Распоряжение Правительства Тверской области от 12.10.2017 № 345-рп

 

ПРАВИТЕЛЬСТВО

ТВЕРСКОЙ ОБЛАСТИ

 

Р А С П О Р Я Ж Е Н И Е

 

12.10.2017		№ 345-рп
	г. Тверь

 

Об утверждении Политики информационной

безопасности исполнительных органов 

государственной власти Тверской области,

государственных учреждений Тверской области

и государственных унитарных предприятий Тверской области

 

В целях обеспечения защиты информации, обрабатываемой в информационных системах исполнительных органов государственной власти Тверской области, государственных учреждений Тверской области и государственных унитарных предприятий Тверской области:

1.      Утвердить Политику информационной безопасности исполнительных органов государственной власти Тверской области, государственных учреждений Тверской области и государственных унитарных предприятий Тверской области (далее – Политика) (прилагается).

2. Руководителю аппарата Правительства Тверской области в срок  до 1 декабря 2017 года утвердить приказом политику информационной безопасности аппарата Правительства Тверской области.

3. Руководителям областных исполнительных органов государственной власти Тверской области в срок до 1 декабря 2017 года обеспечить подготовку и принятие правовых актов, утверждающих политику информационной безопасности соответствующего областного исполнительного органа государственной власти Тверской области и подведомственных ему государственных учреждений Тверской области и государственных унитарных предприятий Тверской области, в соответствии с Политикой.

4. Рекомендовать органам местного самоуправления муниципальных образований Тверской области подготовить и утвердить политику информационной безопасности соответствующего органа местного самоуправления муниципального образования Тверской области в соответствии с Политикой.

5. Ответственность за выполнение положений Политики в аппарате Правительства Тверской области, областных исполнительных органах государственной власти Тверской области, государственных учреждениях Тверской области, государственных унитарных предприятиях Тверской области возложить, соответственно, на руководителя аппарата Правительства Тверской области, руководителей областных исполнительных органов государственной власти Тверской области, руководителей государственных учреждений Тверской области и государственных унитарных предприятий Тверской области.

6. Контроль за исполнением настоящего распоряжения возложить на начальника Главного управления региональной безопасности Тверской области.

Отчет об исполнении распоряжения представить в срок до 31 января 2018 года.

7. Настоящее распоряжение вступает в силу со дня его подписания.

 

 

Губернатор

Тверской области                                                                              И.М. Руденя

 

 

 

Приложение

к распоряжению Правительства

Тверской области

от 12.10.2017 № 345-рп

 

 

Политика

 информационной безопасности исполнительных органов

государственной власти Тверской области, государственных учреждений Тверской области и государственных унитарных предприятий

Тверской области

 

Раздел I

Общие положения

 

1. Политика информационной безопасности исполнительных органов государственной власти Тверской области, государственных учреждений Тверской области и государственных унитарных предприятий Тверской области, подведомственных исполнительным органам государственной власти Тверской области (далее – Политика), представляет собой совокупность правил, процедур, практических приемов и общих принципов защиты информации, определяющих особенности эксплуатации информационных систем исполнительных органов государственной власти Тверской области, государственных учреждений Тверской области и государственных унитарных предприятий Тверской области (далее – информационные системы), которыми руководствуются исполнительные органы государственной власти Тверской области (далее – ИОГВ Тверской области), государственные учреждения Тверской области и государственные унитарные предприятия Тверской области (далее – государственные учреждения, унитарные предприятия Тверской области) при создании и эксплуатации информационных систем.

2. Целями реализации Политики являются минимизация ущерба от реализации угроз безопасности информации, повышение деловой репутации и корпоративной культуры сотрудников ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области при использовании ими информационных технологий.

3. В ходе реализации Политики ИОГВ Тверской области, государственные учреждения, унитарные предприятия Тверской области руководствуются следующими принципами:

а) принцип законности, в соответствии с которым все организационные мероприятия должны соответствовать федеральному законодательству и законодательству Тверской области в сфере защиты информации;

б) принцип комплексного подхода к обеспечению информационной безопасности, при котором обеспечить ее необходимый уровень возможно только путем совокупности организационных мероприятий и технических мер, включающих в себя физическую охрану носителей информации, использование категорий информации для обозначения уровня конфиденциальности документов, подбор и подготовку кадров в сфере информационной безопасности, использование технических средств защиты информации, обучение сотрудников, расследование инцидентов информационной безопасности;

в) принцип непрерывности, в соответствии с которым обеспечение информационной безопасности является постоянным процессом, который состоит из регулярных проверок актуальности угроз информационной безопасности, проверок адекватности мер защиты существующим угрозам информационной безопасности, регулярной модернизации средств защиты информации, своевременного повышения квалификации специалистов, иных мероприятий;

г) принцип специализации, который подразумевает возможность привлекать для проектирования и внедрения специальных программных и технических средств защиты специалистов, имеющих соответствующий опыт, или организации, имеющие лицензию на соответствующий вид деятельности;

д) принцип экономической целесообразности, в соответствии с которым при реализации мероприятий по обеспечению информационной безопасности расходы областного бюджета Тверской области на эти цели соизмеряются с вероятным ущербом от реализации угроз информационной безопасности;

е) принцип своевременности, подразумевающий упреждающий характер мероприятий по обеспечению информационной безопасности, прогнозирование появления угроз информационной безопасности на этапе проектирования информационных систем Тверской области и осуществление модернизации средств защиты информации при внесении изменений в существующие информационные системы Тверской области;

ж) принцип взаимодействия, предполагающий взаимодействие и распределение зон ответственности между ИОГВ Тверской области, государственными учреждениями, унитарными предприятиями Тверской области при обеспечении информационной безопасности, а также организацию сотрудничества в этой сфере со сторонними экспертами и организациями – лицензиатами, а также федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.

4. В целях реализации требований Политики в ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях Тверской области назначается администратор информационной безопасности из числа сотрудников ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) или создается подразделение по информационной безопасности ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) (далее – подразделение по информационной безопасности). В состав подразделения по информационной безопасности рекомендуется включить сотрудников ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), ответственных за принятие организационных мер по защите информации, и сотрудников ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), ответственных за принятие технических мер по защите информации.

5. Для целей Политики применяются следующие термины:

а) администратор информационной безопасности – должностное лицо ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), ответственное за соблюдение требований законодательства в сфере защиты информации;

б) вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы;

в) инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) (утрата услуг, оборудования или устройств, системные сбои или перегрузки, ошибки пользователей, несоблюдение политики информационной безопасности, нарушение физических мер защиты, неконтролируемые изменения информационных систем, сбои программного обеспечения и отказы технических средств, нарушение правил доступа);

г) лицензионное программное средство – программное средство, использование одной или нескольких копий которого осуществляется на основе лицензии – правового инструмента, определяющего использование и распространение программного средства, защищенного авторским правом;

д) масштаб информационной системы:

федеральный – если информационная система функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты (технические средства информационных систем) в субъектах Российской Федерации, муниципальных образованиях и (или) организациях;

региональный (межведомственный) – если информационная система функционирует на территории Тверской области и имеет сегменты (технические средства информационных систем) в одном или нескольких муниципальных образованиях Тверской области и (или) подведомственных и иных организациях Тверской области;

объектовый – если информационная система функционирует на объектах одного федерального органа исполнительной власти, ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), муниципального образования Тверской области и (или) организации и не имеет сегментов (технических средств информационных систем) в территориальных органах, представительствах, филиалах, подведомственных и иных организациях;

е) несанкционированный доступ к информации – доступ к информации, нарушающий установленные правила ее получения;

ж) пользователь информационной системы (средства вычислительной техники) – лицо, участвующее в функционировании информационной системы (средства вычислительной техники) или использующее результаты ее функционирования;

з) программное обеспечение – совокупность программных средств и программных продуктов;

и) программное средство – объект, состоящий из программ, процедур, правил, а также, если предусмотрено, сопутствующих им документов и данных, относящихся к функционированию информационной системы;

к) программный продукт – программное средство, предназначенное для поставки, передачи, продажи пользователю;

л) средство криптографической защиты информации (далее также – СКЗИ) – аппаратные, программно-аппаратные и программные средства, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности;

м) средство вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем;

н) сервер – компьютер, выделенный из группы персональных компьютеров для выполнения какой-либо сервисной задачи без непосредственного участия человека; 

о) спам – телематическое электронное сообщение, предназначенное неопределенному кругу лиц, доставленное абоненту и (или) пользователю без их предварительного согласия и не позволяющее определить отправителя этого сообщения, в том числе ввиду указания в нем несуществующего или фальсифицированного адреса отправителя;

п) учетная запись «Администратор» – учетная запись пользователя информационной системы, позволяющая вносить изменения в настройки информационной системы, затрагивающие всех пользователей информационной системы (изменение параметров безопасности, установка программного обеспечения, работа с любыми файлами в информационной системе, изменение параметров учетных записей других пользователей).

 

Раздел II

Классификация информационных систем ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области

 

6. Информационные системы ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области могут содержать общедоступную информацию и информацию ограниченного доступа.

7. В зависимости от категории информации, содержащейся в информационных системах, информационные системы подразделяются на следующие типы:

а) информационные системы, содержащие сведения, представляющие общедоступную информацию;

б) информационные системы, содержащие сведения, составляющие государственную тайну;

в) информационные системы, содержащие служебные сведения ограниченного доступа;

г) информационные системы персональных данных.

 

Раздел III

Инвентаризация информационных систем ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области

 

8. Инвентаризация информационных систем (далее – инвентаризация) проводится в каждом ИОГВ Тверской области, государственном учреждении, унитарном предприятии Тверской области по указанию руководителя ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) не реже одного раза в год.

Целью инвентаризации является получение полной и достоверной информации об объеме и составе информационных систем и их технических средств для обеспечения безопасности информации при их эксплуатации.

В перечень информационных систем, подлежащих инвентаризации, могут быть включены любые информационные системы, указанные в пункте 7 раздела II Политики, независимо от их местонахождения.

Основанием для проведения инвентаризации является приказ ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области).

9. Для проведения инвентаризации в ИОГВ Тверской области (государственном учреждении, унитарном предприятии Тверской области) приказом ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) создает­ся инвентаризационная комиссия. В приказе о создании инвентаризационной комиссии устанавливаются сроки проведения инвентаризации, утверждаются руководитель, а также персональный состав инвентаризационной комис­сии, в который могут быть включены:

а) заместитель руководителя ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), ответственный за организацию защиты информации;

б) работник, осуществляющий бухгалтерский (бюджетный) учет;

в) администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности.

10. Инвентаризация включает следующие мероприятия:

а) описание информационной системы, в котором отражаются границы информационной системы, размещение ее технических средств и поддерживающей инфраструктуры применительно к организационной структуре ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), определяется масштаб информационной системы;

б) определение типа информационной системы в зависимости от категории, обрабатываемой в ней информации;

в) группировка по отдельным признакам (например, по тематикам) файлов, созданных пользователями, не отнесенных ни к одной из информационных систем, но представляющих информационную ценность для ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области);

г) определение порядка использования информационных систем, в ходе которого уточняется эксплуатируется ли указанная информационная система только в интересах данного ИОГВ Тверской области (государственного учреждения, унитарного предприятия  Тверской области) или же используется совместно с пользователями других ИОГВ Тверской области (государственных учреждений, унитарных предприятий Тверской области), указывается количество пользователей информационной системы, а также определяется должностное лицо, ответственное за ее эксплуатацию;

д) уточнение комплекса мероприятий по поддержанию, развитию, совершенствованию и защите информационных систем.

11. На основе данных, полученных по итогам инвентаризации, администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности составляет перечень информационных систем ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) в соответствии с приложением 1 к Политике, а также составляет или уточняет перечень данных, подлежащих  резервному копированию и хранению в ИОГВ Тверской области (государственном учреждении, унитарном предприятии Тверской области) в соответствии с приложением 2 к Политике. Перечни информационных систем ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области передаются в исполнительный орган власти Тверской области, уполномоченный в сфере информационных технологий, для занесения в реестр информационных систем Тверской области.

 

Раздел IV

Управление доступом к информационным системам ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области

 

12. Основные правила и методы защиты информационных систем от несанкционированного доступа:

а) для управления доступом к информационным системам в ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях    Тверской области вводится разрешительная система допуска пользователей (обслуживающего персонала) к информационным системам и связанным с их использованием работам и документам;

б) для входа в информационную систему используется парольная аутентификация, при необходимости – другие способы аутентификации;

в) при любом оставлении сотрудником рабочего места средство вычислительной техники информационной системы должно блокироваться и требовать аутентификации для дальнейшего продолжения работы;

г) каждому сотруднику ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), имеющему право доступа к информационной системе, присваивается отличная от других учетная запись пользователя;

д) каждый сотрудник при получении переданного ему пароля доступа к информационной системе или иных средств аутентификации информируется, что он предупрежден о необходимости сохранять полученный пароль в тайне, не передавать вверенный ему пароль или иные средства аутентификации третьим лицам, в том числе другим сотрудникам ИОГВ Тверской области (государственного учреждения, унитарного предприятия  Тверской области).

13. Разрешительная система допуска пользователей (обслуживающего персонала) к информационным системам и связанным с их использованием работам и документам подразумевает:

а) вход в информационные системы с помощью учетной записи, относящейся к типу «Администратор», разрешен только лицам, уполномоченным на выполнение административных функций в информационных системах;

б) вход в информационные системы остальным пользователям разрешен только с использованием ограниченной учетной записи, позволяющей им обрабатывать информацию в данных информационных системах исключительно в рамках их компетенции для исполнения своих должностных обязанностей;

в) сотрудникам разрешено использовать только те учетные записи, которые присвоены им в порядке, определенном Политикой;

г) учетные записи уволенных сотрудников, а также любого сотрудника, который не осуществлял доступ к информационной системе в течение трех месяцев, должны быть заблокированы и/или удалены из информационной системы. Для возобновления доступа данный сотрудник должен вновь пройти процедуру получения прав доступа к информационной системе.

14. Настройки средств вычислительной техники информационных систем в штатном режиме должны предусматривать загрузку операционных систем только с жестких дисков и исключать загрузку операционных систем с других носителей.

15. Допуск всех сотрудников к работе с информационными системами осуществляется только после их ознакомления с Политикой.

16. О выявленных попытках несанкционированного доступа к информационным системам администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности незамедлительно сообщает руководителю ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) служебной запиской.

Руководителем ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) по факту попытки несанкционированного доступа к информационным системам назначается служебная проверка.

 

Раздел V

Основные правила и методы предотвращения неавторизованного доступа

к информации ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области с использованием

парольной аутентификации

 

17. Пароли подразделяются на пароли пользователей информационной системы и пароли администраторов информационной безопасности и относятся к служебным сведениям ограниченного доступа.

18. При первоначальном предоставлении пользователю доступа к информационной системе или в случае утери пароля пользователем, администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности выдает временный пароль, который требуется сменить при первом входе в информационную систему.

19. Пароли администратора информационной безопасности подлежат хранению в сейфе у администратора информационной безопасности в запечатанном конверте с указанием наименования информационной системы, должности, фамилии, инициалов должностного лица, ответственного за эксплуатацию информационной системы.

20. Порядок хранения и использования паролей определяет администратор информационной безопасности.

21. Пароль пользователя информационной системы должен отвечать следующим требованиям:

а) длина пароля должна быть не менее 8 символов;

б) пароль не должен содержать в себе имя учетной записи пользователя информационной системы;

в) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

г) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 2 позициях;

д) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, даты рождений и т.д.);

е) пароль должен изменяться не реже чем один раз в 6 месяцев;

ж) пароль должен быть уникальным по отношению к паролям других учетных записей данного пользователя.

22. Пароль администратора информационной безопасности должен отвечать следующим требованиям:

а) длина пароля должна быть не менее 12 символов;

б) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

в) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

г) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, даты рождений и т.д.);

д) пароль должен изменяться не реже чем один раз в 3 месяца;

е) пароль должен быть уникальным по отношению к паролям других учетных записей администратора информационной безопасности.

23. Запрещается сообщать пароль кому-либо, в том числе при помощи почтовых сообщений, через информационно-телекоммуникационную сеть Интернет (далее – ИТКС Интернет), каким-либо иным способом.

24. При компрометации пароля пользователь должен сообщить об этом администратору информационной безопасности и/или сотруднику подразделения по информационной безопасности и незамедлительно сменить пароль. 

 

Раздел VI

Основные правила и методы организации антивирусной защиты информационных систем ИОГВ Тверской области,

государственных учреждений, унитарных предприятий Тверской области

 

25. Организация антивирусной защиты в ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях Тверской области, а также контроль за выполнением мероприятий по антивирусной защите возлагаются на администраторов информационной безопасности.

26. На администратора информационной безопасности и/или сотрудника подразделения по информационной безопасности возлагаются следующие функции:

а) организация выбора средств антивирусной защиты, приобретения, установки на объекты защиты, настройки и сопровождения;

б) организация и проведение технических мероприятий по антивирусной защите;

в) разработка документов, устанавливающих правила безопасной работы со средствами вычислительной техники и регламентирующих действия пользователей в ситуациях, связанных с действием вредоносных программ.

27. К объектам антивирусной защиты относятся информация, содержащаяся в информационной системе, технические средства информационных систем (в том числе средства вычислительной техники), и предоставляемые ими сервисы (почта и т.д.), машинные носители информации, входящие в состав информационных систем или временно подключаемые к ним, средства и системы связи и передачи данных, общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.

28. К средствам антивирусной защиты относятся программы, предназначенные для обнаружения и уничтожения вредоносных программ, а также ликвидации последствий от их воздействий.

29. Для антивирусной защиты информационных систем ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области используются официально приобретенные средства антивирусной защиты, сведения о которых содержатся в Государственном реестре сертифицированных средств защиты информации федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, и (или) федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности.

30. Рекомендуется использовать средства антивирусной защиты с возможностью централизованного управления и автоматической установкой обновлений антивирусного программного обеспечения и баз данных признаков вредоносных программ.

31. Для периодических проверок объектов антивирусной защиты рекомендуется использовать средства антивирусной защиты различных производителей.

32. Не допускается подключение и эксплуатация средств вычислительной техники в информационных системах без установленных и надлежащим образом настроенных активных и актуальных средств антивирусной защиты.

33. Пользователям информационных систем запрещается предпринимать попытки отключения, изменения настроек и влияния на работу эксплуатируемых средств антивирусной защиты.

34. При возникновении подозрения о наличии на средстве вычислительной техники вредоносных программ (нетипичная работа программного обеспечения, появление графических и звуковых эффектов, искажений данных, исчезновение (несанкционированное уничтожение) файлов, регулярное появление сообщений о системных ошибках и т.п.) пользователи информационных систем самостоятельно или вместе с администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности проводят внеочередной антивирусный контроль средства вычислительной техники.

35. В случае обнаружения вредоносных программ пользователи информационных систем обязаны:

а) приостановить работу;

б) немедленно поставить в известность об этом администратора информационной безопасности и/или сотрудника подразделения по информационной безопасности, владельца зараженных файлов (ресурсов), а также других сотрудников, использующих эти файлы в работе;

в) совместно с владельцем зараженных файлов (ресурсов) провести анализ необходимости дальнейшего их использования;

г) провести лечение или уничтожение зараженных файлов.

36. В случае обнаружения вредоносных программ администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности организует внеочередной антивирусный контроль всех средств вычислительной техники информационной системы, в которой обнаружена вредоносная программа.

37. Все файлы, полученные из ИТКС Интернет посредством электронной почты, а также копируемые на средства вычислительной техники с любых внешних носителей информации подлежат обязательной проверке средствами антивирусной защиты.

 

Раздел VII

Основные правила и методы организации резервного копирования

в ИОГВ Тверской области, государственных учреждениях,

унитарных предприятиях Тверской области

 

38. Ответственным за проведение резервного копирования, хранение резервных копий, а также восстановление информации является администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности.

39. Администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности в зависимости от функциональных особенностей эксплуатируемых информационных систем определяет перечень данных, подлежащих резервному копированию и хранению, в соответствии с приложением 2 к Политике, расписание резервного копирования  в соответствии с приложением 3 к Политике и утверждает их у руководителя ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области).

40. Резервному копированию подлежит информация следующих основных категорий:

персональная информация пользователей (личные каталоги на файловых серверах);

групповая информация пользователей (общие каталоги подразделений);

информация, необходимая для восстановления серверов и систем управления базами данных;

персональные профили пользователей сети;

информация правовых справочных систем общего использования («Гарант», «Консультант+» и т.п.);

рабочие копии установочных компонент программного обеспечения вычислительных средств информационных систем ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области);

регистрационная информация подсистем информационной безопасности информационных систем ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области).

41. Для организации системы резервного копирования используются стандартные программные средства операционной системы либо специализированные лицензионные программные средства резервного копирования.

42. Средства резервного копирования должны обеспечивать производительность, достаточную для сохранения копируемой информации.

43. Информация с носителей, которые перестают использоваться в системе резервного копирования, стирается без возможности восстановления данных.

44. Хранение съемных носителей с резервными копиями осуществляется в отдельных запираемых сейфах, доступ к которым имеет только администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности.

45. Все процедуры по загрузке, выгрузке носителей, на которые производится резервное копирование, а также любое перемещение съемных носителей осуществляются администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности.

46. Основанием для инициирования процедуры восстановления служит полная или частичная утрата информации вследствие сбоев оборудования, программного обеспечения в критических и кризисных ситуациях.  Восстановление данных производится администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности.

47. О выявленных попытках несанкционированного доступа к резервируемой информации, а также иных нарушениях информационной безопасности, произошедших в процессе резервного копирования, администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности сообщает руководителю ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) служебной запиской в течение рабочего дня после обнаружения указанного события.

48. Руководителем ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) по факту попытки несанкционированного доступа к резервируемой информации назначается служебная проверка.

49. Контроль результатов резервного копирования осуществляется администратором информационной безопасности. В случае обнаружения ошибки резервного копирования или выхода из строя системы резервного копирования администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности выполняет повторное копирование информации вручную в максимально сжатые сроки, не нарушая технологические процессы обработки информации пользователями.

 

Раздел VIII

Порядок работы с электронной почтой в ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях Тверской области

 

50. Электронная почта в ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях Тверской области должна использоваться только в служебных целях.

51. При работе с электронной почтой сотрудникам ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области) запрещается:

а) использовать адрес служебной электронный почты в личных целях;

б) публиковать свой адрес служебной электронный почты либо адреса других сотрудников на общедоступных интернет-ресурсах (форумы, конференции и т.п.) без предварительного согласования с руководителем ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области);

в) отправлять сообщения с вложенными файлами, общий размер которых превышает максимально допустимый;

г) открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами;

д) осуществлять массовую рассылку почтовых сообщений (более 10) внешним адресатам, если это не обусловлено служебной необходимостью;

е) осуществлять рассылку материалов, содержащих вредоносные программы, или файлы, предназначенные для нарушения, уничтожения либо ограничения функциональности электронного оборудования или программного обеспечения, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программное обеспечение для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в ИТКС Интернет, а также ссылки на вышеуказанную информацию;

ж) распространять защищаемые авторскими правами материалы, затрагивающие какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и (или) авторские и смежные с ними права третьей стороны;

з) распространять информацию, содержание и направленность которой запрещены законодательством Российской Федерации, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.;

и) осуществлять отправку сообщений электронной почты с чужого почтового ящика или от чужого имени;

к) распространять посредством сообщений электронной почты информацию, содержащую персональные данные, служебные сведения ограниченного доступа, сведения, относящиеся к государственной тайне.

 

Раздел IX

Порядок использования ИТКС Интернет в ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях Тверской области

 

52. Доступ к ИТКС Интернет в ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях Тверской области может предоставляться сотрудникам в целях выполнения ими своих служебных обязанностей.

53. Подключение средств вычислительной техники к ИТКС Интернет выполняется администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности.

54. Средства вычислительной техники, используемые для обработки сведений, составляющих государственную тайну, не могут быть подключены к ИТКС Интернет.

55.  При использовании ИТКС Интернет сотрудникам ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области запрещено:

а) использовать предоставленный доступ к ИТКС Интернет в личных целях;

б) использовать специализированные аппаратные и программные средства, позволяющие сотрудникам получить несанкционированный доступ к ИТКС Интернет;

в) совершать действия, направленные на нарушение функционирования элементов информационных систем;

 г) публиковать, загружать и распространять материалы, содержащие:

информацию ограниченного доступа;

информацию, полностью или частично защищенную авторскими или другими правами, без разрешения владельца;

вредоносное программное обеспечение, предназначенное для нарушения, уничтожения либо ограничения функциональности любых аппаратных и программных средств, для осуществления несанкционированного доступа, а также серийные номера к коммерческому программному обеспечению и программное обеспечение для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным интернет-ресурсам, а также ссылки на вышеуказанную информацию;

угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.

56. При необходимости администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности блокирует доступ к интернет-ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей.

57. При наличии технической возможности администратором информационной безопасности и/или сотрудником подразделения информационной безопасности обеспечивается возможность протоколирования информации о посещаемых сотрудниками интернет-ресурсах для последующего анализа и по требованию предоставляется руководителю ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) для контроля.

 

Раздел X

Использование программного обеспечения в информационных системах ИОГВ Тверской области, государственных учреждений,

унитарных предприятий Тверской области

 

58. В ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях Тверской области для выполнения возложенных на них функций разрешено применение ограниченного перечня коммерческого и свободного программного обеспечения.

59. Перечень программного обеспечения, разрешенного к использованию в ИОГВ Тверской области (государственном учреждении, унитарном предприятии Тверской области) определяется администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности. Разрешенное к использованию программное обеспечение заносится в реестр разрешенного к использованию программного обеспечения в соответствии с приложением 4 к Политике и утверждается руководителем ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области).

60. Перечень программного обеспечения, устанавливаемого на средство вычислительной техники, определяется администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности исходя из должностных обязанностей пользователя, а также функций информационной системы ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) и  заносится администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности в паспорт средства вычислительной техники в соответствии с приложением 5 к Политике.

61. Установка и использование программного обеспечения, не занесенного в реестр разрешенного к использованию программного обеспечения, запрещается.

62. Все операции по установке, сопровождению, удалению программного обеспечения выполняются администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности, или техническими специалистами других организаций, привлекаемыми на основании гражданско-правовых договоров, при непосредственном участии администратора информационной безопасности и/или сотрудника подразделения по информационной безопасности.

63. Эксплуатация программного обеспечения состоит из следующих этапов:

а) определение потребности в программном обеспечении;

б) приобретение программного обеспечения;

в) установка (внедрение) программного обеспечения;

г) поддержка и сопровождение программного обеспечения;

д) удаление (вывод из эксплуатации) программного обеспечения.

64. В ходе определения потребности в программном обеспечении руководителем структурного подразделения ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), в котором планируется эксплуатация данного программного обеспечения, готовится заявка на установку программного обеспечения на имя руководителя ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области):

а) при необходимости организации нового рабочего места, оснащенного средствами вычислительной техники;

б) при необходимости выполнения сотрудниками новых (дополнительных) обязанностей, для которых требуются дополнительное программное обеспечение или полная замена технических средств информационной системы;

в) при появлении качественно нового (альтернативного) программного обеспечения взамен уже используемых в составе информационных систем (при необходимости).

 65. При наличии в ИОГВ Тверской области (государственном учреждении, унитарном предприятии Тверской области) запрошенного программного обеспечения администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности выполняет работы по его установке, за средством вычислительной техники закрепляются лицензии на установленное на нем программное обеспечение.

При отсутствии в ИОГВ Тверской области (государственном учреждении, унитарном предприятии Тверской области) запрошенного программного обеспечения или вакантных лицензий на коммерческое программное обеспечение (из перечня в реестре разрешенного к использованию программного обеспечения), руководитель структурного подразделения ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области) инициирует заявку на приобретение программного обеспечения.

66. При установке (внедрении) программного обеспечения администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности:

а) обеспечивает оперативный учет лицензий вводящегося в эксплуатацию программного обеспечения, организует работы по установке программного обеспечения на средства вычислительной техники;

б) готовит два экземпляра паспорта средства вычислительной техники или вносит изменения в имеющийся паспорт средства вычислительной техники. Один экземпляр паспорта средства вычислительной техники остается у сотрудника структурного подразделения ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), являющегося оператором средства вычислительной техники, другой хранится в архиве документов администратора информационной безопасности.

67. Любое изменение перечня установленного программного обеспечения отражается в паспорте средства вычислительной техники.

68. После установки программного обеспечения установочные комплекты (дистрибутивы) передаются администратору информационной безопасности и/или сотруднику подразделения по информационной безопасности.

69. Должностные лица, ответственные за эксплуатацию информационной системы, должны обеспечивать сохранность переданных им носителей с ключевой информацией, лицензионным программным обеспечением, сертификатов подлинности программного обеспечения.

70. Поддержка и сопровождение программного обеспечения выполняется администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности, а при необходимости – техническими специалистами других организаций, привлекаемыми на основании гражданско-правовых договоров.

71. Осуществление поддержки и сопровождения программного обеспечения предусматривает, в том числе, выполнение следующих видов работ:

а) настройка установленного программного обеспечения;

б) установка обновлений программного обеспечения;

в) регламентированное создание резервных копий (архивирование) программного обеспечения и пользовательских данных (электронных документов, баз данных);

г) устранение неисправностей, связанных с использованием установленного программного обеспечения;

д) консультирование пользователей информационных систем.

72. Удаление (вывод из эксплуатации) программного обеспечения проводится в случаях:

а) окончания лицензионного срока использования программного обеспечения;

б) замены используемого программного обеспечения на альтернативное программное обеспечение или программное обеспечение более поздних версий;

в) прекращения использования программного обеспечения вследствие отсутствия необходимости, морального старения.

73. Вывод из эксплуатации выполняется администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности, а при необходимости техническими специалистами других организаций, привлекаемыми на основании гражданско-правовых договоров.

74. При удалении (выводе из эксплуатации) программного обеспечения производится:

а) аудит программного обеспечения (далее – аудит) ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области);

б) удаление выводимого из эксплуатации программного обеспечения со всех средств вычислительной техники информационных систем;

в) при необходимости подготовка и передача в структурное подразделение ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), осуществляющее бухгалтерский учет, акта вывода из эксплуатации программного обеспечения;

г) соответствующие отметки в паспортах средств вычислительной техники.

75.  При необходимости администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности организует хранение выведенного из эксплуатации программного обеспечения.

76. Аудит проводится в целях выявления несоответствия перечней фактически установленного программного обеспечения на средствах вычислительной техники перечням, зафиксированным в паспортах средств вычислительной техники. Аудит проводит администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности.

77. При выявлении несоответствия перечня установленного программного обеспечения текущей версии паспорта средства вычислительной техники программное обеспечение, наименование которого отсутствует в паспорте средства вычислительной техники, подлежит немедленному удалению. Администратор информационной безопасности и/или сотрудник подразделения по информационной безопасности в этом случае вправе инициировать проведение служебной проверки для установления обстоятельств установки программного обеспечения, не предусмотренного паспортом средства вычислительной техники, а также выявления лиц, осуществивших эти действия. 

78. Аудит проводится по мере необходимости, но не реже одного раза в 6 месяцев. Необходимость, время и область проведения аудита определяются в соответствии с настоящей Политикой заместителем руководителя ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверской области), ответственным за организацию защиты информации.

79. При наличии в ИОГВ Тверской области (государственном учреждении, унитарном предприятии Тверской области) подразделения по информатизации и/или защите информации порядок использования программного обеспечения может быть изменен.

 

Раздел XI

Использование беспроводных сетей в информационных системах ИОГВ Тверской области, государственных учреждений,

унитарных предприятий Тверской области

 

80. В ИОГВ Тверской области, государственных учреждениях, унитарных предприятиях Тверской области разрешено использование «гостевых» беспроводных сетей, физически не пересекающихся с единой информационно-коммуникационной сетью Правительства Тверской области и локально-вычислительными сетями ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области.

81. Запрещается подключение беспроводных сетей, а также доступ к единой информационно-коммуникационной сети Правительства Тверской области и локально-вычислительным сетям ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области с различных устройств с использованием беспроводных сетей.

 

 

Раздел XII

Использование мобильных устройств и носителей информации

в информационных системах ИОГВ Тверской области, государственных учреждений, унитарных предприятий Тверской области

 

82. Под использованием мобильных устройств и носителей информации в информационных системах понимается их подключение к информационным системам для приема, обработки, передачи информации между информационными системами и мобильными устройствами, носителями информации.

83. В информационных системах допускается использование только учтенных мобильных устройств и носителей информации, которые являются государственной собственностью Тверской области и подвергаются регулярной ревизии (контролю).

84. На учтенных мобильных устройствах и носителях информации допускается использование коммерческого программного обеспечения, входящего в реестр разрешенного к использованию программного обеспечения.

85. Установка программного обеспечения на мобильные устройства осуществляется специалистами исполнительного органа государственной власти Тверской области, уполномоченного в сфере информационных технологий, либо администратором информационной безопасности и/или сотрудником подразделения по информационной безопасности.