Расширенный поиск
Постановление Мэра Муниципального образования "Город Биробиджан" от 18.04.2002 № 173МЭР ГОРОДА БИРОБИДЖАНА ПОСТАНОВЛЕНИЕ от 18 апреля 2002 г. N 173 О мерах по обеспечению сохранности и защите электронных информационных ресурсов В соответствии с федеральным законом от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации", а также в целях определения единых требований для проведения организационно - технических мероприятий по обеспечению сохранности и защите конфиденциальных и открытых информационных ресурсов, обрабатываемых техническими средствами ПОСТАНОВЛЯЮ: 1. Утвердить Положение по обеспечению сохранности и защите электронных информационных ресурсов в структурных подразделениях мэрии города Биробиджана согласно приложению 1. 2. Руководителям структурных подразделений мэрии города Биробиджана в месячный срок с момента подписания настоящего постановления в соответствии с Положением по обеспечению сохранности и защите электронных информационных ресурсов в структурных подразделениях мэрии: 2.1. Назначить администратора в каждом структурном подразделении; 2.2. Назначить ответственных сотрудников на каждом рабочем месте, где обрабатывается информация с использованием средств вычислительной техники; 2.3. Обеспечить оформление регистрационных карт на персональные компьютеры, обрабатывающие конфиденциальные информационные ресурсы. 3. Контроль за исполнением настоящего постановления возложить на управляющего делами мэрии Шарипова Ф.З. Мэр города А.А.ВИННИКОВ Приложение 1 к постановлению мэра города от 18 апреля 2002 г. N 173 ПОЛОЖЕНИЕ по обеспечению сохранности и защите электронных информационных ресурсов в структурных подразделениях мэрии города Биробиджана 1. Общие положения 1.1. Настоящее Положение разработано в соответствии с Федеральным Законом от 20.02.95 N 24-ФЗ "Об информации, информатизации и защите информации", другими нормативными правовыми и методическими документами в области использования и защиты информационных ресурсов. 1.2. Положение предназначено для муниципальных служащих - работников структурных подразделений мэрии, выполнение должностных обязанностей которых связано с использованием персональных компьютеров, и определяет их полномочия, обязанности и ответственность по обеспечению сохранности и защите электронных информационных ресурсов. 1.3. Положение является обязательным для выполнения всеми муниципальными служащими - работниками мэрии. 1.4. В Положении используются следующие сокращения и основные понятия: - ПК - персональный компьютер (сервер, рабочая станция, другие специализированные компьютеры на любых аппаратно - программных платформах); - ЛВС - локальная вычислительная сеть или аналогичная информационная система любого уровня сложности и назначения; - локальный ПК - ПК, работающий вне ЛВС; - электронные информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов, базы данных, другие виды информационного обеспечения в информационных системах, использующих ПК (далее по тексту - информационные ресурсы), - структурное подразделение - комитеты, управления, службы, отделы мэрии; - информационное подразделение - отдел, занимающийся обслуживанием (эксплуатацией) локальных ПК и (или) ЛВС структурных подразделений; - пользователь - муниципальный служащий - работник мэрии, вне зависимости от замещаемой им муниципальной должности муниципальной службы, выполнение должностных обязанностей которого связано с вводом и обработкой информации на ПК; - администратор - муниципальный служащий - работник информационного или иного структурного подразделения мэрии, ответственный за выполнение требований по обеспечению сохранности и защите информационных ресурсов локальных ПК и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС другого структурного подразделения (в собственности которого находится сервер ЛВС), и (или) ПК, объединенных в ЛВС информационного или структурного подразделения на базе собственного сервера этой ЛВС; - сохранность информационных ресурсов - способность локального ПК или ЛВС обеспечивать неизменность информационных ресурсов в условиях случайного и (или) преднамеренного искажения, разрушения, удаления, копирования, несанкционированного доступа, других аналогичных действий; - защита информационных ресурсов - организационные, правовые, технические и технологические меры по предотвращению угроз информационной безопасности и устранению их последствий; - обработка информационных ресурсов - сбор, подготовка, ввод, накопление, хранение, преобразование, вывод, отображение информационных ресурсов; - несанкционированный доступ - доступ к информационным ресурсам, нарушающий правила разграничения доступа с использованием любых средств, предоставляемых ПК или ЛВС. 1.5. Не допускается возложение функций администратора на представителя сторонней организации, не входящей в структуру мэрии. 1.6. Руководитель структурного или информационного подразделения назначает ответственных из числа пользователей за использование локального ПК и (или) ПК в составе ЛВС. 1.7. Руководители подразделений, пользователи и администраторы обязаны знать и выполнять нормативные правовые акты, затрагивающие вопросы информатизации, защиты информации и информационной безопасности в части соблюдения требований и ограничений по использованию и защите информационных ресурсов различной категории доступа. 1.8. Руководители подразделений, пользователи и администраторы несут персональную ответственность за полноту и своевременность выполнения требований настоящего Положения. За нарушение требований настоящего Положения они могут быть привлечены к ответственности, предусмотренной законодательством РФ. 1.9. Настоящее Положение может уточняться и дополняться установленным порядком. 2. Полномочия и обязанности пользователя 2.1. Данный раздел отражает полномочия и функциональные обязанности пользователя локального ПК или ПК в составе ЛВС. 2.2. На каждом рабочем месте, где обрабатывается информация с использованием средств вычислительной техники, должен быть определен ответственный, который обязан: - знать администратора, обращаться к нему по вопросам использования аппаратно - программного обеспечения своего ПК, выполнять его устные распоряжения или письменные указания в соответствии с настоящим Положением; - уметь правильно использовать то аппаратно - программное обеспечение, которое установлено на его ПК, включая средства защиты информационных ресурсов; - корректно задавать свой идентификатор в ЛВС и пароли; - определить (самостоятельно или с помощью администратора) информационные ресурсы, функционально им используемые или актуализируемые, требующие регулярного резервного сохранения (архивирования); - завести журнал для отображения соответствующих данных согласно Приложению 2 (формы 1 и 2); - хранить журнал не менее года после его заполнения; - знать и уметь пользоваться тем антивирусным программным обеспечением, которое находится на его ПК; - производить антивирусную проверку внешнего носителя информации (дискета, стримерная лента, винчестер и т.п.) перед проведением любых операций с носителем информации - считывания, записи, модификации, удаления информации и т.д.; - сделать отметку об использовании внешнего носителя информации в журнале; (согласно Приложению 2, форма 2); - в случае невозможности излечения (очистки) внешнего носителя информации от вируса поставить об этом в известность администратора, который производит соответствующие данной ситуации действия и делает отметку об этом в журнале (согласно Приложению 2, форма 2); - осуществлять обмен данными, расположенными на ПК иди на сервере ЛРС, используя сетевые средства обмена информацией; - использовать предоставленное ему дисковое пространство сервера ЛВС только для хранения информационных ресурсов, необходимых для осуществления своих должностных обязанностей; - информировать администратора и своего непосредственного руководителя и любых нарушениях сохранности информационных ресурсов в соответствии с настоящим Положением, другими нормативными правовыми документами и здравым смыслом, и (или) о возможности появления таких нарушений, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС в целом; - создавать резервные копии, информационных ресурсов, физически расположенных на ПК; - отражать в таблице согласно Приложению 2 (форма 1) отметку о резервном копировании; - проверять возможность восстановления информационных ресурсов с архивных копий; 2.3. Пользователю запрещается: - записывать пароли на любой носитель информации, если доступ к нему других невозможно проконтролировать; - передавать используемые им парили другому лицу, если у последнего нет на то полномочий, определенных его должностными обязанностями или другими распорядительными, предписывающими документами; - работать от имени другого пользователя; - осуществлять несанкционированный доступ к информационным ресурсам, ему не предназначенным, а также предпринимать другие действия, приводящие к незаконному просмотру, копированию, модификации или удалению: информационных ресурсов; - производить какие-либо действия с информацией зараженного вирусом внешнего носителя; - использовать внешние носители информации для обмена данными между пользователями ЛВС; - самостоятельно устанавливать новое или Модифицировать имеющееся прикладное, операционное, сетевое и другие виды программного обеспечения, если эта работа не входит в его должностные обязанности. - самостоятельно устанавливать новое или модифицировать имеющееся аппаратное обеспечение, если эта работа не входит в его должностные обязанности. 2.4. Для исключения или существенного затруднения несанкционированного доступа к информационным ресурсам загрузка операционной системы на ПК пользователя может осуществляться посредством использования пароля. В таком случае пользователь обязан сообщить установленный им пароль своему непосредственному руководителю и администратору. 3. Полномочия и обязанности администратора 3.1. Данный раздел отражает полномочия и функциональные обязанности администратора. 3.2. Администратором назначается один из работников информационного подразделения, на которого возлагаются дополнительные полномочия и обязанности по обеспечению сохранности и защите информационных ресурсов в соответствии с его должностной инструкцией и настоящим Положением. При отсутствии в составе структурного подразделения информационного подразделения или обслуживающего его информационного подразделения администратором назначается один из наиболее квалифицированных работников в области использования (эксплуатации) ПК. 3.3. К администратору предъявляются те же требования, что и к пользователю в соответствии с настоящим Положением. 3.4. Администратор обязан - определять необходимость замену (модификации, новой установки и т.п.) прикладного, операционного, сетевого и других видов программного обеспечения и проводить ее самостоятельно или с привлечением работников информационного подразделения, в функциональные обязанности которых входит данная работа. - для уменьшения вероятности получения ущерба от случайных или преднамеренных действий пользователей определять и предоставлять пользователям ЛВС только те права доступа к информационным ресурсам, которые необходимы им для выполнения своих должностных обязанностей; - при увольнении пользователя изменять пароль загрузки операционной системы в используемом им ПК, удалять идентификатор пользователя, в; ЛВС, сменять криптографические ключи, если пользователем использовались средства шифрования информации, производить другие аналогичные организационно - технологические мероприятия, уменьшающие возможность несанкционированного доступа к информационным ресурсам. - совместно с руководителем подразделения пользователя определять информационные ресурсы общего пользования, требующие регулярного резервного сохранения (архивирования), и принимать меры для обеспечения данного архивирования пользователями и (или) проводить эту процедуру самостоятельно; - совместно с пользователем определять периодичность (составляется график) архивирования соответствующих информационных ресурсов; - предусмотреть наличие антивирусного программного обеспечения на локальном ПК, на ПК в составе ЛВС и на сервере ЛВС для предотвращения программно - математических воздействий (вирусов), вызывающих модификацию, разрушение, удаление информационных ресурсов и (или) сбои в работе ПК и (или) ЛВС в целом; - предусмотреть возможность обновления (получения новых версий) антивирусного программного обеспечения; - настроить интерфейс ПК пользователя таким образом, чтобы последний в удобной форме смог произвести антивирусную проверку любого внешнего носителя информации (дискета, стримерная лента, винчестер и т.п.); - периодически (зависит от вида антивирусного программного обеспечения), но не реже одного раза в полгода, производить тестирование ПК пользователя на наличие вирусов и результаты проведения антивирусного контроля заносить в таблицу согласно Приложению 2 (форма 3); - предусмотреть выделение необходимых сетевых ресурсов, доступных всем пользователям ЛВС, для исключения необходимости обмена данными посредством внешнего носителя информации между пользователями ЛВС; - знать и правильно использовать те аппаратно - программные средства защиты информационных ресурсов, которые установлены на ПК и (или) ЛВС, и обеспечивать сохранность информационных ресурсов посредством этих средств; - иметь структурную схему ЛВС с указанием схемы соединения всех входящих в нее средств обработки информации: серверов, ПК, концентраторов, модемов, сетевых принтеров, других аналогичных конструктивных элементов ЛВС с указанием их технических параметров и мест расположения; - проводить проверку (не реже одного раза в полгода) наличия и порядка ведения пользователями учетного журнала в соответствии с разделом 2 настоящего Положения. Результаты проверки заносить в соответствующую графу этого журнала. Время хранения администратором журнала согласно Приложению 2 (форма 1 и (или) форма 3) определяется моментом заведения следующего аналогичного журнала при наличии двух уже имеющихся или не должно быть менее года после его заполнения; - информировать начальника информационного подразделения, руководителя подразделения пользователя и руководителя подразделения по информационной безопасности (или аналогичного подразделения или сотрудника, выполняющего данные функции) о любых нарушениях требований по обеспечению сохранности и защите информационных ресурсов, в соответствии с настоящим Положением, другими нормативными правовыми документами и здравым смыслом, и (или) о возможности появления таких нарушений, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС; - предоставлять руководителю подразделения по информационной безопасности (или аналогичного подразделения или сотрудника, выполняющего данные функции) необходимую ему информацию в части возложенных на администратора полномочий и обязанностей в соответствии с настоящим Положением. 3.5. Администратору запрещается: - назначать один и тот же пароль или его несущественных модификации на разных ПК; - передавать список паролей или каждый в отдельности другому лицу, если у последнего нет на то полномочий, определенных его должностными обязанностями или другими распорядительными, предписывающими документами; - использовать один и тот же пароль для загрузки операционной системы на ПК пользователя и для регистрации вхождения последнего в ЛВС; - назначать идентификатор уволившегося пользователя новому (другому) пользователю ЛВС. 4. Общие требования по защите конфиденциальных электронных информационных ресурсов для руководителей подразделений, пользователей и администраторов 4.1. Порядок обработки, обращения и использования электронных информационных ресурсов, а следовательно и требования по их защите определяются категорией этих информационных ресурсов: открытые и общедоступные или ограниченного доступа. В свою очередь информационные ресурсы с ограниченным доступом подразделяются на две категории: информацию, отнесенную к государственной тайне и конфиденциальную. 4.2. Сведения, отнесенные к государственной тайне, определены в следующих нормативных правовых актах Российской Федерации; - Федеральном Законе от 06.10.97 N 131-ФЗ "О внесении изменений и дополнений в Закон Российской Федерации "О государственной тайне"; - Указе Президента Российской Федерации от 24.01.98 N 61 "О перечне сведений, отнесенных к государственной тайне"; - других отраслевых (ведомственных и прочих) перечнях сведений, отнесенных к государственной тайне, на основаниях и в порядке, установленным федеральным законодательством. 4.3. Сведения, отнесенные к конфиденциальной информации, определены в следующих нормативных правовых актах российской Федерации: - Федеральном Законе от 20.02.95 N 24-ФЗ "Об информации, информатизации и защите информации"; - Указе Президента Российской Федерации от 06.03.97 N 188 "Об утверждении перечня сведений конфиденциального характера" 4.4. На каждый ПК, обрабатывающий конфиденциальные информационные ресурсы согласно пп.4.3. настоящего Положения, руководителем подразделения пользователя совместно с администратором составляется регистрационная карта по типовой форме согласно Приложению 3. Дальнейшая регистрация (выявление) новых информационных ресурсов конфиденциального характера, подлежащих обработке на ПК, возлагается на руководителя подразделения пользователя и администратора. При регистрации (выявлении) информационных ресурсов, составляющих государственную тайну, руководитель подразделения пользователя обязан прекратить их обработку на ПК, сообщить об этом руководителю подразделения по информационной безопасности (или аналогичного подразделения или сотруднику, выполняющему данные функции). Ответственность за своевременное составление регистрационной карты, ее ведение и регистрацию в ней текущих изменений возлагается на руководителя подразделения пользователя и администратора в части их касающейся (пояснения по заполнению и ведению регистрационной карты указаны в приложении 3). Регистрационная карта на ПК хранится у администратора. Запрещается обрабатывать конфиденциальные информационные ресурсы на ПК, не имеющем должным образом заполненную регистрационную карту. 4.5. Оформление и учет документов, содержащих конфиденциальную информацию и полученных на печатающем устройстве ПК, производится согласно Положению о порядке обращения со сведениями конфиденциального характера в мэрии г. Биробиджана, утвержденного постановлением мэра города 29.01.2002 N 29 "О порядке работы со сведениями конфиденциального характера в. мэрии г. Биробиджана". 4.6. Передача конфиденциальных информационных ресурсов по открытым каналам связи и телекоммуникаций разрешается только при использовании криптографических средств защиты информации. При отсутствии (невозможности приобретения) сертифицированных криптографических средств защиты информации разрешается использовать отечественные несертифицированные криптографические средства защиты информации, если последние удовлетворяют соответствующим ГОСТам. 4.7. Использование других аппаратных и (или) программных средств защиты информации определяется администратором согласно нормативным правовым и методическим документам и зависит от категории информационных ресурсов, технических характеристик ПК и (или) ЛВС в целом, используемого операционного и (или) сетевого программного обеспечения, наличия систем связи и телекоммуникаций с внешними информационными системами и других организационно - технологических факторов. 4.8. Ответственность за выполнение требований пп.4.5 - 4.7 настоящего Положения возлагается в равной степени как на руководителя подразделения пользователя, так и на администратора информационных ресурсов. Приложение 2 к постановлению мэра города от 18 апреля 2002 г. N 173 Форма 1 +----------------------------------------------------------------+ ¦ Дата ¦Информацион- ¦ Вид и место ¦ Ф.И.О. ¦Роспись¦ ¦ проведения ¦ный ресурс ¦архивирования ¦сотрудника, ¦ ¦ ¦архивирования¦(банки данных¦ ¦проводивше- ¦ ¦ ¦ ¦электронные ¦ ¦го архиви- ¦ ¦ ¦ ¦таблицы, тек-¦ ¦рование ¦ ¦ ¦ ¦сты и т.п.) ¦ ¦ ¦ ¦ +-------------+-------------+--------------+-------------+-------+ Форма 2 +----------------------------------------------------------------+ ¦N ¦ Тип ¦ Откуда ¦ Дата ¦Должность, ¦Сведения о¦Примечание¦ ¦п/п¦внешнего¦получено¦проведе-¦ Ф.И.О. ¦результате¦(действия,¦ ¦ ¦носителя¦(органи-¦ ния ¦сотрудника,¦антивирус-¦отметка о ¦ ¦ ¦информа-¦зация, ¦проверки¦проводивше-¦ной прове-¦контроле и¦ ¦ ¦ ции ¦должно- ¦ ¦го проверку¦рки ¦т.д.) ¦ ¦ ¦ ¦ сть, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦Ф.И.О.) ¦ ¦ ¦ ¦ ¦ +---+--------+--------+--------+-----------+----------+----------+ Форма 3 +--------------------------------------------------------------+ ¦ Тип ПК, ¦ Антивирусная ¦ Дата ¦ Должность, ¦Примечание ¦ ¦инвентарный¦ проверка ¦проведения¦ Ф.И.О. ¦(результат ¦ ¦ номер ¦(указать каким¦ проверки ¦ сотрудника,¦проверки, ¦ ¦ ¦ средством, ¦ ¦проводившего¦ выводы, ¦ ¦ ¦ версия) или ¦ ¦ проверку ¦ действия ¦ ¦ ¦ проверка ¦ ¦ ¦отметка о ¦ ¦ ¦ целостности ¦ ¦ ¦контроле и ¦ ¦ ¦(указать каким¦ ¦ ¦ т.д.) ¦ ¦ ¦ средством) ¦ ¦ ¦ ¦ +-----------+--------------+----------+------------+-----------+ Приложение 3 к постановлению мэра города от 18 апреля 2002 г. N 173 Для служебного пользования (по заполнению) РЕГИСТРАЦИОННАЯ КАРТА на персональный компьютер (типовая форма) 1. Наименование структурного подразделения. 2. Наименование подразделения пользователя. 3. Расположение ПК (адрес, этаж, комната). 4. Ответственное лицо за использование (эксплуатацию) ПК. 5. Дата начала эксплуатации ПК в подразделении пользователя. 6. Наличие сертификата по требованиям безопасности информации или предписания на эксплуатацию или другого аналогичного документа. 7. Состав ПК (можно указать название ПК): - системный блок, инвентарный (серийный) номер; - монитор, инвентарный (серийный) номер; - принтер, инвентарный (серийный) номер; - сканер, инвентарный (серийный) номер; - модем, инвентарный (серийный) номер; - другие периферийные средства ПК, инвентарный (серийный) номер. 8. Операционная система, наличие ЛВС. 9. Информационное обеспечение, обрабатывающее конфиденциальные информационные ресурсы. 10. Указание паролей пользователя, согласно пп.2.4 настоящего Положения. 11. Наличие специальных аппаратно - программных средств защиты информации от несанкционированного доступа, наличие на них сертификата. 12. Наличие (возможность подключения) других систем связи, телекоммуникаций (включая различные информационные системы). 13. Наличие криптографических и других средств защиты информации согласно п. 12 настоящей регистрационной карты. 14. Прочие сведения на дату заполнения регистрационной карты. Дата Руководитель подразделения пользователя __________________________ (Ф.И.О., подпись) Администратор _________________ (Ф.И.О., подпись) Пояснения по заполнению и ведению регистрационной карты 1. Содержимое вышеперечисленных пунктов регистрационной карты указывается по своему фактическому наличию на дату заполнения регистрационной карты. 2. Заполненная и подписанная регистрационная карта дополняется листом регистрации изменений и контроля, в котором указываются (в произвольной форме): 2.1. Факт изменения содержимого любых из перечисленных выше пунктов регистрационной карты. 2.2. Факт проведения любых конструктивных изменений (модернизация, ремонт, замена составляющих и т.д.) ПК и подключенного к нему периферийного оборудования. 2.3. Факт модернизации или установки нового информационного обеспечения (массивы документов, электронные таблицы, базы и банки данных и т.д.), обрабатывающего конфиденциальные информационные ресурсы. 2.4. Факт проведения проверочных мероприятий (контроля) работниками, уполномоченными проводить данное мероприятие. 2.5. Прочие сведения, которые могут затронуть вопросы сохранности и защиты конфиденциальных информационных ресурсов. 3. Сведения, указанные в листе регистрации и контроля визируются руководителем подразделения пользователя и (или) администратором в части их касающейся. 4. При прекращении обработки конфиденциальных информационных ресурсов на ПК в его регистрационной карте делается об этом отметка. Регистрационная карта хранится после этого в течение года у администратора и, если на ПК не возобновляется обработка конфиденциальных информационных ресурсов, передается администратором руководителю подразделения по информационной безопасности (или аналогичного подразделения). 5. При передаче ПК в другое подразделение (структуру, организацию и т.д.), конфиденциальные информационные ресурсы уничтожаются администратором таким образом, чтобы их восстановление было невозможным (если продолжение их обработки на этом ПК, но уже в другом подразделении не связано с производственной необходимостью). В регистрационной карте ПК делается об этом отметка, и она хранится после этого в течение года у администратора, а затем передается им руководителю подразделения по информационной безопасности (или аналогичного подразделения). На переданный в другое подразделение ПК заводится новая регистрационная карта согласно пп.4.4 настоящего Положения. 6. При списании ПК (порче или других поломках, когда ПК не подлежит восстановлению) соответствующая отметка делается в его регистрационной карте, и она хранится после этого в течение года у администратора, а затем передается им руководителю подразделения по информационной безопасности (или аналогичного подразделения). Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Ноябрь
|