ПОСТАНОВЛЕНИЕ Администрации (Правительства) Курганской области от 03.06.2003 № 156
"ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ И ЗАЩИТЫ ЭЛЕКТРОННЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ АДМИНИСТРАЦИИ (ПРАВИТЕЛЬСТВА) КУРГАНСКОЙ ОБЛАСТИ"
Официальная публикация в СМИ:
публикаций не найдено
АДМИНИСТРАЦИЯ (ПРАВИТЕЛЬСТВО) КУРГАНСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 3 июня 2003 г. № 156
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ
И ЗАЩИТЫ ЭЛЕКТРОННЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ
АДМИНИСТРАЦИИ (ПРАВИТЕЛЬСТВА)
КУРГАНСКОЙ ОБЛАСТИ
В целях определения единых требований для проведения организационно-технических мероприятий по обеспечению сохранности и защиты конфиденциальных и открытых информационных ресурсов Администрации (Правительства) Курганской области, обрабатываемых на персональных компьютерах, Администрация (Правительство) Курганской области постановляет:
1. Утвердить прилагаемое Положение по обеспечению сохранности и защиты электронных информационных ресурсов Администрации (Правительства) Курганской области.
2. Руководителями исполнительных органов государственной власти Курганской области, осуществляющими отраслевое либо межотраслевое управление, назначить администраторов информационных ресурсов.
3. Контроль за исполнением настоящего Постановления возложить на первого заместителя Губернатора Курганской области Бухтоярова А.И.
Губернатор Курганской области
О.А.БОГОМОЛОВ
Приложение
к Постановлению
Администрации (Правительства)
Курганской области
от 3 июня 2003 г. № 156
ПОЛОЖЕНИЕ
ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ И ЗАЩИТЫ ЭЛЕКТРОННЫХ
ИНФОРМАЦИОННЫХ РЕСУРСОВ АДМИНИСТРАЦИИ
(ПРАВИТЕЛЬСТВА) КУРГАНСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Положение по обеспечению сохранности и защиты электронных информационных ресурсов Администрации (Правительства) Курганской области (далее именуется Положение) разработано в соответствии с Федеральным законом от 20.02.1995 № 24-ФЗ "Об информации, информатизации и защите информации", другими нормативными правовыми актами Российской Федерации в области использования и защиты информационных ресурсов;
1.2. Требования настоящего Положения являются обязательными для государственных служащих Администрации (Правительства) Курганской области и исполнительных органов государственной власти Курганской области, осуществляющих отраслевое либо межотраслевое управление (далее - органы исполнительной власти Курганской области), выполнение должностных обязанностей которых связано с использованием персональных компьютеров, и определяет их полномочия, обязанности и ответственность по обеспечению сохранности и защиты электронных информационных ресурсов;
1.3. В Положении используются следующие сокращения и основные понятия:
ПК - персональный компьютер (сервер, рабочая станция, другие специализированные компьютеры на любых аппаратно-программных платформах);
ЛВС - локальная вычислительная сеть или аналогичная информационная система любого уровня сложности и назначения;
локальный ПК - персональный компьютер, работающий вне локальной вычислительной сети;
ПО - программное обеспечение - комплекс программ, обеспечивающий обработку или передачу данных, а также разработку новых программ;
БД - база данных - совокупность данных, организованная по определенным правилам;
электронные информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов, базы данных, другие виды информационного обеспечения в информационных системах, использующих ПК (далее - информационные ресурсы); структурное подразделение - подразделение аппарата Администрации (Правительства) Курганской области, органов исполнительной власти Курганской области;
информационное подразделение - отдел, сектор, структурное подразделение, занимающееся обслуживанием (эксплуатацией) локальных ПК и (или) ЛВС аппарата Администрации (Правительства) Курганской области, органов исполнительной власти Курганской области;
пользователь - государственный служащий Администрации (Правительства) Курганской области, органов исполнительной власти Курганской области, выполнение должностных обязанностей которого связано с обработкой информации на ПК;
администратор - государственный служащий Администрации (Правительства) Курганской области, органов исполнительной власти Курганской области, ответственный за выполнение требований по обеспечению сохранности и защите информационных ресурсов локальных ПК и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС другого структурного подразделения (в собственности которого находится сервер ЛВС), и (или) ПК, объединенных в ЛВС информационного или структурного подразделения на базе собственного сервера этой ЛВС;
сохранность информационных ресурсов - способность локального ПК или ЛВС обеспечивать неизменность информационных ресурсов в условиях случайного и (или) преднамеренного искажения, разрушения, удаления, копирования, несанкционированного доступа, других аналогичных действий;
защита информационных ресурсов - организационные, правовые, технические и технологические меры по предотвращению угроз информационной безопасности и устранению их последствий:
предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с действующим законодательством;
обработка информационных ресурсов - сбор, подготовка, ввод, накопление, хранение, преобразование, вывод, отображение информационных ресурсов;
несанкционированный доступ - доступ к информационным ресурсам, нарушающий правила разграничения доступа с использованием любых средств, предоставляемых ПК или ЛВС;
1.4. Администратор назначается распоряжением (приказом) руководителя органа исполнительной власти Курганской области. Не допускается возложение функций администратора на представителей организаций, общественных объединений и иных органов, не входящих в перечень органов исполнительной власти Курганской области;
1.5. Руководители подразделений, пользователи и администраторы обязаны знать и выполнять нормативные правовые акты Российской Федерации, Курганской области, регулирующие отношения, возникающие при:
формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения информации;
создании и использовании информационных технологий и средств их обеспечения;
защите информации, прав субъектов, участвующих в информационных процессах и информатизации;
1.6. Руководители подразделений, пользователи и администраторы несут персональную ответственность за полноту и своевременность выполнения требований настоящего Положения. За нарушение требований настоящего Положения они несут ответственность, предусмотренную законодательством Российской Федерации.
2. Требования к пользователю
2.1. Данный раздел отражает полномочия и функциональные обязанности пользователя локального ПК или ПК в составе ЛВС;
2.2. Пользователь обязан знать администратора, обращаться к нему по вопросам использования аппаратно-программного обеспечения своего ПК, выполнять его устные и письменные указания в соответствии с настоящим Положением;
2.3. Пользователь обязан уметь правильно использовать аппаратно-программное обеспечение, которое установлено на его ПК, включая средства защиты информационных ресурсов;
2.4. Пользователю запрещается самостоятельно устанавливать новое или модифицировать имеющееся прикладное, операционное, сетевое и другие виды программного обеспечения, если эта работа не входит в его должностные обязанности. Необходимость замены (модификации, новой установки и т.п.) программного обеспечения определяется руководителем информационного подразделения и (или) администратором и проводится ими самостоятельно или с привлечением работников информационного подразделения;
2.5. Для исключения или существенного затруднения несанкционированного доступа к информационным ресурсам загрузка операционной системы на ПК пользователя осуществляется посредством использования пароля. Пользователь обязан сообщить установленный ему пароль своему непосредственному руководителю.
Пользователю запрещается записывать пароли на любой носитель информации, если доступ к нему других лиц невозможно проконтролировать.
Пользователю запрещается передавать используемые им пароли другому лицу, если у последнего нет на то полномочий, определенных его должностными обязанностями и другими нормативными правовыми актами Курганской области;
2.6. Пользователь обязан правильно вводить свой идентификатор в ЛВС и пароли, не пытаться работать от имени другого пользователя (т.е. используя его пароль), не пытаться осуществлять несанкционированный доступ к информационным ресурсам, ему не предназначенным и предпринимать других действий, приводящих к незаконному просмотру, копированию, модификации или удалению информационных ресурсов;
2.7. Пользователь обязан определить (самостоятельно или с помощью администратора) информационные ресурсы, функционально им используемые или актуализируемые, требующие регулярного резервного сохранения (архивирования). Конкретный вид, периодичность и порядок архивирования определяется пользователем самостоятельно или с помощью администратора.
Ответственность за проведение архивирования информационных ресурсов, расположенных на ПК, возлагается на пользователя этого ПК.
Пользователь обязан убедиться в возможности восстановления информационных ресурсов с архивных копий;
2.8. Пользователь обязан знать и уметь пользоваться тем антивирусным программным обеспечением, которое находится на его ПК. Перед проведением любых операций (считывание, запись, модификация, удаление информации) с внешним носителем информации (дискета, компакт-диск, накопитель на жестком магнитном диске и т.п.) пользователь обязан провести антивирусную проверку внешнего носителя информации. Антивирусная проверка также проводится пользователем при получении файлов электронной почты.
При обнаружении вируса пользователь обязан сделать об этом отметку в типовом журнале.
В случае невозможности излечения (очистки) внешнего носителя информации или файлов электронной почты от вируса пользователь незамедлительно сообщает об этом администратору, который принимает соответствующие меры.
Пользователю категорически запрещается производить какие-либо действия с информацией, находящейся на зараженном вирусом внешнем носителе или файлах электронной почты;
2.9. Пользователь обязан осуществлять обмен данными, расположенными на ПК или на сервере ЛВС, используя сетевые средства обмена информацией, а не внешние носители информации;
2.10. Пользователь обязан использовать предоставленное ему дисковое пространство сервера ЛВС только для хранения информационных ресурсов, необходимых для осуществления своих должностных обязанностей;
2.11. Пользователь обязан информировать администратора и своего непосредственного руководителя о любых нарушениях сохранности информационных ресурсов или возникших нештатных ситуациях, а также о возможности появления любых нарушений, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС в целом.
3. Требования к администратору
3.1. Администратор несет ответственность как за выполнение требований по обеспечению сохранности и защиты информационных ресурсов всех ПК (локальных и объединенных в ЛВС), так и собственно за администрирование ЛВС, имеющего сервер ЛВС;
3.2. На администратора возлагаются дополнительные полномочия и обязанности по обеспечению сохранности и защиты информационных ресурсов в соответствии с его должностной инструкцией и настоящим Положением. В зависимости от количества ПК, объемов (сегментов) и типов ЛВС могут быть назначены несколько администраторов по решению руководителя;
3.3. Администратор оказывает методическую помощь пользователям по вопросам, входящим в его компетенцию. Устные или письменные указания администратора являются обязательными для пользователей;
3.4. Администратор определяет необходимость подключения источника бесперебойного питания для локального ПК и (или) ПК в составе ЛВС. Наличие источника бесперебойного питания для серверов ЛВС является обязательным;
3.5. Администратор определяет необходимость замены (модификации, новой установки и т.п.) прикладного, операционного, сетевого и других видов программного обеспечения и производит ее самостоятельно;
3.6. В целях предотвращения кого-либо ущерба от случайных или преднамеренных действий пользователей администратор обязан определить и предоставить пользователям ЛВС только те права доступа к информационным ресурсам, которые необходимы им для выполнения своих должностных обязанностей;
3.7. Для исключения или существенного затруднения несанкционированного доступа к информационным ресурсам администратор может по своему усмотрению или по просьбе пользователя обеспечить загрузку операционной системы на ПК пользователя посредством использования пароля.
Пароль не должен состоять из простых общеизвестных слов, имен, фамилий. Желательно использование в пароле цифр, символов пунктуации, других редко используемых символов. Длина пароля не должна быть меньше пяти символов. Периодичность смены пароля определяется администратором и (или) руководителем подразделения пользователя. Запрещается назначение одного и того же пароля или его несущественных модификаций на разных ПК.
Администратору запрещается передавать список паролей или каждый в отдельности другому лицу, если у последнего нет на то полномочий, определенных его должностными обязанностями;
3.8. При назначении пароля каждому пользователю для его регистрации вхождения в ЛВС и соблюдении мер по его неразглашению администратор обязан соблюдать требования пункта 3.7. настоящего Положения;
Запрещается использование одного и того же пароля для загрузки операционной системы на ПК пользователя и для регистрации вхождения последнего в ЛВС;
3.9. При увольнении пользователя администратор обязан сменить пароль загрузки операционной системы в используемом этим пользователем ПК, удалить идентификатор пользователя в ЛВС, сменить криптографические ключи, если пользователем использовались средства шифрования информации, провести другие организационно-технические мероприятия, исключающие возможность несанкционированного доступа к информационным ресурсам.
Не допускается назначение идентификатора уволившегося пользователя новому (другому) пользователю ЛВС;
3.10. Администратор обязан совместно с руководителем подразделения пользователя определить информационные ресурсы общего пользования, требующие регулярного резервного сохранения (архивирования), и принять меры для обеспечения данного архивирования пользователями. Администратор совместно с пользователем определяет периодичность архивирования соответствующих информационных ресурсов.
Администратор обязан убедиться в возможности восстановления информационных ресурсов с архивных копий;
3.11. Администратор ведет реестр электронных информационных ресурсов;
3.12. Для предотвращения программно-математических воздействий (вирусов), вызывающих модификацию, разрушение, удаление информационных ресурсов и (или) сбои в работе ПК и (или) ЛВС в целом, администратор обязан предусмотреть наличие антивирусного программного обеспечения на локальном ПК, на ПК в составе ЛВС и на сервере ЛВС. Конкретный вид антивирусного программного обеспечения зависит как от технических характеристик ПК, так и от используемого операционного и (или) сетевого программного обеспечения и определяется администратором.
Администратор обязан предусмотреть возможность обновления (получения новых версий) антивирусного программного обеспечения.
Администратор обязан настроить интерфейс ПК пользователя таким образом, чтобы последний в удобной форме смог произвести антивирусную проверку любого внешнего носителя информации (дискета, компакт-диск, накопителя на жестком магнитном диске и т.п.), а также файлов электронной почты.
Администратор обязан периодически (в зависимости от вида антивирусного программного обеспечения), но не реже одного раза в полгода, производить тестирование ПК пользователя на наличие вирусов. Данные сведения заносятся им в типовой журнал;
3.13. Администратор обязан предусмотреть выделение необходимых сетевых ресурсов, доступных всем пользователям ЛВС, для ограничения обмена данными посредством внешнего носителя информации между пользователями ЛВС;
3.14. Для обеспечения сохранности информации администратор обязан периодически, но не реже одного раза в полгода, проводить тестирование локальных ПК, ПК в составе ЛВС, серверов ЛВС на целостность информационных ресурсов и ПО. Данные сведения заносятся им в типовой журнал.
Вид используемого тестового программного обеспечения зависит как от технических характеристик ПК, так и от используемого операционного и (или) сетевого программного обеспечения и определяется администратором;
3.15. Администратор обязан анализировать регистрационную информацию, относящуюся к функционированию ЛВС, на предмет отслеживания попыток несанкционированного доступа к информационным ресурсам, других действий пользователей, которые могут привести к модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС, если это позволяет сетевое операционное программное обеспечение.
Перечень регистрационных показателей, фиксирующих действительное состояние ЛВС и любые ненормальные ситуации в ее работе, зависит от конкретного вида сетевого операционного программного обеспечения.
Администратор обязан производить распечатку файла, содержащего регистрационные показатели ЛВС, если обнаружен факт несанкционированного доступа или другие ненормальные ситуации в работе ЛВС. Распечатки подшиваются в папку, которая хранится у администратора.
Необходимость применения дополнительных систем управления информационными ресурсами, контроля, защищенности, разграничения доступа и других средств мониторинга, защиты информации и безопасности функционирования ЛВС (сетевых анализаторов, сканеров безопасности, межсетевых экранов, драйверов сетевой защиты, различных фильтров и т.п.) определяется администратором;
3.16. Администратор должен знать и правильно использовать те аппаратно-программные средства защиты информационных ресурсов, которые установлены на ПК и (или) ЛВС и обеспечивать сохранность информационных ресурсов;
3.17. Администратор обязан иметь структурную схему ЛВС с указанием схемы соединения всех входящих в нее средств обработки информации: серверов, ПК, концентраторов, модемов, сетевых принтеров, других аналогичных конструктивных элементов ЛВС с указанием их технических параметров и мест расположения;
3.18. Администратор обязан информировать начальника информационного подразделения, руководителя подразделения пользователя о любых нарушениях требований по обеспечению сохранности и защиты информационных ресурсов, о возникших нештатных ситуациях, а также о возможности появления таких нарушений, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС;
3.19. При работе на ПК использовать только лицензированное и официально приобретенное ПО. Перечень ПО определяется администратором согласно решаемых задач на конкретном ПК;
3.20. Контроль за деятельностью администратора осуществляет начальник информационного подразделения.
4. Общие требования по защите электронных
информационных ресурсов
4.1. Порядок обработки, обращения и использования электронных информационных ресурсов, требования по их защите определяются категорией этих информационных ресурсов: открытые и общедоступные или ограниченного доступа;
4.2. Передача конфиденциальных информационных ресурсов по открытым каналам связи и телекоммуникациям разрешается только при использовании шифровальных средств;
4.3. Администратор обязан вести учет ПК, обрабатывающих конфиденциальную информацию;
4.4. Запрещается подключение ПК к сетям общего доступа (например, Интернет) и использование на них коммерческой электронной почты, если ПК обрабатывают конфиденциальную информацию;
4.5. При передаче ПК, обрабатывающего конфиденциальную информацию, в другое структурное подразделение такая информация подлежит уничтожению таким образом, чтобы ее восстановление было невозможным;
4.6. Использование аппаратных и (или) программных средств защиты информации определяется администратором в соответствии с установленным порядком и зависит от категории информационных ресурсов, технических характеристик ПК и (или) ЛВС в целом, используемого операционного и (или) сетевого программного обеспечения, наличия электронной почты, систем связи и телекоммуникаций с внешними информационными системами и сетями общего доступа и других организационно-технических факторов.
Руководитель аппарата -
Начальник управления
организационной работы
Администрации (Правительства)
Курганской области
В.М.ДОСТОВАЛОВА