ИНСТРУКЦИЯ
по порядку учета и хранению съемных носителей персональных данных в администрации Лизиновского сельского поселения
Настоящая Инструкция разработана в соответствии с Федеральным законом № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью» и другими нормативными правовыми актами, и устанавливает порядок использования носителей информации.
Действие настоящей Инструкции распространяется на сотрудников администрации, подрядчиков и третью сторону.
2. Основные термины, сокращения и определения
Администратор ИС - технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО и оборудования вычислительной техники.
АРМ - автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи.
ИБ - информационная безопасность - комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
ИС- информационная система - система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.
Носитель информации - любой материальный объект, используемый для хранения и передачи электронной информации.
Паспорт ПК - документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
ПК - персональный компьютер.
ПО - Программное обеспечение вычислительной техники.
ПО вредоносное - ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
ПО коммерческое - ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
Пользователь - работник Организации, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей.
3. Порядок использования носителей информации
Под использованием носителей информации в ИС Государственной инспекции труда в Воронежской области понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и носителями информации, администрации Лизиновского сельского поселения.
В ИС допускается использование только учтенных носителей информации, которые являются собственностью администрации и подвергаются регулярной ревизии и контролю.
К предоставленным носителям персональных данных предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется ответственным за защиту персональных данных).
Носители персональных данных предоставляются сотрудникам администрации по инициативе Руководителей структурных подразделений в случаях:
необходимости выполнения вновь принятым работником своих должностных обязанностей;
возникновения у сотрудника администрации производственной необходимости.
Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизация:
Все находящиеся на хранении и в обращении съемные носители с персональными данными подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
Учет и выдачу съемных носителей персональных данных осуществляют сотрудники структурных подразделений, на которых возложены функции хранения носителей персональных данных. Факт выдачи съемного носителя фиксируется в «журнале учета съемных носителей с персональными данными».
Сотрудники администрации получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.
При использовании сотрудниками носителей с персональными данными необходимо:
Соблюдать требования настоящей Инструкции.
Использовать носители информации исключительно для выполнения своих служебных обязанностей.
Ставить в известность ответственного за защиту персональных данных о любых фактах нарушения требований настоящей Инструкции.
Бережно относится к носителям персональных данных.
Обеспечивать физическую безопасность носителей информации всеми разумными способами.
Извещать ответственного за защиту персональных данных о фактах утраты (кражи) носителей персональных данных.
При использовании носителей персональных данных запрещено:
Использовать носители персональных данных в личных целях.
Передавать носители персональных данных лицам, не имеющим доступ к обработке персональных данных в данной информационной системе персональных данных.
Хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
Выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому и т. д.
Любое взаимодействие (обработка, прием/передача информации) инициированное сотрудником администрации Россошанского муниципального района Воронежской области между ИС и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с ответственным за защиту персональных данных заранее). Ответственный за защиту персональных данных оставляет за собой право блокировать или ограничивать использование носителей информации.
Информация об использовании сотрудником администрации носителей информации в ИС протоколируется и, при необходимости, может быть предоставлена Руководителю администрации Лизиновского сельского поселения.
В случае выявления фактов несанкционированного и/или нецелевого использовании носителей персональных данных инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем администрации.
По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю администрации для принятия мер согласно локальным актам администрации и действующему законодательству.
Информация, хранящаяся на носителях персональных данных, подлежит обязательной проверке на отсутствие вредоносного ПО.
При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования.
Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.
В случае утраты или уничтожения съемных носителей персональных данных либо разглашении содержащихся в них сведений немедленно ставится в известность начальник соответствующего структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей персональных данных.
Съемные носители персональных данных, пришедшие в негодность, или отслуживших установленный срок, подлежат уничтожению. Уничтожение съемных носителей с персональными данными осуществляется «уполномоченной комиссией». По результатам уничтожения носителей составляется акт по прилагаемой форме
В случае увольнения или перевода работника в другое структурное подразделение, предоставленные носители персональных данных изымаются.
4.Ответственность
Работники, нарушившие требования настоящей Инструкции, несут ответственность в соответствии с действующим законодательством и локальными актами администрации Россошанского муниципального района Воронежской области.
Приложение №25
Инструкция
пользователям локальной вычислительной сети по порядку пользования в сети международного информационного обмена
(ИНТЕРНЕТ)
1. Общие положения
Инструкция разработана на основании федерального закона «Об информации информатизации и защите информации» от 27 июля 2006 года №149-ФЗ, «Доктрины информационной безопасности Российской Федерации», утвержденной Президентом Российской Федерации 9 сентября 2000 года№ Пр-1895, «Специальных требований и рекомендаций по защите конфиденциальной информации» (СТР-К) утвержденных приказом Гостехкомиссии России 30 августа 2002 года № 282, указа Президента «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17 марта 2008 года № 35 1 и других нормативно правовых документов в области защиты информации.
Настоящая Инструкция определяет основные требования по организации работы в области защиты информации, общий порядок обращения с документами и другими материальными носителями информации при подключении и использовании международных информационных сетей (МИС) общего пользования, в том числе сети Интернет.
Интернет - всемирная компьютерная сеть, которая использует для взаимодействия стек протоколов TCP/IP (протокол управления передачи сообщений / Интернет протокол). Работа в Интернет осуществляется в режиме реального времени (on-line). Существует ряд протоколов и служб, связанных с TCP/IP и Интернетом. Наиболее распространенными из них являются:
SMTP - протокол приема - передачи электронной почты.
TELNET - протокол для подключения к удаленным системам, присоединенным к МИС общего пользования в режиме удаленного терминала.
FTP - протокол предназначенный для передачи файлов с одного компьютера на другой в вычислительной сети.
DNS - служба сетевых имен используемых для протоколов TELNET, FTP и т.д.
WWW - служба (всемирная паутина), использующая гипертекстовый формат HTML (язык разметки гипертекста), предназначенная для передачи тестовой, графической, аудио и видео информации, а также ссылок на другие документы (гипертекстовые ссылки - выделенные области документа, позволяющие переходить к другому документу, содержащему связанную информацию).
Помимо перечисленных, существует ряд служб и протоколов для удаленной печати, предоставления удаленного доступа к файлам и дискам, работы с распределенными базами данных и т.д.
Основная цель обеспечения информационной безопасности - предотвращение несанкционированного уничтожения, искажения. копирования, блокирования информации в компьютерных и телекоммуникационных системах
Источники угроз информационной безопасности
Подключение средств вычислительной техники к МИС общего пользования представляет реальную угрозу создания разветвленных систем регулярного несанкционированного контроля информационных процессов и ресурсов, несанкционированного доступа (НСД) в автоматизированные системы (АС).
Информационные вычислительные сети общего пользования являются открытыми системами передачи информации, при работе в которых могут возникнуть следующие основные угрозы безопасности информации:
проникновение в систему незаконных пользователей, которое происходит вследствие ошибок в конфигурации программных средств (ошибок администрирования), дефектов в средствах обеспечения защиты информации от НСД операционных систем;
перенос вАС разрушающего программного обеспечения (внедрение программных закладок, вирусов);
выбор и использование законным пользователем системы неудачных паролей;
несанкционированная передача служебной информации ограниченного распространения пользователями в МИС общего пользования и т.д.
При непосредственном подключении локальной вычислительной сети к МИС общего пользования любой пользователь МИС имеет возможность:
получить информацию об адресной структуре сети;
установить типы и версии используемого сетевого программного обеспечения (сетевое оборудование, операционные системы, прикладные и служебные сервисы);
получить информацию о пользователях сети;
попытаться подключиться к информационным ресурсам сети;
вызвать отказ в обслуживании легальных пользователей.
Кроме явных, то есть непосредственно направленных на сеть организации, внешних угроз информационной безопасности, существуют угрозы, связанные с неумышленным распространением зловредного программного кода самими сотрудниками организации. К зловредному программному коду относят вирусы, троянские программы, «опасные» компоненты прикладных протоколов.
По этим причинам самым опасным с точки зрения безопасности информации является несанкционированное использование модемов, подключенных к рабочим станциям пользователя. Причем подключение не обязательно может использоваться для доступа в Интернет (возможны соединения к серверам других организаций, и к отдельным компьютерам, например домашним).
Технические средства защиты информации
К техническим средствам защиты информации при работе с информационными сетями общего пользования, в том числе Интернет относятся: системы разграничения прав доступа, межсетевые экраны, системы построения защищенных виртуальных сетей (VirtualPrivateNetwork - VPN), системы обнаружения атак, системы анализа защищенности, системы антивирусной защиты и т.д.
4. Системы разграничения доступа
Система разграничения доступа запрещает посторонним лицам доступ к ресурсам автоматизированной системы и позволяет разграничить права пользователей при работе на компьютере, при этом контролируются права локальных, удаленных и терминальных пользователей.
4.1 Межсетевые экраны (МСЭ)
Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство, реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и/или выходящей из АС, и
обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Межсетевые экраны позволяют осуществить: контроль доступа на межсетевом уровне, протоколирование информационных потоков, сокрытие топологии защищаемой сети, реагирование на несанкционированные действия.
Средствами МСЭ могут быть выявлены следующие виды атак: сканирование сетевых портов, атаки на отказ в обслуживании, изучение топологии внутренней сети, использование слабостей протоколов прикладного уровня, распространение вирусов и спама.
К дополнительным службам МСЭ относятся: средства резервного копирования и восстановления, средства обеспечения высокой доступности, сетевая служба имен.
Основные показатели защищенности МСЭ: управление доступом, идентификация и аутентификация, регистрация событий и оповещение, контроль целостности, восстановление работоспособности.
Межсетевые экраны делятся на пять классов в соответствии с руководящим документом «Средства вычислительной техники. Межсетевые экраны. Защите от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - М.: Гостехкомиссиия России, 1997.
4.2.Системы построения защищенных виртуальных сетей
Системы построения защищенных виртуальных сетей позволяют организовать прозрачное для пользователей соединение локальных вычислительных сетей с помощью шифрования.
-
Системы обнаружения атак
К системам обнаружения атак можно отнести: системы обнаружения атак на уровне сети, системы обнаружения атак на уровне хоста. Системы обнаружения атак используют:
системы обнаружения аномального поведения пользователя (большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора, использование периферийных устройств, которые обычно пользователем не используются и т.д.);
системы обнаружения злоупотребления (обнаружение уже известной атаки по шаблону или «сигнатуре»).
-
Системы анализа защищенности
Средства анализа защищенности предназначены для поиска в вычислительной технике и ее компонентах различных уязвимостей, которые могут быть использованы злоумышленниками для реализации атак;
5. Организация работы с международными информационными сетями 5.1 Общие требования
АС МИС общего пользования должны быть автономны, не иметь логических и физических каналов (линий) связи с объектами вычислительной техники, на которых ведется обработка информации ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам.
На технических средствах абонентского пункта должно находиться только программное обеспечение, необходимое для его функционирования системы. Владельцам открытых и общедоступных государственных информационных ресурсов необходимо осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации.
Владельцам и пользователям указанных ресурсов необходимо осуществлять размещение технических средств, подключаемых к открытым информационным системам, сетям и сетям связи, используемым при международном информационном обмене, включая сеть "Интернет", вне помещений, предназначенных для ведения закрытых переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну.
5.1Резервное копирование
При размещении информации в сетях общего пользования, необходимо иметь копию такой информации, для ее восстановления в случае разрушения, изменения или блокирования по причине несанкционированного доступа либо неисправности оборудования. Также необходимо иметь резервную копию системы для восстановления информации в случае ее разрушения.
-
Аппаратно - программная защита
Для фильтрации входящих и исходящих сообщений, а также обнаружения атак, рекомендуется использовать межсетевые экраны.
Для работы с открытыми информационными ресурсами в режиме реального времени (on-line) как правило, используют технологию VPN. Для передачи информации конфиденциального характера по открытым каналам связи необходимо использовать сертифицированные средства криптографической защиты.
Программное обеспечение, устанавливаемое наАС МИС общего пользования, должно быть сертифицировано и иметь все последние обновления.
-
Организационные меры
Приказом по предприятию, подразделению, учреждению, организации назначаются должностные лица, ответственные за эксплуатацию АС МИС, допущенные к работам в МИС общего пользования (в том числе администратор АС МИС, должностные лица, имеющие право подписи документов для отправки по МИС общего пользования, должностные лица, ответственные за прием/отправку электронных сообщений и т.д.).
Пользователь АС МИС обязан:
строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
знать и строго выполнять правила работы со средствами защиты информации (средствами разграничения доступа), используемых на персональных компьютерах;
хранить в тайне свой аутентификатор (пароль доступа в автоматизированную систему), а также информацию о системе защиты установленной на АС;
Администратор АС МИС обязан:
перед работой пользователей в МИС обеспечить обновление антивирусных баз;
после окончания работы проверить технические средства на наличие/отсутствие вредоносного кода и целостность АС (запрещается использование АС при отключенных или неисправных средствах защиты информации).
Администратор обеспечивает выдачу аутентификаторов (имя пользователя/электронный адрес) и идентификаторов (пароль) пользователя, а также регулярную смену идентификаторов. В случае прекращения полномочий пользователя по работе с МИС (перевод на другую должность, не предусматривающую работу с МИС или увольнение), администратор удаляет учетную запись пользователя из АС МИС.
Администратор обеспечивает ведение журнала приема-передачи информации средствами МИС на бумажных или электронных носителях, который должен содержать следующие обязательные поля: дата работы в сети, ФИО пользователя, время (продолжительность) работы в сети, подпись (в случае ведения журнала на бумажном носителе) или аутентификатор (при ведении электронного журнала). Данная информация используется для сверки времени работы в сети со счетом предъявленным организацией
предоставляющей услуги связи с МИС, и выявления злоупотреблений работы в сети, а также для обнаружения факта компрометации пароля пользователя сети.
Пользователи, работающие на АС МИС общего пользования, обязаны: знать порядок входа в МИС общего пользования и регистрации в сети; знать данную инструкцию;
знать правила работы со средствами защиты информации установленными на АС; передачу документированной информации, производить только по письменному разрешению должностного лица, имеющего право подписи документов для отправки по МИС общего пользования, и после учета в несекретном делопроизводстве;
материальные носители информации с записанной на них входящей документированной информации полученной в процессе работы с информационными ресурсами МИС общего пользования передавать для учета в несекретное делопроизводство;
при пользовании электронной почтой запрещается передача сведений, содержащих конфиденциальную информацию без применения специальных мер защиты (сертифицированных средств криптографической защиты информации);
запрещается копирование или распространение информации с нарушением авторских прав или условий программных лицензий;
запрещается распространение противозаконных материалов;
С целью предотвращения заполнения почты ненужной почтовой (рекламной и др.) информацией - спамом не рекомендуется размещать адрес своего электронного ящика на досках (доски объявлений или BBS) объявлений. Для фильтрации данных сообщений необходимо использование белого и черного списка для настройки почтовой службы, а также сообщить о наличии спама администратору сети, провайдеру.
Ежемесячно необходимо проверять фактически отработанное время работы в сети Интернет со счетом, представленным провайдером.
5.4 Антивирусная защита
АС МИС общего пользователя оснащаются, в обязательном порядке, антивирусным программным обеспечением, обновление антивирусной базы которого производится непосредственно перед каждым началом работы. Антивирусное программное обеспечение настраивается на проверку всех файлов без исключения. При использовании съемных накопителей информации для передачи информации, каждый из них должен быть проверен на отсутствие вредоносного программного обеспечения. АС МИС общего пользования регулярно, не реже одного раза в неделю, проверяются на отсутствие вредоносного программного кода.
При отправке электронных сообщений необходимо заполнять поле тема. Не рекомендуется открывать для чтения почтовые сообщения, адресат которых неизвестен или почтовое отправление носит подозрительный характер (реклама или запрос информации неизвестной фирмы, спам, и т.д.)
Если обнаружено, что почтовое отправление, пришедшее от адресата, заражено вредоносным кодом, администратору необходимо:
срочно принять все меры по предотвращению дальнейшего распространения заражения путем прекращения приема передачи сообщений данной АС МИС;
провести сканирование и лечение системы антивирусными средствами (при необходимости обновить базы данных антивирусного программного обеспечения);
отметить данный факт в журнале учета с указанием названия вредоносного программного обеспечения и адресата, от которого оно получено;
поставить в известность руководителя подразделения Правительства области, а также абонента с которыми осуществлялась связь в период заражения для проверки АС антивирусными средствами.
сообщить адресату о наличии у него заражения, для последующего принятия адресатом срочных мер.
Запрещается хранение вредоносного кода, на каких либо носителях информации.
При обнаружении вредоносного кода необходимо произвести его удаление антивирусными средствами. Удаление зараженных файлов средствами операционной системы может привести к безвозвратному разрушению информации.
|
