Сводом правил.

Пользователи, участвующие в рамках своих функциональных обязанностей в процессах автоматизированной обработки защищаемой информации и имеющие доступ к аппаратным средствам, программному обеспечению и обрабатываемой защищаемой информации, несут персональную ответственность за свои действия.

I. Обязанности и права пользователя информационных систем

1.1. Пользователь обязан:

соблюдать требования, установленные Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", принимаемыми в соответствии с ними нормативными правовыми актами, а также правовыми актами и организационно-распорядительными документами Министерства, определяющих порядок работы с защищаемой информацией;

выполнять в информационных системах (далее - ИС) только те процедуры, которые необходимы для исполнения его должностных обязанностей;

использовать для выполнения должностных обязанностей только предоставленное ему автоматизированное рабочее место (далее - АРМ) на базе персонального компьютера (автономной ПЭВМ);

пользоваться только зарегистрированными в установленном порядке съемными (отчуждаемыми) машинными носителями информации;

обеспечивать безопасное хранение вышеуказанных материальных носителей информации, исключающее несанкционированный доступ к ним;

немедленно сообщать руководителю структурного подразделения и (или) ответственному за обеспечение безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, в информационных системах (далее - Ответственный) о нештатных ситуациях, фактах и попытках несанкционированного доступа к обрабатываемой информации, о блокировании, исчезновении (искажении) защищаемой информации;

перед началом обработки в ИС файлов, хранящихся на съемных носителях информации, Пользователь должен осуществлять проверку файлов на наличие компьютерных вирусов. Антивирусный контроль на АРМ должен осуществляться Пользователем не реже одного раза в неделю;

располагать экран монитора в помещении во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами;

соблюдать установленный режим разграничения доступа к информационным ресурсам: получать пароль, надежно его запоминать и хранить в тайне.

1.2. Пользователям ИС запрещается:

записывать и хранить защищаемую информацию, на неучтенных материальных носителях информации;

оставлять во время работы материальные носители информации без присмотра, несанкционированно передавать материальные носители информации другим лицам и выносить их за пределы помещения, в котором производится обработка защищаемой информации;

отключать средства антивирусной защиты;

отключать (блокировать) средства защиты информации;

производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;

самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;

открывать файлы, поступившие из внешних источников, в том числе вложенные файлы входящих сообщений электронной почты, файлы, размещенные на съемных носителях информации, файлы, загруженные из информационно-телекоммуникационной сети связи общего пользования "Интернет", без предварительной проверки антивирусными средствами;

отправлять по открытым каналам связи конфиденциальную информацию и информацию, содержащую персональные данные, если информация не зашифрована сертифицированными средствами криптографической защиты информации;

обрабатывать информацию с использованием зарубежных сервисов (Google, Yahoo и т.п.);

обрабатывать в ИС информацию с использованием программных и технических средств, не входящих в состав ИС, а также выполнять работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам ИС и правилами обработки информации в ИС;

сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам в ИС;

работать в ИС при обнаружении каких-либо неисправностей;

хранить на учтенных носителях информации программы и данные, не относящиеся к рабочей информации;

вводить в ИС защищаемую информацию под диктовку или с микрофона;

привлекать посторонних лиц для производства ремонта технических средств ИС без согласования с Ответственным.

1.3. Пользователь имеет право вносить предложения по совершенствованию технологии обработки информации в ИС, системы защиты информации и применению средств защиты информации.

1.4. В случае появления подозрений на наличие программных вирусов пользователи должны немедленно проинформировать об этом администратора антивирусной защиты. В случае выявления фактов, связанных со сбоями в работе средств антивирусной защиты, пользователь обязан немедленно сообщить об этом Ответственному.

II. Организация парольной защиты в информационных системах

2.1. Пароли доступа к ИС устанавливаются сотрудником, ответственным за администрирование и сопровождение ИС (далее - Ответственный).

2.2. После получения пароля доступа к ИС от Ответственного Пользователь должен осуществить смену пароля.

2.3. При формировании пароля необходимо руководствоваться следующими требованиями:

длина пароля должна быть не менее 8-и буквенно-цифровых символов;

пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования АРМ, общепринятые сокращения) и другие данные, которые могут быть подобраны злоумышленником путем анализа информации;

запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);

при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

в числе символов пароля, обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры;

запрещается использовать ранее использованные пароли.

2.4. При организации парольной защиты запрещается:

записывать свои пароли в общедоступных местах (внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.);

хранить пароли в записанном виде на отдельных листах бумаги;

осуществлять смену паролей, в процессе взаимодействия с Ответственным, с использованием телефонной связи или электронной почты;

сообщать свои пароли другим сотрудникам и посторонним лицам, а также разглашать сведения о применяемых способах и методах защиты информации и средствах защиты информации.

III. Порядок применения парольной защиты

3.1. Плановую смену паролей на доступ в ИС рекомендуется проводить один раз в месяц.

3.2. Пользователь обязан незамедлительно сообщить Ответственному факты утраты, компрометации ключевой, парольной и аутентифицирующей информации.

3.3. Внеплановая смена личного пароля должна производиться в обязательном порядке в следующих случаях:

компрометации (подозрении на компрометацию) пароля;

в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) Пользователя (в течение 24 часов после окончания последнего сеанса работы данного с ИС);

по инициативе Ответственного.

IV. Технология обработки защищаемой информации

4.1. При первичном допуске к работе с ИС Пользователь:

проходит инструктаж по использованию ИС;

знакомится с требованиями нормативно-правовых, руководящих и организационно-распорядительных документов, регламентирующих обработку и обеспечение безопасности защищаемой информации;

получает у Ответственного идентификатор и личный пароль для входа в ИС.

4.2. Перед началом работы Пользователь убеждается в отсутствии посторонних технических средств, включает необходимые средства вычислительной техники.

4.3. Авторизацию в ИС (ввод личного идентификатора и пароля) Пользователь осуществляет при отсутствии в помещении посторонних лиц.

4.4. В процессе работы на АРМ ИС Пользователь использует технические средства и установленное Ответственным программное обеспечение согласно Техническому паспорту ИС.

4.5. Копирование защищаемой информации на электронные носители информации осуществляется только при наличии производственной необходимости и только на учтенные электронные носители информации.

4.6. При необходимости создания на АРМ Пользователя дополнительных электронных документов, содержащих защищаемую информацию, Пользователь создает и хранит такие документы в строго отведенном для этого месте.

4.7. Печать документов, содержащих защищаемую информацию, осуществляется только при наличии производственной необходимости на принтер, подключенный Ответственным к АРМ Пользователя. Распечатанные черновые бумажные варианты вновь создаваемых документов, содержащих защищаемую информацию, уничтожаются с применением уничтожителей бумаги незамедлительно после подписания (утверждения) окончательного варианта документа.

4.8. В случае возникновения необходимости временно покинуть рабочее помещение во время работы в ИС, Пользователь обязан выключить компьютер, либо заблокировать его. Разблокирование компьютера производится набором пароля разблокировки, который был создан при настройке системы блокировки АРМ. При отсутствии в покидаемом помещении других служащих администрации, Пользователь обязан закрыть дверь помещения на ключ.

4.9. Покидая рабочее помещение в конце рабочего дня, Пользователь обязан выключить все необходимые средства вычислительной техники и закрыть дверь помещения на ключ.

V. Ответственность Пользователя

Каждый Пользователь несет персональную ответственность:

за свои действия в период осуществления информационного взаимодействия;

за соблюдение требований установленных настоящим Сводом правил;

за информацию, обрабатываемую посредством его АРМ;

за установку на АРМ программного обеспечения, модификацию или тиражирование программного обеспечения, изменение алгоритмов функционирования технических и программных средств.

За нарушение настоящего Свода правил пользователю может быть запрещен доступ к АРМ.

Нарушение данного Свода правил, повлекшее неправомерное уничтожение, блокирование, модификацию либо копирование охраняемой законом информации, нарушение работы государственных информационных систем и ресурсов, может повлечь дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством.