|
Утверждена
приказом директора
МОУ «СОШ №14»
от «30» сентября 2015г.
№ 01-13/211
|
ИНСТРУКЦИЯ
пользователя по работе с конфиденциальной информацией
Сыктывкар
Оглавление
-
Общие положения
Настоящая Инструкция определяет общие правила работы сотрудников МОУ «СОШ №14» (далее – Учреждение) с конфиденциальной информацией Учреждения.
Служебная информация ограниченного распространения в электронном виде обрабатывается в специально выделенных автоматизированных системах, а персональные данные – в информационных системах персональных данных. Также устанавливается особый порядок обработки и хранения служебной информации ограниченного распространения и персональных данных, содержащихся на бумажных носителях.
Пользователем является каждый сотрудник Учреждения, участвующий в рамках своих функциональных обязанностей в процессах обработки (автоматизированной, без использования средств автоматизации) конфиденциальной информации и имеющий доступ к аппаратным средствам, программному обеспечению, носителям информации и средствам защиты.
Пользователь в своей работе руководствуется настоящей Инструкцией, Правилами обработки персональных данных, руководящими и нормативными документами ФСТЭК России и ФСБ России и другими документами Учреждения, регламентирующие обработку конфиденциальной информации.
Методическое руководство работой Пользователя осуществляет Администратор (Оператор) автоматизированной (информационной) системы и ответственный за организацию обработки персональных данных.
-
Термины и определения
Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (в том числе служебная информация ограниченного распространения и персональные данные).
Служебная информация ограниченного распространения − информация, не содержащая сведения, составляющие государственную тайну, касающаяся деятельности Учреждения, ограничения на распространение которой диктуются служебной необходимостью.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка конфиденциальной информации – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с конфиденциальной информацией, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение конфиденциальной информации.
Автоматизированная обработка конфиденциальной информации – обработка конфиденциальной информации с помощью средств вычислительной техники.
Распространение конфиденциальной информации – действия, направленные на раскрытие конфиденциальной информации неопределенному кругу лиц.
Предоставление конфиденциальной информации – действия, направленные на раскрытие конфиденциальной информации определенному лицу или определенному кругу лиц.
Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Автоматизированное рабочее место (АРМ) – программно-технический комплекс, посредством которого Пользователь выполняет свои должностные обязанности (персональный компьютер, ноутбук, терминал и т.п.).
Несанкционированный доступ (НСД) – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Посторонние лица – лица, которые не имеют права самостоятельного доступа в помещение и (или) не имеют права самостоятельного доступа в АС или ИСПДн и (или) не имеют допуска к конфиденциальной информации.
Средство защиты информации от несанкционированного доступа (СЗИ НСД) – программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа к информации.
-
Обязанности Пользователя
Не разглашать конфиденциальную информацию, которая будет доверена или станет известна в ходе рабочего процесса во время выполнения должностных (договорных) обязанностей.
Не сообщать устно или письменно, не передавать в каком либо виде третьим лицам и не раскрывать публично конфиденциальную информацию без соответствующего разрешения непосредственного руководителя.
Знать и выполнять требования законодательных актов Российской Федерации, настоящей Инструкции и других внутренних документов, регламентирующих порядок обработки конфиденциальной информации.
Выполнять на АРМ только те процедуры обработки конфиденциальной информации, которые определены должностной инструкцией.
Знать и соблюдать установленные требования по режиму обработки конфиденциальной информации, учету, хранению и пересылке носителей информации, обеспечению безопасности конфиденциальной информации.
Использовать для хранения конфиденциальной информации только определенные места хранения и учтенные носители конфиденциальной информации.
Незамедлительно, в кратчайшие сроки, сообщать директору Учреждения об утрате или недостаче носителей информации, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов и о других фактах, которые могут привести к разглашению конфиденциальной информации.
При прекращении работ (трудовых отношений) все материальные носители, содержащие конфиденциальную информацию (флеш-накопители, дискеты, оптические диски, документы, черновики, распечатки на принтерах, кино- и фотоматериалы, модели, промышленные образцы и пр.), передать директору Учреждения.
Использовать информационные ресурсы Учреждения и переданные в распоряжение технические средства хранения, обработки и передачи информации исключительно для выполнения порученных работ, должностных (договорных) обязанностей.
Соблюдать требования парольной политики (раздел 4).
Соблюдать требования антивирусной защиты (раздел 5).
Пользователи, имеющие выход в Интернет, обязаны соблюдать правила при работе в сетях связи общего пользования и (или) сетях международного информационного обмена (раздел 6).
Пользователи, работающие с электронной подписью или использующие шифрование, обязаны соблюдать Инструкцию по обращению со средствами криптографической защиты информации.
Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты).
Обо всех выявленных нарушениях, связанных с порядком обработки конфиденциальной информации, а так же для получений консультаций по вопросам обработки конфиденциальной информации, необходимо обращаться к Администратору автоматизированной системы или ответственному за организацию обработки персональных данных.
-
Пользователям запрещается:
Нарушать установленные в Учреждении правила обработки конфиденциальной информации.
Использовать компоненты программного и аппаратного обеспечения Учреждения в неслужебных целях.
Оставлять свое рабочее место без присмотра, предварительно не заблокировав (штатными средствами операционной системы Windows или Linux – комбинацией клавиш [WIN] + [L] или [CTRL] + [ALT] + [DEL] с дальнейшим нажатием кнопки «Блокировка» появившегося меню, либо при помощи штатных средств защиты информации от несанкционированного доступа при их наличии).
Оставлять без присмотра или неубранными в хранилища (шкаф, сейф) носители или документы, содержащие конфиденциальную информацию.
Записывать и хранить конфиденциальную информацию на неучтенных носителях информации (оптических дисках, гибких магнитных дисках, флеш-накопителях и т.п.).
Самовольно изменять состав и конфигурацию используемых программных, аппаратных, программно-аппаратных средств, самовольно устанавливать программное обеспечение, отключать/подключать оборудование или изменять режимы его работы.
Самовольно подключать АРМ или другие средства к ЛВС Учреждения, изменять IP-адрес, MAC-адрес и иные настройки сети АРМ.
Производить действия, направленные на получение несанкционированного доступа к АРМ и серверам, равно как и любым другим узлам ЛВС Учреждения или Интернет, в том числе:
действия, направленные на нарушение нормального функционирования элементов сети (компьютеров, другого сетевого оборудования или программного обеспечения);
установка программного обеспечения, осуществляющего перехват информации (информационных пакетов), адресованной другим пользователям;
действия, направленные на получение несанкционированного доступа к информационным ресурсам, в последующем использовании такого доступа;
уничтожение, модификация программного обеспечения или данных без согласования с непосредственным руководителем или владельцами этого ресурса;
попытки подбора паролей к любым информационным ресурсам методом перебора всех возможных вариантов паролей, либо атак по словарю;
умышленные действия по созданию, использованию и распространению вредоносных программ, в том числе направленных на получение несанкционированного доступа к любым информационным и служебным ресурсам (как внутри Учреждения так и вне), либо на нарушение целостности и работоспособности этих систем;
действия по сканированию локальной сети с целью определения ее внутренней структуры, списков открытых портов, наличия существующих сервисов и уязвимостей.
-
Самовольно изменять параметры средств защиты информации (в том числе и средств антивирусной защиты), а также завершать их работу и (или) самостоятельно их устанавливать.
Самостоятельно разрабатывать или использовать нерегламентированные (без разрешения непосредственного руководителя, не относящиеся к производственному процессу) программы (например: игры; IM-клиенты, такие как Google Messenger, Microsoft Messenger, ICQ и т.п.; P2P-клиенты: Kazaa, eMule, Skype и т.п.).
Разрешать посторонним лицам работать под своей учетной записью в АС или ИСПДн.
Пересылать конфиденциальную информацию по каналам связи в открытом виде, в том числе Интернет, по телефону, факсу, электронной почте и т.п. (без использования средств шифрования).
Получать доступ к конфиденциальной информации с рабочих мест, не оборудованными необходимыми средствами защиты информации.
Получать доступ к сети Интернет любыми способами, кроме как установленными настоящей Инструкцией, например, при помощи несанкционированно установленных на АРМ модемов и т. п.
Самовольно создавать совместно используемые сетевые ресурсы (папки общего доступа) на своих компьютерах и файловых серверах, несанкционированно удалять или изменять права доступа к ним.
В случае возникновения любых механических неисправностей в оборудовании осуществлять самостоятельные попытки их устранения.
Препятствовать должностным лицам при проведении проверок и служебных расследований, связанных с обеспечением безопасности информации.
Удалять или искажать программы и файлы с конфиденциальной информацией и иной важной информацией (например, системной, необходимой для функционирования АРМ, АС и ИСПДн).
Умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению внештатной ситуации. Об обнаружении такого рода ошибок – ставить в известность руководителя своего подразделения и сотрудников, ответственных за установку и (или) сопровождение программного обеспечения.
Подключать к ЛВС Учреждения личные средства вычислительной техники: ноутбуки, карманные компьютеры, смартфоны и т.п., а так же личные носители и накопители информации. В случае необходимости переноса информации с личных носителей информации обращаться к системному администратору.
-
Парольная политика
-
Общие требования к паролям:
Минимальное требование: буквенно-цифровой пароль. Желательно использовать буквы в верхнем или нижнем регистрах, цифры или специальные символы (например: ~ ! @ # $ % ^ & * ( ) _ - + = | \ ? / . , : ; ’ ] [ { } < > . и т.п.).
Минимальная длина пароля: не менее 6 (шести) символов.
Максимальный срок действия пароля: 90 суток.
Запрет использования трех ранее использовавшихся паролей.
Пароль Пользователя не должен включать в себя легко вычисляемые сочетания символов, общепринятые сокращения, имена, фамилии, должности, год рождения, номер паспорта, табельный номер, иную информацию о Пользователе, доступную другим лицам.
Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов.
Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например: 1234567, qwerty и т.п.).
-
Правила использования паролей:
Хранить в тайне свой пароль, не сообщать его другим лицам.
Не давать доступ в АС или ИСПДн другим лицам под своей учетной записью и паролем.
Изменять свой пароль при первом требовании политики паролей операционной системы (АС или ИСПДн).
Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
Немедленно сообщить ответственному по парольной защите об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.
Запрещается записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе АРМ, на обратной стороне клавиатуры и т.д.
Запрещается хранить пароли в записанном виде на отдельных листах бумаги.
Смена, удаление личного пароля любого Пользователя производится в следующих случаях:
в случае подозрения на компрометацию пароля;
по окончании срока действия;
в случае прекращения полномочий (увольнение, переход на другую работу внутри Учреждения) Пользователя после окончания последнего сеанса работы в информационных системах;
по указанию Администратора АС или ответственного за организацию обработки персональных данных.
-
При увольнении, переходе на новую должность сотрудника, имеющего доступ помимо своей учетной записи к другим ресурсам (межсетевые экраны, маршрутизаторы, серверы, другие учетные записи и т.п.) также производится внеплановая смена паролей к таким ресурсам.
Для создания значений паролей могут применяться специальные программные средства (генераторы паролей).
-
Антивирусная защита
В случае отсутствия штатных функций антивирусной программы, предусматривающих автоматическую проверку файлов, Пользователь обязан осуществлять проверку файлов получаемых:
по электронной почте;
через сеть Интернет;
на магнитном, оптическом диске, флеш–накопителе;
ином съемном носителе информации;
полученные иным способом.
-
Пользователю запрещается:
Осуществлять действия, направленные на выключение антивирусной программы.
Самостоятельно устанавливать на АРМ программное обеспечение.
Запускать файлы, полученные по сетям связи (электронной почте, Интернет), со съемных носителей, даже если они получены проверенного адресата, без предварительной их проверки антивирусной программой.
При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) Пользователь самостоятельно или вместе с ответственным за антивирусную защиту должен провести внеочередной антивирусный контроль своего рабочего места.
В случае обнаружения при проведении антивирусной проверки вирусного заражения Пользователи обязаны:
приостановить работу;
немедленно поставить в известность о факте обнаружения вирусного заражения ответственного за антивирусную защиту;
совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь ответственного за антивирусную защиту).
-
Порядок работы в АС, ИСПДн и сети Интернет
-
Подключение к АС, ИСПДн и сети Интернет
Целью работы Пользователя в АС, ИСПДн и сети Интернет является сбор, обработка, хранение общедоступной и конфиденциальной информации, обмен электронными сообщениями в служебных целях.
Доступ к АС, ИСПДн и сети Интернет предоставляется Пользователям только в том случае, если это не противоречит требованиям по защите информации (требованиям настоящей Инструкции и иными нормативными документами в области защиты информации).
Доступ пользователя к АС или ИСПДн для обработки конфиденцмальной информации производится только с рабочих мест, на которых установлены средства защиты информации.
Основанием для подключения сотрудника Учреждения к АС, ИСПДн и сети Интернет является мотивированная заявка администратору от непосредственного руководителя Пользователя с указанием полномочий доступа к таким ресурсам и сервисам.
Администратор, либо сотрудник, выполняющий его функции, организует подключение к АС, ИСПДн или сети Интернет Пользователей в установленном порядке, осуществляет контроль над использованием данных ресурсов и сервисов.
После выполнения задания администратор сообщает пользователю выполнении заявки.
Основанием для отключения Пользователя от АС, ИСПДн и сети Интернет являются следующие события:
нарушение инструкций и иных локальных нормативных актов в области защиты информации Учреждения;
в случае нарушения Пользователем действующего законодательства в сфере компьютерной информации;
увольнение Пользователя, либо перевод его в другое подразделение.
-
Порядок работы в сети Интернет
Использование сотрудниками Учреждения сети Интернет должно осуществляться исключительно для выполнения должностных обязанностей.
Информация, образованная (образующаяся) в процессе трудовой деятельности работника Учреждения является собственностью Учреждения и не подлежит использованию (в том числе использованию в сети Интернет или с помощью сети Интернет) в личных целях и (или) в корыстных интересах других лиц (организаций).
При проведении технических работ, связанных с настройкой оборудования (коммуникационное оборудование, прокси-сервера, маршрутизаторы и т.п.); в случае обнаружения попыток несанкционированного доступа к Интернет-шлюзу, АРМ Пользователей может проводиться временное отключение Пользователей от сервисов сети Интернет (в случае планового отключения Пользователи уведомляются об этом заблаговременно).
Вся информация о ресурсах, посещаемых сотрудниками Учреждения, протоколируется и, при необходимости, может быть предоставлена руководителям подразделений, а так же руководству Учреждения для детального изучения и принятия решения о мерах дисциплинарной ответственности.
При работе в сети Интернет Пользователям запрещается:
умышленное распространение и получение материалов в/из сети Интернет, противоречащих законодательству Российской Федерации, в том числе материалов, пропагандирующих насилие или экстремизм; разжигающих расовую, национальную или религиозную вражду; разъясняющих порядок изготовления и/или применения наркотиков, взрывчатых веществ, оружия и т. п.; материалов порнографического характера; компьютерных вирусов и других вредоносных программ;
передавать в сеть Интернет информацию, к которой в соответствии с законодательством ограничен доступ (персональные данные, служебная информация) без соответствующего разрешения;
фальсифицировать IP-адрес, MAC-адрес, иные адреса, используемые в сетевых протоколах, а также прочую служебную информацию при передаче данных через сеть Интернет.
предоставлять доступ в сеть Интернет со своей рабочей станции кому-либо, в том числе программно-техническими способами через локальную вычислительную сеть Учреждения (например: путем несанкционированной установки локального Интернет-шлюза на рабочую станцию);
получать доступ к сети Интернет любыми способами, не предусмотренными действующими локальными документами (Инструкциями, стандартами Учреждения, положениями, регламентами);
осуществлять несанкционированный доступ к ресурсам и сервисам сети Интернет.
выполнять действия (взлом, DoS (отказ в обслуживании), ARP-spoofing атаки, сканирование локальной вычислительной сети) направленные на нарушение функционирования элементов сети Интернет (коммуникационного оборудования, серверов, рабочих станций, программного обеспечения).
-
Правила работы Пользователей с электронной почтой:
Пользователи обязаны использовать электронную почту только для выполнения служебных обязанностей.
Запрещается отправлять файлы, содержащие конфиденциальную информацию в открытом виде (не зашифрованные).
Запрещается массовая рассылка почтовых сообщений (более 100) внешним адресатам без согласования с руководством (спама).
Запрещается использовать не свой обратный адрес при отправке электронной почты.
Запрещается отправлять по электронной почте исполняемые файлы (обычно имеют расширения exe, com, bat, js, vbs и т.п.). В случае необходимости отправки таких файлов, помещать их в архив.
Присоединяемые файлы рекомендуется упаковывать в архив при помощи программ-архиваторов.
Корпоративные рекомендации использования электронной почты:
Вы должны оказывать то же уважение, что и при устном общении.
Вы должны проверять правописание, грамматику и дважды перечитывать свое сообщение перед отправлением.
Вы не должны участвовать в рассылке посланий, пересылаемых по цепочке (чаще всего это письма религиозно-мистического, развлекательного содержания).
Вы не должны по собственной инициативе пересылать по произвольным адресам незатребованную информацию.
Вы не должны рассылать сообщения, которые являются зловредными, раздражающими или содержащими угрозы другим пользователям.
Вы не должны отправлять никаких сообщений противозаконного или неэтичного содержания.
Вы должны помнить, что электронное послание является эквивалентом почтовой открытки и не должно использоваться для пересылки конфиденциальной информации без использования средств защиты (шифрование).
Вы не должны использовать широковещательные возможности электронной почты за исключением выпуска уместных объявлений.
Вы не должны использовать корпоративную электронную почту для посланий личного характера.
Вы должны неукоснительно соблюдать правила и инструкции и помогать администраторам бороться с нарушителями правил.
-
Порядок работы со съемными носителями информации
Под использованием носителей информации в АС и ИСПДн Учреждения понимается их подключение к инфраструктуре АС и ИСПДн с целью обработки, приема/передачи информации между информационными системами и носителями информации.
Допускается использование только учтенных носителей информации, которые являются собственностью Учреждения и подвергаются регулярной ревизии и контролю.
Учет и выдачу съемных носителей информации осуществляет администратор или лицо, ответственное за организацию обработки персональных данных. Факт выдачи носителя фиксируется в журнале учета съемных носителей информации.
Если доступ к АС или ИСПДн производится при помощи персональных идентификаторов (eToken, Rutoken, др.), то факт получения и сдачи данных идентификаторов обязательно фиксируется администратором или лицом, ответственным за организацию обработки персональных данных, в соответствующих журналах.
Возможность подключения носителей информации, а также получение учтенных носителей информации предоставляются Пользователям по инициативе руководителей структурных подразделений в случаях:
необходимости выполнения вновь принятым работником своих должностных обязанностей;
возникновения у Пользователя служебной необходимости.
При использовании носителей информации необходимо:
использовать носители информации исключительно для выполнения своих служебных обязанностей;
бережно относится к носителям конфиденциальной информации.
обеспечивать физическую безопасность носителей информации всеми разумными способами;
извещать администраторов о фактах утраты (кражи) носителей информации.
При использовании носителей конфиденциальной информации запрещено:
использовать носители конфиденциальной информации в личных целях;
передавать носители конфиденциальной информации другим лицам (за исключением администраторов);
хранить съемные носители с конфиденциальной информацией на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
выносить съемные носители с конфиденциальной информацией из служебных помещений для работы с ними на дому и т. д.
-
Любое взаимодействие (обработка, прием/передача информации) инициированное Пользователем между информационной системой и неучтенными (личными) носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами заранее). Администратор оставляет за собой право блокировать или ограничивать использование носителей информации.
Информация об использовании Пользователями носителей информации в информационных системах протоколируется и, при необходимости, может быть предоставлена руководителям структурных подразделений, а также директору Учреждения.
В случае выявления фактов несанкционированного и/или нецелевого использовании носителей информации инициируется служебная проверка, проводимая комиссией, состав которой определяется Администратором АС и ответственным за организацию обработки персональных данных. По факту выясненных обстоятельств составляется акт расследования инцидента и передается руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Учреждения и действующему законодательству РФ.
При отправке или передаче конфиденциальной информации адресатам на съемные носители записываются только предназначенные адресатам данные.
Вынос съемных носителей конфиденциальной информации для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.
Съемные носители конфиденциальной информации, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется комиссией, состав которой определяется Администратором АС и ответственным за организацию обработки персональных данных. По результатам уничтожения носителей составляется акт.
В случае увольнения или перевода работника в другое структурное подразделение, предоставленные носители конфиденциальной информации изымаются и делаются соответствующие пометки в журнале учета носителей.
-
Права пользователя
Использовать АС и ИСПДн Учреждения для выполнения служебных обязанностей.
Обращаться к системному администратору, Администратору АС, ответственному за организацию обработки персональных данных для консультаций по поводу использования программного обеспечения и АРМ, вопросам обработки конфиденциальной информации.
Направлять предложения по установке новых версий существующего программного обеспечения (с обоснованием необходимости замены старых версий на новые).
Направлять предложения по модернизации программного обеспечения, разрабатываемого в Учреждении или по заказу Учреждения.
Направлять предложения по установке нового (а также дополнительного) программного обеспечения (с указанием цели использования, преимуществ перед существующими аналогами).
Направлять предложения по модернизации АРМ (замены на новые аналоги), с обязательным обоснованием замены и указанием преимуществ перед существующими аналогами.
Получать консультации и разъяснения по нормативным документам, регламентирующим работу с конфиденциальной информацией в Учреждении.
-
Ответственность
Пользователь несет персональную ответственность за свои действия или бездействие, которые могут повлечь за собой разглашение конфиденциальной информации, а также за нарушение нормального функционирования АС и ИСПДн или их отдельных компонентов, несанкционированный доступ к информации в соответствие с законодательством Российской Федерации и локальными нормативными актами Учреждения.
|
