Расширенный поиск

Постановление Главы Муниципального образования "Ленинский район" от 17.02.2003 № 70

 



            МУНИЦИПАЛЬНОЕ ОБРАЗОВАНИЕ "ЛЕНИНСКИЙ РАЙОН"
                   ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ

                 ГЛАВА МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ

                           ПОСТАНОВЛЕНИЕ

                   от 17 февраля 2003 г. № 70
                  

            О мерах по обеспечению сохранности и защите
              электронных информационных ресурсов

    В  соответствии  с Федеральным Законом от 20.02.1995  N  24-ФЗ
"Об  информации,  информатизации  и защите  информации",  решением
районного  Совета от 25.01.2001 N 5 "Об утверждении  Положения  "О
муниципальных    информационных    ресурсах    органов    местного
самоуправления  муниципального образования  "Ленинский  район",  в
целях определения единых требований для проведения организационно-
технических  мероприятий  по  обеспечению  сохранности  и   защите
конфиденциальных     и    открытых    информационных     ресурсов,
обрабатываемых техническими средствами

    ПОСТАНОВЛЯЮ:

    1.  Утвердить прилагаемое Положение по обеспечению сохранности
и  защите  электронных  информационных  ресурсов  в  администрации
района муниципального образования "Ленинский район".
    2.   Руководителям  структурных  подразделений   администрации
района  в месячный срок со дня подписания настоящего постановления
в  соответствии с Положением по обеспечению сохранности  и  защите
электронных   информационных  ресурсов  в   администрации   района
муниципального образования "Ленинский район" обеспечить оформление
регистрационных  карт  на персональные компьютеры,  обрабатывающие
конфиденциальные информационные ресурсы.
    3. Обработка служебной информации (ввод, накопление, хранение,
преобразование,   вывод,  отображение,  прием   и   передача)   на
персональных компьютерах производится в структурных подразделениях
администрации   района,   администрациях   сельских   округов    в
соответствии  с решением районного Совета от 25.01.2001 N  5 "Об
утверждении  Положения  "О муниципальных  информационных  ресурсах
органов   местного   самоуправления   муниципального   образования
"Ленинский район".
    4.   Методическое  руководство  и  контроль   за   выполнением
настоящего   постановления  возложить   на   управляющего   делами
администрации  района  Решетняк Т.А.,  заведующего  информационно-
аналитическим отделом администрации района Ивагина А.П.
    5.   Настоящее  постановление  вступает  в  силу  со  дня  его
подписания.


    Глава муниципального
    образования                                        С.В. ЛАВРУК





                             ПОЛОЖЕНИЕ
     по обеспечению сохранности и защите электронных информа-
   ционных ресурсов в администрации района МО "Ленинский район"

                                                        УТВЕРЖДЕНО
                                              постановлением главы
                                        муниципального образования
                                                от 17.02.2003 N 70

                            Положение
  по обеспечению сохранности и защите электронных информационных
    ресурсов в администрации района муниципального образования
                         "Ленинский район"

                        1. Общие положения.

    1.1.   Настоящее   Положение  разработано  в  соответствии   с
Федеральным   Законом  от  20.02.1995  N  24-ФЗ  "Об   информации,
информатизации и защите информации", решением районного Совета  от
25.01.2001  N   5 "Об  утверждении  Положения  "О  муниципальных
информационных    ресурсах    органов   местного    самоуправления
муниципального образования "Ленинский район", другими нормативными
правовыми  и  методическими документами в области использования  и
защиты информационных ресурсов.
    1.2.  Положение  предназначено для  муниципальных  служащих  и
работников,  занимающих  должности не отнесенные  к  муниципальным
должностям  и  осуществляющих техническое обеспечение деятельности
районного  Совета  и главы муниципального образования,  выполнение
должностных   обязанностей   которых  связано   с   использованием
персональных компьютеров, и определяет их полномочия,  обязанности
и  ответственность по обеспечению сохранности и защите электронных
информационных ресурсов.
    1.3.  Положение  является обязательным  для  выполнения  всеми
муниципальными служащими и работниками, занимающими  должности  не
отнесенные    к   муниципальным   должностям   и   осуществляющими
техническое  обеспечение  деятельности районного  Совета  и  главы
муниципального образования в части их касающейся.
    1.4.  В Положении используются следующие сокращения и основные
понятия:
    1.4.1.  ПК - персональный компьютер (сервер, рабочая  станция,
другие   специализированные   компьютеры   на   любых   аппаратно-
программных платформах);
    1.4.2.  ЛВС  -  локальная вычислительная сеть или  аналогичная
информационная система любого уровня сложности и назначения;
    1.4.3.  Локальный ПК - персональный компьютер, работающий  вне
ЛВС;
    1.4.4.   Электронные   информационные  ресурсы   -   отдельные
документы  и  отдельные массивы документов,  документы  и  массивы
документов, базы данных, другие виды информационного обеспечения и
информационных  системах,  использующих  ПК  (далее  по  тексту  -
информационные ресурсы);
    1.4.5.   Структурное  подразделение  -  комитеты,  управления,
отделы     администрации     района,    сельские     администрации
административно-территориальных единиц муниципального  образования
"Ленинский район";
    1.4.6.  Пользователь - муниципальный служащий вне  зависимости
от  замещаемой  им  муниципальной должности муниципальной  службы,
выполнение  должностных обязанностей которого связано с обработкой
информации, а также работник, занимающий должность, не  отнесенную
к   муниципальным   должностям,   и   осуществляющий   техническое
обеспечение  деятельности районного Совета и главы  муниципального
образования, выполнение должностных обязанностей которого  связано
с обработкой информации;
    1.4.7.   Администратор  информационных   ресурсов   (далее   -
администратор)  -  специалист информационно-аналитического  отдела
администрации  района, ответственный за выполнение  требований  по
обеспечению сохранности и защите информационных ресурсов локальных
ПК  и  (или)  ПК,  объединенных в одноранговую ЛВС,  и  (или)  ПК,
подключенных к ЛВС другого структурного подразделения, и (или) ПК,
объединенных  в ЛВС информационного или структурного подразделения
на базе собственного сервера этой ЛВС;
    1.4.8.   Защита  информационных  ресурсов  -  организационные,
правовые,  технические  и технологические меры  по  предотвращению
угроз информационной безопасности и устранению их последствий;
    1.4.9.   Сохранность  информационных  ресурсов  -  способность
локального  ПК  или  ЛВС обеспечивать неизменность  информационных
ресурсов  в условиях случайного и (или) преднамеренного искажения,
разрушения,  удаления, копирования, несанкционированного  доступа,
других аналогичных действий;
    1.4.10.  Несанкционированный доступ - доступ к  информационным
ресурсам,    нарушающий    правила   разграничения    доступа    с
использованием любых средств, предоставляемых ПК или ЛВС.
    1.5.  Распоряжением главы муниципального образования в  каждом
структурном   подразделении   администрации   района   назначаются
ответственные из числа пользователей за использованием  локального
ПК и (или) ПК в составе ЛВС.
    1.6.   Руководители  структурных  подразделений,  пользователи
обязаны знать и выполнять нормативные правовые акты, затрагивающие
вопросы   информатизации,  защиты  информации   и   информационной
безопасности  в  части  соблюдения  требований  и  ограничений  по
использованию и защите информационных ресурсов различной категории
доступа.
    1.7.   Руководители  структурных  подразделений,  пользователи
несут  персональную ответственность за полноту  и  своевременность
выполнения   требований   настоящего   Положения.   За   нарушение
требований  настоящего  Положения  они  могут  быть  привлечены  к
ответственности, предусмотренной законодательством.
    1.8.   Настоящее  Положение  может  уточняться  и  дополняться
установленным порядком.

                   2. Требования к пользователю

    2.1.   Данный  раздел  отражает  полномочия  и  функциональные
обязанности пользователя локального ПК или ПК в составе ЛВС.
    2.2.   Пользователь   обязан   обращаться   в   информационно-
аналитический   отдел   по   вопросам   использования   аппаратно-
програмного обеспечения своего ПК.
    2.3.  Пользователь  обязан  уметь  правильно  использовать  то
аппаратно-программное обеспечение, которое установлено на его  ПК,
включая средства защиты информационных ресурсов.
    2.4.  Пользователю  запрещается  самостоятельно  устанавливать
новое   или  модифицировать  имеющееся  прикладное,  операционное,
сетевое и другие виды программного обеспечения, если эта работа не
входит   в  его  должностные  обязанности.  Необходимость   замены
(модификации,  новой  установки и т.п.)  программного  обеспечения
определяется   заведующим   информационно-аналитическим    отделом
администрации   района   и   (или)   с   привлечением   работников
информационно-аналитического  отдела   администрации   района   по
указанию его руководителя.
    2.5.    Для    исключения   или   существенного    затруднения
несанкционированного  доступа к информационным  ресурсам  загрузка
операционной  системы  на  ПК  пользователя  может  осуществляться
посредством  использования  пароля. В  таком  случае  пользователь
обязан  сообщить  установленный им пароль своему непосредственному
руководителю и администратору.
    Пользователю  запрещается записывать пароли на любой  носитель
информации,   если   доступ   к   нему   других   лиц   невозможно
проконтролировать.
    Пользователю  запрещается передавать  используемые  им  пароли
другому лицу, если у последнего нет на то полномочий, определенных
его  должностными  обязанностями  или  другими  распорядительными,
предписывающими документами.
    2.6. Пользователь обязан корректно задавать свой идентификатор
в   ЛВС   и   пароли,  не  пытаться  работать  от  имени   другого
пользователя, не пытаться осуществлять несанкционированный  доступ
к    информационным   ресурсам,   ему   не   предназначенным,   не
предпринимать других действий, приводящих к незаконному просмотру,
копированию, модификации или удалению информационных ресурсов.
    2.7.  Пользователь  обязан определить  (самостоятельно  или  с
помощью  администратора) информационные ресурсы, функционально  им
используемые или актуализируемые, требующие регулярного резервного
сохранения   (архивирования).  Конкретный  вид,  периодичность   и
порядок  архивирования  определяется пользователем  самостоятельно
или с помощью администратора.
    Ответственность  за  проведение  архивирования  информационных
ресурсов,   физически   расположенных  на   ПК,   возлагается   на
пользователя этого ПК.
    Отметку  об архивировании пользователю рекомендуется  отражать
согласно таблице (приложение 1, форма 1).
    Пользователю  рекомендуется  также  убедиться  в   возможности
восстановления информационных ресурсов с архивных копий.
    2.8.  Пользователь  обязан  знать  и  уметь  пользоваться  тем
антивирусным  программным обеспечением, которое находится  на  его
ПК.   Перед   проведением  любых  операций  с  внешним   носителем
информации  (дискета,  стримерная  лента,  винчестер  и  т.п.),  -
считывание,  запись,  модификация,  удаление  информации  и  т.д.,
пользователь  обязан  произвести  антивирусную  проверку  внешнего
носителя  информации. Отметка об использовании  внешнего  носителя
информации отражается пользователем в журнале (приложение 1, форма
2).
    В  случае невозможности излечения  (очистки) внешнего носителя
информации  от  вируса пользователь ставит об этом  в  известность
администратора, который производит соответствующие данной ситуации
действия  и делает отметку об этом в журнале (приложение 1,  форма
2).
    Пользователю категорически запрещается производить  какие-либо
действия с информацией зараженного вирусом внешнего носителя.
    2.9.   Пользователи   обязаны  осуществлять   обмен   данными,
расположенными  на  ПК  или  на  сервере  ЛВС,  используя  сетевые
средства  обмена  информацией. Запрещается  использование  внешних
носителей информации для обмена данными между пользователями ЛВС.
    2.10.  Пользователь  обязан использовать  предоставленное  ему
дисковое    пространство   сервера   ЛВС   только   для   хранения
информационных  ресурсов,  необходимых  для  осуществления   своих
должностных обязанностей.
    2.11.  Пользователи могут завести один журнал для  отображения
данных  в  соответствии с формой 1 и (или)  2   (приложение 1) для
нескольких  ПК, если последние расположены в одном  помещении  или
принадлежат  одному  подразделению. В  таком  случае  в  структуру
таблицы по форме 2 между первым и вторым столбцами добавляется еще
один столбец "ПК, название и (или) инвентарный номер".
    Время хранения данного журнала определяется моментом заведения
следующего аналогичного журнала при наличии двух уже имеющихся или
не должно быть менее года после его заполнения.
    2.12.  Пользователь  обязан  информировать  администратора   и
своего   непосредственного   руководителя   о   любых   нарушениях
сохранности  информационных ресурсов в  соответствии  с  настоящим
Положением, другими нормативными правовыми документами  и  здравым
смыслом, и (или) о возможности появления таких нарушений,  которые
могут   привести  к  несанкционированному  доступу,   модификации,
разрушению, удалению информационных  ресурсов или сбоям  в  работе
ПК и (или) ЛВС в целом.

               3. Требования к администратору

    3.1.   Данный  раздел  отражает  полномочия  и  функциональные
обязанности  администратора, в части его касающейся, в зависимости
от наличия в структурном подразделении только локальных ПК и (или)
ПК,  объединенных в одноранговую ЛВС, и (или) ПК,  подключенных  к
ЛВС  другого структурного подразделения (в собственности  которого
находится   сервер   ЛВС),  и  (или)  ПК,   объединенных   в   ЛВС
информационно-аналитического отдела администрации района  на  базе
собственного сервера этой ЛВС.
    Администратор    ЛВС    информационно-аналитического    отдела
администрации    района    муниципального    образования     несет
ответственность  как  за  выполнение  требований  по   обеспечению
сохранности  и  защите  информационных  ресурсов  всех  ПК  своего
структурного подразделения (локальных и объединенных в ЛВС), так и
собственно за администрирование ЛВС всех структурных подразделений
имеющих сервер ЛВС.
    3.2.   Администратором   является  специалист   информационно-
аналитического   отдела   администрации   района,   на    которого
возлагаются дополнительные полномочия и обязанности по обеспечению
сохранности и защите информационных ресурсов в соответствии с  его
должностной инструкцией и настоящим Положением.
    Часть  функций администратора могут быть возложены  на  других
работников информационно-аналитического отдела его руководителем.
    3.3. К администратору предъявляются те же требования, что и  к
пользователю в соответствии с настоящим Положением.
    3.4. Администратор оказывает методическую помощь пользователям
по вопросам, входящим в его компетенцию в соответствии с настоящим
Положением.  Устные  или  письменные указания  администратора,  не
противоречащие его должностной инструкции и требованиям настоящего
Положения, являются обязательными для исполнения пользователями.
    3.5.    Администратор   определяет   необходимость   источника
бесперебойного питания для конкретного локального ПК и (или) ПК  в
составе  ЛВС. Наличие источника бесперебойного питания для сервера
ЛВС является обязательным.
    3.6.    Администратор    определяет    необходимость    замены
(модификации, новой установки, и т.п.) прикладного, операционного,
сетевого  и  других видов программного обеспечения и  проводит  ее
самостоятельно   или  с  привлечением  работников   информационно-
аналитического отдела, в функциональные обязанности которых входит
данная работа.
    3.7.  Для уменьшения вероятности получения ущерба от случайных
или  преднамеренных  действий пользователей  администратор  обязан
определить  и  предоставить  пользователям  ЛВС  только  те  права
доступа  к  информационным  ресурсам, которые  необходимы  им  для
выполнения своих должностных обязанностей.
    3.8.    Для    исключения   или   существенного    затруднения
несанкционированного    доступа    к    информационным    ресурсам
администратор   может  по  своему  усмотрению   или   по   желанию
пользователя  обеспечить  загрузку  операционной  системы  на   ПК
пользователя посредством использования пароля.
    Пароль не должен состоят из простых общеизвестных слов,  имен,
фамилий  и  т.п. Желательно использование в пароле цифр,  символов
пунктуации,  других редко используемых символов. Длина  пароля  не
должна  быть  меньше  пяти  символов. Периодичность  смены  пароля
определяется  администратором и (или) руководителем  подразделения
пользователя. Запрещается назначение одного и того же  пароля  или
его несущественных модификаций на разных ПК.
    Администратору  запрещается  передавать  список  паролей   или
каждый  в  отдельности другому лицу, если у последнего нет  на  то
полномочий,   определенных  его  должностными  обязанностями   или
другими распорядительными, предписывающими документами.
    3.9.  При  назначении  пароля  каждому  пользователю  для  его
регистрации  вхождения в ЛВС и соблюдении мер по его неразглашению
администратор должен руководствоваться правилом, изложенным  в  п.
3.8. настоящего Положения.
    3.10. При увольнении пользователя администратор обязан сменить
пароль загрузки операционной системы в используемом им ПК, удалить
идентификатор пользователя в ЛВС, сменить криптографические ключи,
если  пользователем использовались средства шифрования информации,
провести    другие    аналогичные   организационно-технологические
мероприятия, уменьшающие возможность несанкционированного  доступа
к информационным ресурсам.
    Не    допускается   назначение   идентификатора   уволившегося
пользователя новому (другому) пользователю ЛВС.
    3.11.   Администратор   обязан   совместно   с   руководителем
структурного  подразделения пользователя определить информационные
ресурсы   общего  пользования,  требующие  регулярного  резервного
сохранения (архивирования), и принять меры для обеспечения данного
архивирования  пользователями  и  (или)  проводить  эту  процедуру
самостоятельно.  Администратор также, совместно  с  пользователем,
определяет   периодичность   (составляет   график)   архивирования
соответствующих информационных ресурсов.
    Отметку об архивировании администратору рекомендуется отражать
в таблице (приложение 1. форма 1).
    Администратору  рекомендуется также  убедиться  в  возможности
восстановления информационных ресурсов с архивных копий.
    3.12. Для предотвращения программно-математических воздействий
(вирусов),    вызывающих   модификацию,    разрушение,    удаление
информационных ресурсов и (или) сбои в работе ПК  и  (или)  ЛВС  в
целом,  администратор  обязан предусмотреть наличие  антивирусного
программного обеспечения на локальном ПК, на ПК в составе ЛВС и на
сервере ЛВС. Конкретный вид антивирусного программного обеспечения
зависит     как  от  технических  характеристик  ПК,  так   и   от
используемого   операционного   и  (или)   сетевого   программного
обеспечения и определяется администратором.
    Администратор  обязан  предусмотреть  возможность   обновления
(получения новых версий) антивирусного программного обеспечения.
    Администратор обязан настроить интерфейс ПК пользователя таким
образом,   чтобы   последний  в  удобной  форме  смог   произвести
антивирусную   проверку   любого  внешнего   носителя   информации
(дискета, стримерная лента, винчестер и т.п.).
    Администратор   обязан   периодически   (зависит    от    вида
антивирусного программного обеспечения), но не реже одного раза  в
полгода,  производить  тестирование  ПК  пользователя  на  наличие
вируса,   Данные  результата  проведения  антивирусного   контроля
рекомендуется заносить в таблицу (приложение 1, форма 3).
    3.13. Администратор обязан предусмотреть выделение необходимых
сетевых ресурсов, доступных всем пользователям ЛВС, для исключения
необходимости   обмена  данными  посредством   внешнего   носителя
информации между пользователями ЛВС.
    3.14.   Для  обеспечения  требования  неизменности  информации
администратор  обязан  периодически, но  не  реже  одного  раза  в
полгода,  проводить тестирование локальных ПК, ПК в  составе  ЛВС,
серверов  ЛВС  на  целостность  информационных  ресурсов,  которая
зависит   от  аппаратно-программных  ошибок,  так  и  от  действий
пользователя.
    Вид  используемого тестового программного обеспечения  зависит
как  от  технических  характеристик ПК,  так  и  от  используемого
операционного   и  (или)  сетевого  программного   обеспечения   и
определяется   администратором.   Данные   результата   проведения
контроля   целостности   информационных   ресурсов   рекомендуется
заносить в таблицу (приложение 1. форма 3).
    3.15.   Администратор  обязан  анализировать   регистрационную
информацию,  относящуюся  к  функционированию  ЛВС,   на   предмет
отслеживания попыток несанкционированного доступа к информационным
ресурсам, других действий пользователей, которые могут привести  к
модификации,  разрушению,  удалению  информационных  ресурсов  или
сбоям  в  работе  ПК  и  (или)  ЛВС, если  это  позволяет  сетевое
операционное программное обеспечение.
    Перечень      регистрационных     показателей,     фиксирующих
действительное состояние ЛВС и (или) любые ненормальные ситуации в
ее  работе,  зависит  от  конкретного вида сетевого  операционного
программного обеспечения.
    Администратор обязан производить распечатку файла, содержащего
регистрационные    показатели    ЛВС,    если    обнаружен    факт
несанкционированного  доступа или другие ненормальные  ситуации  в
работе  ЛВС.  Распечатки подшиваются в специальную папку,  которая
хранится у администратора.
    Необходимость  применения  дополнительных  систем   управления
информационными  ресурсами, контроля, защищенности,  разграничения
доступа   и   других  средств  защиты  информации  и  безопасности
функционирования ЛВС (сетевых анализаторов, сканеров безопасности,
межсетевых экранов, драйверов сетевой защиты, различных фильтров и
т.п.) определяется администратором.
    3.16.  Администратор должен знать и правильно использовать  те
аппаратно-программные  средства  защиты  информационных  ресурсов,
которые  установлены на ПК и (или) ЛВС, и обеспечивать сохранность
информационных ресурсов посредством этих средств.
    3.17.  Администратор  обязан иметь  структурную  схему  ЛВС  с
указанием  схемы соединения всех входящих в нее средств  обработки
информации:   серверов,  ПК,  концентраторов,   модемов,   сетевых
принтеров,  других  аналогичных  конструктивных  элементов  ЛВС  с
указанием их технических параметров и мест расположения.
    3.18.  Администратор обязан проводить проверку (не реже одного
раза  в полгода) наличия и порядка ведения пользователями учетного
журнала   в   соответствии  с  разделом  2  настоящего  Положения.
Результаты  проверки заносятся администратором  в  соответствующую
графу этого журнала.
    3.19.  Время  хранения администратором журнала (приложение  1,
форма   1   и  (или)  форма  3)  определяется  моментом  заведения
следующего аналогичного журнала при наличии двух уже имеющихся или
не должно быть менее года после его заполнения.
    3.20.    Администратор   обязан   информировать    заведующего
информационно-аналитическим    отделом    администрации    района,
руководителя  структурного  подразделения  пользователя  о   любых
нарушениях   требований  по  обеспечению  сохранности   и   защите
информационных  ресурсов, в соответствии с  настоящим  Положением,
другими  нормативными правовыми документами и здравым  смыслом,  и
(или)  о  возможности  появления таких  нарушений,  которые  могут
привести  к несанкционированному доступу, модификации, разрушению,
удалению  информационных ресурсов или сбоям в работе  ПК  и  (или)
ЛВС.

    4.  Общие требования по защите конфиденциальных электронных
         информационных ресурсов для руководителей структурных
            подразделений, пользователей и администратора

    4.1.  Порядок обработки, обращения и использования электронных
информационных  ресурсов, а, следовательно,  и  требования  по  их
защите   определяются  категорией  этих  информационных  ресурсов:
открытые и общедоступные или ограниченного доступа. В свою очередь
информационные  ресурсы с ограниченным доступом подразделяются  на
две  категории: информацию, отнесенную к государственной  тайне  и
конфиденциальную.
    4.2.  Сведения, отнесенные к государственной тайне, определены
в следующих нормативных правовых актах Российской Федерации:
    -  Федеральном  Законе  от 21.07.1993  N  5485-1  (в  ред.  от
06.10.97 N 131-ФЗ) "О государственной тайне";
    -  Указе Президента Российской Федерации от 24.01.1998 N 61 "О
перечне сведений, отнесенных к государственной тайне";
    4.3.   Сведения,  отнесенные  к  конфиденциальной  информации,
определены  в  следующих  нормативных  правовых  актах  Российской
Федерации,   Еврейской   автономной   области   и   муниципального
образования "Ленинский район":
    -  Федеральном  Законе от 20.02.1995 N 24-ФЗ  "Об  информации,
информатизации и защите информации";
    -  Указе Президента Российской Федерации от 06.03.1997 № 188
"Об утверждении Перечня сведений конфиденциального характера";
    -  постановлении губернатора Еврейской автономной  области  от
30.11.2001   N   270  " О    порядке    работы   со   сведениями
конфиденциального   характера  в  органах  исполнительной   власти
Еврейской автономной области";
    -  постановлении  главы муниципального образования  "Ленинский
район"  от  21.01.2002 N  18 "О  порядке  работы  со  сведениями
конфиденциального характера в администрации района  муниципального
образования "Ленинский район" и ее структурных подразделениях".
    4.4.    На    каждый   ПК,   обрабатывающий   конфиденциальные
информационные  ресурсы согласно пп. 4.3.   настоящего  Положения,
руководителем структурного подразделения пользователя совместно  с
администратором  составляется  регистрационная  карта  по  типовой
форме (приложение 2).
    За  начальную  основу  для составления  регистрационной  карты
принимается  "Акт регистрации технических средств", обрабатывающих
информацию ограниченного доступа.
    Дальнейшая  регистрация  (выявление)  информационных  ресурсов
конфиденциального  характера  (если таковые  будут  иметь  место),
подлежащих   обработке   на   ПК,  возлагается   на   руководителя
структурного подразделения пользователя и администратора.
    Ответственность  за своевременное составление  регистрационной
карты,   ее   ведение  и  регистрацию  в  ней  текущих   изменений
возлагается   на   руководителя   подразделения   пользователя   и
администратора  в части их касающейся (пояснения по  заполнению  и
ведению регистрационной карты указаны в приложении 2).
    Регистрационная карта на ПК хранится у администратора.
    Запрещается   обрабатывать   конфиденциальные   информационные
ресурсы   на   ПК,   не   имеющем  должным   образом   заполненную
регистрационную карту.
    4.5. Оформление и учет документов, содержащих конфиденциальную
информацию  и полученных на печатающем устройстве ПК, производится
согласно Положению о порядке обращения со служебной информацией  в
органах   исполнительной  власти  Еврейской  автономной   области,
утвержденного  постановлением  губернатора  Еврейской   автономной
области  от  30.11.2001  N 270"О порядке  работы  со  сведениями
конфиденциального   характера  в  органах  исполнительной   власти
Еврейской автономной области", постановлением главы муниципального
образования "Ленинский район" от 21.01.2002 N 18 "О порядке работы
со  сведениями конфиденциального характера в администрации  района
муниципального  образования "Ленинский  район"  и  ее  структурных
подразделениях".
    4.6.  Передача  конфиденциальных ресурсов по открытым  каналам
связи  и  телекоммуникаций  разрешается только  при  использовании
криптографических  средств  защиты  информации.   При   отсутствии
(невозможности  приобретения) сертифицированных  криптографических
средств  защиты информации разрешается использовать  отечественные
несертифицированные криптографические средства защиты  информации,
если последние удовлетворяют соответствующим ГОСТам.
    4.7.  Обработка  персональных  данных,  которые  относятся   к
категории  конфиденциальных информационных  ресурсов,  разрешается
только   на   ПК   (включая  любые  виды  подключенного   к   нему
периферийного   и  (или)  специального  оборудования),   прошедшем
специальные  исследования на предмет выявления в  нем  электронных
устройств  перехвата  информации и  соответствия  уровня  побочных
электромагнитных излучений и наводок допустимым нормам.
    4.8.   Любой  вид  информационного  обеспечения  ПК   (массивы
документов,  электронные таблицы, базы  и  банки  данных  и  т.д.)
обрабатывающего   персональные  данные   и   предназначенный   для
информационного  обслуживания граждан и  организаций  должен  быть
сертифицирован   в   порядке,  установленном  Законом   Российской
Федерации  от  10.06.1993  N 5151-1 "О  сертификации  продукции  и
услуг".
    4.9.  Обработка персональных данных разрешается только на  ПК,
имеющих  сертифицированные аппаратно-программные  средства  защиты
информационных     ресурсов     (персональных      данных)      от
несанкционированного доступа.
    4.10.  Требования,  указанные в  пп.  4.7  -  4.9.  настоящего
Положения,  рекомендуется применять для ПК, обрабатывающих  другие
виды конфиденциальных ресурсов.
    4.11.  Использование  других аппаратных  и  (или)  программных
средств  защиты  информации определяется администратором  согласно
нормативным  правовым  и  методическим  документам  и  зависит  от
категории информационных ресурсов, технических характеристик ПК  и
(или)  ЛВС  в целом, используемого операционного и (или)  сетевого
програмного   обеспечения, наличия систем связи и телекоммуникаций
с  внешними  информационными системами  и  других  организационно-
технологических факторов.
    4.12. Ответственность за выполнение требований пп. 4.5 - 4.11.
настоящего  Положения  возлагается  в  равной  степени,   как   на
руководителя  структурного подразделения пользователя,  так  и  на
администратора.





Приложение 1 к ПОЛОЖЕНИЮ

                                                      Приложение 1
                                        к Положению по обеспечению
                                  сохранности и защите электронных
                                         информационных ресурсов в
                                        структурных подразделениях
                                              администрации района
                                        муниципального образования
                                                 "Ленинский район"

                             Форма 1.

+----------------------------------------------------------------+
¦  Дата    ¦ Информационный ¦ Вид и место ¦   Ф.И.О.    ¦Роспись ¦
¦проведения¦ ресурс (банки  ¦ архивирова- ¦сотрудника,  ¦        ¦
¦архивирова¦    данных,     ¦    ния      ¦проводившего ¦        ¦
¦  ния     ¦ электронные    ¦             ¦архивирование¦        ¦
¦          ¦ таблицы, тексты¦             ¦             ¦        ¦
¦          ¦   и т.п.)      ¦             ¦             ¦        ¦
+----------+----------------+-------------+-------------+--------+
¦          ¦                ¦             ¦             ¦        ¦
¦          ¦                ¦             ¦             ¦        ¦
+----------+----------------+-------------+-------------+--------+

                              Форма 2.

+----------------------------------------------------------------+
¦ N  ¦  Тип   ¦ Откуда  ¦  Дата  ¦  Должность,¦ Сведения¦Примеча-¦
¦п.п.¦внешнего¦получено ¦проведе-¦    Ф.И.О.  ¦   о     ¦ ние    ¦
¦    ¦носителя¦(органи- ¦   ия   ¦ сотрудника,¦  резуль-¦        ¦
¦    ¦информа-¦  ация,  ¦проверки¦ проводившег¦  тате   ¦        ¦
¦    ¦  ции   ¦         ¦        ¦  о проверку¦  антиви-¦        ¦
¦    ¦        ¦         ¦        ¦            ¦  русной ¦        ¦
¦    ¦        ¦         ¦        ¦            ¦ проверки¦        ¦
+----+--------+---------+--------+------------+---------+--------+
¦    ¦        ¦         ¦        ¦            ¦         ¦        ¦
¦    ¦        ¦         ¦        ¦            ¦         ¦        ¦
+----+--------+---------+--------+------------+---------+--------+

                               Форма 3.

+----------------------------------------------------------------+
¦Тип ПК,  ¦ Антивирусная  ¦   Дата    ¦  Должность, ¦ Примечание ¦
¦инвентар-¦    проверка   ¦ проведения¦    Ф.И.О.   ¦ (результат ¦
¦  ный    ¦ (указать каким¦  проверки ¦  сотрудника,¦ проверки,  ¦
¦ номер   ¦  средством,   ¦           ¦ проводившег ¦ выводы,    ¦
¦         ¦ версия) или   ¦           ¦  о проверку ¦ действия,  ¦
¦         ¦  проверка     ¦           ¦             ¦ отметка о  ¦
¦         ¦ целостности   ¦           ¦             ¦ контроле и ¦
¦         ¦ (указать каким¦           ¦             ¦   т.д.)    ¦
¦         ¦  средством)   ¦           ¦             ¦            ¦
+---------+---------------+-----------+-------------+------------+
¦         ¦               ¦           ¦             ¦            ¦
¦         ¦               ¦           ¦             ¦            ¦
+---------+---------------+-----------+-------------+------------+





Приложение 2. Регистрационная карта на персональный компьютер

                                                      Приложение 2
                                        к Положению по обеспечению
                                  сохранности и защите электронных
                                         информационных ресурсов в
                                        структурных подразделениях
                                              администрации района
                                        муниципального образования
                                                 "Ленинский район"

                                        Для служебного пользования
                                             Экз. единственный (по
                                                       заполнению)


                       РЕГИСТРАЦИОННАЯ КАРТА
                     на персональный компьютер

1. Наименование структурного подразделения.
2. Наименование подразделения пользователя.
3. Расположение ПК (адрес, этаж, комната).
4. Ответственное лицо за использование (эксплуатацию) ПК.
5. Дата начала эксплуатации ПК в подразделении пользователя.
6. Наличие сертификата по требованиями безопасности информации или
предписания на эксплуатацию или другого аналогичного документа.
7. Состав ПК (можно указать название ПК):
- системный блок, инвентарный (серийный) номер;
- монитор, инвентарный (серийный) номер;
- принтер, инвентарный (серийный) номер;
- сканер, инвентарный (серийный) номер;
- модем, инвентарный (серийный) номер;
- другие периферийные средства ПК, инвентарный (серийный) номер.
8.  Номера  пунктов  из  Перечня сведений  органов  исполнительной
власти  Еврейской  автономной  области,  относящихся  к  служебной
информации,  содержимое  которых соответствует  обрабатываемым  ПК
конфиденциальным информационным ресурсам.
9. Операционная система, наличие ЛВС.
10.  Информационное  обеспечение, обрабатывающее  конфиденциальные
информационные ресурсы.
11.  Указание  паролей пользователя, согласно пп. 2.5.  настоящего
Положения.
12.   Наличие  специальных  аппаратно-программных  средств  защиты
информации  от  несанкционированного  доступа,  наличие   на   них
сертификата.
13.   Наличие  (возможность  подключения)  других  систем   связи,
телекоммуникаций (включая различные информационные системы).
14.  Наличие криптографических и других средств защиты  информации
согласно п. 13 настоящей регистрационной карты.
15. Прочие сведения на дату заполнения регистрационной карты.


Дата

Руководитель структурного
подразделения пользователя    __________________________
                                  (Ф.И.О., подпись)

Администратор _______________________________
                          (Ф.И.О., подпись)

       Пояснения по заполнению и ведению регистрационной карты

    1.  Содержимое вышеперечисленных пунктов регистрационной карты
указывается  по  своему фактическому наличию  на  дату  заполнения
регистрационной карты.
    2. Заполненная и подписанная регистрационная карта дополняется
листом регистрации изменений и контроля, в котором указываются  (в
произвольной форме):
    2.1.  Факт  изменения содержимого любых из перечисленных  выше
пунктов регистрационной карты.
    2.2.    Факт   проведения   любых   конструктивных   изменений
(модернизация,  ремонт,  замена  составляющих   и   т.д.)   ПК   и
подключенного к нему периферийного оборудования.
    2.3.  Факт  модернизации или установки нового  информационного
обеспечения (массивы документов, электронные таблицы, базы и банки
данных  и  т.д.), обрабатывающего конфиденциальные  информационные
ресурсы.
    2.4.   Факт   проведения  проверочных  мероприятий  (контроля)
работниками, уполномоченными проводить данное мероприятие.
    2.5.   Прочие   сведения,  которые  могут  затронуть   вопросы
сохранности и защиты конфиденциальных информационных ресурсов.
    3.   Сведения,  указанные  в  листе  регистрации  и   контроля
визируются руководителем структурного подразделения пользователя и
(или) администратором в части их касающейся.
    4.  При  прекращении обработки конфиденциальных информационных
ресурсов  на  ПК  в  его регистрационной карте  делается  об  этом
отметка. Регистрационная карта хранится после этого в течение года
у  администратора  и,  если  на  ПК  не  возобновляется  обработка
конфиденциальных      информационных     ресурсов,      передается
администратором  заведующему  информационно-аналитическим  отделом
администрации района.
    5.   При   передаче  ПК  в  другое  структурное  подразделение
(структуру,  организацию и т.д.), конфиденциальные  информационные
ресурсы  уничтожаются  администратором  таким  образом,  чтобы  их
восстановление было невозможным (если продолжение их обработки  на
этом  ПК,  но уже в другом структурном подразделении не связано  с
производственной  необходимость).  В  регистрационной   карте   ПК
делается  об  этом отметка, и она хранится после этого  в  течение
года   у   администратора,  а  затем  передается  им   заведующему
информационно-аналитическим  отделом  администрации   района.   На
переданный  в другое структурное подразделение ПК заводится  новая
регистрационная карта согласно пп. 4.4. настоящего Положения.
    6.  При  списании ПК (порче или других поломках, когда  ПК  не
подлежит  восстановлению) соответствующая отметка делается  в  его
регистрационной карте, и она хранится после этого в течение года у
администратора,  а затем передается им заведующему  информационно-
аналитическим отделом администрации района.




Информация по документу
Читайте также