Где работники компании могут ознакомиться с правилами информационной безопасности сдо

1. Введение 

Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.

2. Основные понятия

Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.
Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.

Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. В Системе для подписания электронных документов электронной подписью используется технология электронно-цифровой подписи (ЭЦП) в инфраструктуре открытых ключей.

Ключ ЭП — уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.

Ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается принадлежащим пользователю, если он был ему выдан установленным порядком. В инфраструктуре открытых ключей соответствует открытому ключу ЭЦП.

Сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.

Владелец сертификата ключа проверки ЭП — лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.
Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.

Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

  • Потеря ключевых носителей.
  • Потеря ключевых носителей с их последующим обнаружением.
  • Увольнение сотрудников, имевших доступ к ключевой информации.
  • Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
  • Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
  • Нарушение печати на сейфе с ключевыми носителями.
  • Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

3. Риски использования электронной подписи

При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:

  1. Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
  2. Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
  3. Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
  4. Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
  5. Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.

Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.

4. Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.

Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат. Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации. Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя. Любой желающий может для проверки подписи провести обратное преобразование, применив общедоступный открытый ключ (ключ проверки ЭП) автора документа, но никто не сможет имитировать такой документ, не зная закрытого ключа (ключа ЭП) автора.

Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:

  • выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
  • выдает пользователям средства электронной подписи;
  • создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
  • получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
  • ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
  • проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
  • осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
  • определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.

Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.

Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:

  • обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
  • подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
  • обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
  • обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
  • аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.

Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.

В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.

5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя

Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.

5.1 Персонал

Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.

К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.

Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.

Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.

В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.

5.2 Размещение технических средств АРМ с установленным СКЗИ 

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля, при этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к АРМ.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

5.3 Установка программного обеспечения на АРМ

На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.

На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.

Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.

5.4 Настройка операционной системы АРМ 

Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

  • Правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.
  • Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.
  • У группы Everyone должны быть удалены все привилегии.
  • Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке.
  • Рекомендуется переименовать стандартную учетную запись Administrator.
  • Должна быть отключена учетная запись для гостевого входа Guest.
  • Исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек, системного реестра, для всех, включая группу Administrators.
  • Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т п.).
  • Должно быть исключено или ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
  • Рекомендуется организовать затирание временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
  • Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
  • На все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме Администратора (Administrator), Создателя/Владельца (Creator/Owner) и Системы (System).
  • Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
  • Рекомендуется обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов.
  • Рекомендуется произвести настройку параметров системного реестра в соответствии с эксплуатационной документацией на СКЗИ.

Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т д.), использовать фильтры паролей в соответствии со следующими правилами:

  • длина пароля должна быть не менее 6 символов;
  • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т д.);
  • при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
  • личный пароль пользователь не имеет права сообщать никому;
  • не допускается хранить записанные пароли в легкодоступных местах;
  • периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
  • указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.

 5.5 Установка и настройка СКЗИ

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

5.6 Подключение АРМ к сетям общего пользования

При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. В качестве такой меры рекомендуется установка и использование на АРМ средств межсетевого экранирования. Должен быть закрыт доступ ко всем неиспользуемым сетевым портам.

В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

5.7 Обращение с ключевыми носителями

В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

Запрещается:

  • Снимать несанкционированные администратором безопасности копии с ключевых носителей.
  • Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
  • Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
  • Использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.

5.8 Обращение с ключевой информацией

Владелец сертификата ключа проверки ЭП обязан:

  • Хранить в тайне ключ ЭП (закрытый ключ).
  • Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
  • Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
  • Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.

5.9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

  • дата, время;
  • запись о компрометации ключа;
  • запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
  • запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
  • записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
  • события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

6. Заключение

Настоящие правила составлены на основе:

  • Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
  • Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
  • приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
  • эксплуатационной документации на СКЗИ, которое используется в Системе.
Источник

Компания, понимающая ценность информации как актива, должна прилагать все усилия для обеспечения конфиденциальности данных. Ключевым звеном каждого процесса становятся участвующие в нем люди, сотрудники организации. Деятельность персонала по защите ИБ должны обеспечивать правила информационной безопасности на предприятии. Они различаются в зависимости от того, идет речь об офисе или о производстве. Специальные правила требуется вводить для обеспечения безопасности при работе на удаленном доступе.

Необходимость внедрения правил информационной безопасности

Киберугрозы стали привычной частью окружающего мира, каждый день СМИ приносят сообщения о хакерских атаках и сбоях в работе банков или почтовых серверов. Степень реальной опасности отдельный сотрудник компании мало представляет, пока не столкнется с тем, что утекли охраняемые персональные данные или конкуренты при помощи DDoS-атаки остановили работу прибыльного интернет-магазина. Данные утекают у таких мировых гигантов информационной индустрии, как IBM, Yahoo!, Uber, Amazon, Equifax вне зависимости от уровня защищенности их информационных систем. Часто в этом виноваты китайские хакеры или транснациональные хакерские группировки. Российскому бизнесу, чьи объекты не относятся к критически важным для информационной инфраструктуры страны, не стоит опасаться именно их, но и национальные группировки способны доставить немало неприятностей. Но наибольший риск несет несанкционированный доступ к данным со стороны сотрудников, часто не представляющих реальной ценности сознательно передаваемой или случайно уничтожаемой ими информации.

Тщательная разработка правил информационной безопасности для офиса и производства частично способны снизить степень риска. Обучение сотрудников основам ИБ проводят даже на АЭС, где персонал априори должен быть подготовлен к неожиданностям. Все это говорит о первоочередной необходимости информирования сотрудников и регламентации их поведения при работе с защищаемыми информационными массивами и объектами сетевой инфраструктуры.

Правила ИБ в офисе

Правила информационной безопасности для офиса не самые сложные, но степень ответственности сотрудников не всегда гарантирует их безусловное выполнение. Это значит, что внедрение правил должно сопровождаться мотивационными мерами, стимулирующими их выполнение, и депремированием, дисциплинарной ответственностью в случае невыполнения.

Информирование

Первым правилом ИБ в офисе должно стать информирование сотрудников. Инсайдерские утечки данных не менее опасны, чем внешние нападения. Менеджеры по продажам, увольняясь, уносят с собой базы данных клиентов, а сотрудники мобильных операторов с легкостью торгуют детализацией телефонных разговоров абонентов. О размере риска говорит объем рынка даркнета, измеряемый сотнями миллионов долларов в год только для российских ресурсов. Известный российский рынок торговли краденой информацией, Hydra, даже собирался провести ICO.

Всем пользователям корпоративной системы должны быть известны простые правила безопасности:

  • использовать и периодически менять сложные пароли, никогда не передавать средства идентификации – пароль и логин – другим сотрудникам;
  • не хранить в «облаках» конфиденциальную информацию, даже если нужно поработать с годовым отчетом из дома;
  • уничтожать ненужные документы в шредере;
  • не передавать информацию без официального запроса;
  • не смешивать корпоративную и личную почту;
  • архивировать важные файлы;
  • блокировать компьютер перед уходом с рабочего места;
  • уметь распознавать фишинговые письма;
  • ознакомиться с практиками социальной инженерии и не поддаваться им.

Тестирование в игровой форме на знание правил информационной безопасности на предприятии позволит превратить теоретические сведения в сложившиеся навыки. Вторым важным способом поддержания необходимого уровня информационной безопасности в офисе станет контроль доступа.

Контроль доступа

Это решение реализуется на физическом, аппаратном и программном уровнях. Действует правило: никто не должен иметь больше привилегий, чем допускается его должностной инструкцией. Юристу не нужен доступ к бухгалтерским программам, а программисту – к чату руководства. Системные администраторы должны реализовать дифференцированную модель доступа, назначив каждому пользователю и группе пользователей роль, при которой доступными ему окажутся только определенные файлы и ресурсы. То же относится к правам администраторов.

Комплексный подход

Это правило должно стать незыблемым для системных администраторов и разработчиков структур информационной безопасности. Невозможно устранять уязвимости и недочеты частичными решениями, латая прорехи одну за другой до тех пор, пока администрирование системы станет невозможным. Необходимо с самого начала выстраивать ИБ как единую с систему с учетом возможностей ее роста и прогнозированием направлений дальнейшего развития. Система должна включать единый комплекс организационных, технических и программных средств и контролироваться как единое целое.

Правила ИБ при работе на удаленном доступе к сети

Самостоятельной проблемой становится регламентация работы сотрудников на удаленном доступе. Современному бизнесу присуще стремление к минимизации затрат, на компанию могут работать сотни разработчиков и программистов, находящихся в разных странах и на одной виртуальной площадке занимающихся разработкой программного обеспечения. Такое размывание периметра информационной безопасности очень опасно, так как конкуренты всерьез заинтересованы в несанкционированном доступе к новым разработкам.

В 2016 году на выставке Mobile World Congress разработчик антивируса с открытым кодом Avast провела небольшой эксперимент, создав три открытые точки подключения Wi-Fi со знакомыми именами Starbucks, MWC Free WiFi и Airport_Free_Wifi_AENA. К ним подключилось 2 000 человек, декларирующих себя профессионалами в сфере информационных технологий. По завершении выставки был проведен доклад, из которого следовало, что авторам схемы удалось получить данные о трафике всех подключившихся, а 63 % раскрыли свои логины, пароли, адреса электронной почты. Это говорит о том, что удаленное подключение через общедоступную Сеть редко бывает безопасным.

Во многих компаниях даже штатные сотрудники зачастую работают на удаленном доступе, находясь в командировке или в отпуске. 

Существуют правила, позволяющие сделать такие удаленные рабочие отношения максимально безопасными:

  • исключить возможность использования удаленными сотрудниками для подсоединения к корпоративной сети открытых Wi-Fi-сетей, в которых возможен перехват трафика;
  • домашние сети сотрудников должны быть защищены паролями и шифрованием как минимум уровня WPA2. В компании необходимо разработать правила информационной безопасности для удаленных сотрудников для защиты домашних сетей;
  • подключение для мобильных устройств к корпоративной сети должно происходить только по каналам VPN. Компании желательно самой выбрать надежного поставщика услуг VPN и обеспечить сотрудникам на удаленном доступе возможность работать с этим сервисом;
  • для работы необходимо иметь отдельное мобильное устройство и не смешивать частную и корпоративную информацию, система ИБ компании должна предусматривать меры защиты таких удаленных устройств;
  • сведения о работе на удаленном доступе не должны публиковаться в социальных сетях, чтобы не вызвать интерес злоумышленников. Устное и письменное разглашение конфиденциальных данных недопустимо;
  • пароли на ресурсах, связанных с работой на удаленном доступе, необходимо регулярно менять;
  • плагины и программное обеспечение, содержащие известные хакерам уязвимости (например, Adobe Flash, Acrobat Reader, Java и другие), должны регулярно обновляться;
  • компьютер и мобильные устройства нужно защищать паролем даже дома, чтобы гость или ремонтный рабочий не смогли похитить или случайно повредить данные.

Эти правила необходимо оговаривать с каждым работником на удаленном доступе на первом этапе сотрудничества. От компании требуется организовать собственную систему мер, позволяющую обезопасить работу с любым сотрудником на удаленном доступе, штатным или внештатным:

  • внедрить механизм аутентификации пользователей (пароли, аппаратные средства-токены, биометрические данные);
  • организовать единую систему управления доступом (централизованное управление доступом к IT-ресурсам компании);
  • системно использовать средство организации собственных протоколов VPN (аппаратные устройства, программные решения, расширения брандмауэра);
  • внедрить средства противостояния атакам (защита внутренней сети и сотрудников от атак).

Программа защиты удаленного доступа актуальна и для информационной безопасности на производстве, где многие объекты управляются по каналам беспроводной связи.

ИБ на производстве

Правила информационной безопасности приобретают особую актуальность, когда касаются производства и автоматизированных систем управления (АСУ ТП). Системы управления отвечают за работу таких объектов, как домны, прокатные станы, гидроэлектростанции. Любое внешнее вмешательство в их информационную инфраструктуру способно вызвать аварии и человеческие жертвы. Поэтому требования к ИБ АСУ строятся на собственных принципах, отличных от принципов управления информационными системами в общем. Угрозы таким системам могут исходить от террористических группировок, в том числе исламской направленности. Прямого корыстного интереса у обычных хакеров к ним не возникает. Такие системы часто поражаются специально созданными вирусами, направленными на вывод из строя объектов промышленной инфраструктуры и использующих уязвимости в классических информационных системах. 

АСУ ТП требует наивысшей степени защиты в тех отраслях, аварии в которых способны причинить ущерб наибольшему количеству людей и имущества:

  • электроэнергетика;
  • предприятия топливно-энергетического комплекса;
  • транспорт;
  • металлургия;
  • машиностроение.

Основной проблемой создания системы ИБ становится то, что использование современных программных решений может навредить общей надежности системы, поэтому часто основной задачей становится максимальное ограждение АСУ от контактов с внешним миром по любым типам подключений, в том числе установка межсетевых экранов и создание демилитаризованных зон на границах с офисными сетями.

В 2015 году в Германии было совершено нападение на систему управления сталелитейным бизнесом. Доменная печь была выведена из строя, компания надолго встало из-за того, что хакерам удалось заразить вредоносным ПО офисную сеть. На Украине хакеры проникли в локальную сеть и удалили данные с жестких дисков на рабочих станциях и SCADA-серверах и изменили настройки источников бесперебойного питания, что оставило без электроэнергии более 200 000 человек.

Регламенты создания системы информационной безопасности АСУ ИП утверждены в виде международных стандартов и российских ГОСТов. В качестве одного из основополагающих документов эту сферу регулирует Приказ ФСТЭК РФ № 31. 

При разработке правил информационной безопасности промышленного производства применительно к АСУ надо учитывать, что система имеет три уровня управления:

  • уровень операторского (диспетчерского) управления (верхний уровень);
  • уровень автоматического управления (средний уровень);
  • уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).

Объектами защиты для АСУ, согласно нормам Приказа № 31, являются:

  • информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
  • программно-технический комплекс, включающий технические средства (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

Защита этих объектов возможна только на основе комплексного подхода, предусматривающего:

  • систематический аудит степени АСУ ТП путем интервьюирования специалистов организации, изучения проектной документации, анализа структуры и архитектуры информационных систем;
  • организацию технического анализа защищенности для нахождения уязвимостей при помощи программ-сканеров;
  • ручной и программный анализ рисков;
  • выявление и мониторинг новых типов угроз, представляющих опасность для функционирования объекта.

Стандартная архитектура АСУ ТП обычно не предполагает наличия большого количества ресурсов для размещения программ, отвечающих за безопасность. Предполагается использование только двух типов – систем мониторинга активности и обнаружения угроз и систем предотвращения угроз, подразумевающих управление доступом.

Системы мониторинга активности и обнаружения угроз

Наибольшие риски для АСУ ТП несут сотрудники-инсайдеры, допущенные к управлению и использующие съемные устройства, которые могут быть заражены вирусом. Но если система подключена к офисной, возможны внешние риски. Системы мониторинга ограничены в функционале, они не допущены к процессам управления АСУ ТП и не могут блокировать действия пользователей. Они способны только отслеживать всплески подозрительной активности и уведомлять о них по заданному алгоритму. Их функции:

  • обнаружение внешних атак и аномалий в поведении элементов сети;
  • мониторинг инцидентов информационной безопасности;
  • пассивный анализ уязвимостей;
  • анализ конфигураций оборудования, правил доступа сетевого оборудования;
  • контроль целостности данных и программного обеспечения.

Системы анализируют сетевые потоки, выявляют аномалии и неизвестные IP-адреса, атаки на не запротоколированные ранее уязвимости.

Системы предотвращения угроз

Эти программные средства носят проактивный характер: они не только информируют, но и действуют. В основном они управляют доступом пользователей, имея полномочия на блокировку неавторизованных действий. В случае неопределенной трансакции они вправе запросить ее авторизацию у руководителя более высокого уровня и в его отсутствие блокируют операцию.

Ответственность за нарушение правил ИБ

Компания может применять к сотруднику за нарушение правил информационной безопасности меры дисциплинарной ответственности. Это замечание, выговор, иногда увольнение. Серьезным стимулом скрупулезно выполнять правила является депремирование. Решение о привлечении к ответственности принимает руководитель организации по представлению непосредственного начальника виновника. При выборе меры ответственности нужно предполагать, что нарушения правил информационной безопасности могут носить пассивный и активный характер.

Пассивные:

  • получение информации нарушителем для использования в своих целях;
  • анализ характеристик информации без доступа к самой информации.

Активные:

  • изменение информации;
  • внесение ложной информации;
  • нарушение (разрушение) информации;
  • нарушение работоспособности системы обработки информации.

Активные нарушения несут больше опасности для бизнеса и говорят о более высокой степени вины нарушителя, они должны наказываться строже. Иногда от мер корпоративной ответственности приходится переходить к гражданско-правовой, подав на нарушителя в суд с требованием о возмещении ущерба или заявление в правоохранительные органы о возбуждении уголовного дела. Утрата или намеренное разглашение конфиденциальной информации могут стать основанием для взыскания с виновника ущерба, и его размер может достигать миллионов рублей.

Целесообразным решением становится периодическое проведение проверок подразделений компании с целью определения степени выполнения правил безопасности всеми пользователями – от наладчика оборудования до генерального директора. Менеджеры чаще пренебрегают правилами, именно поэтому они являются основными источниками угроз. Результаты проверки могут стать основой для служебных расследований или переаттестации по профессиональной пригодности, поэтому они имеют дополнительный дисциплинирующий характер.

Вне зависимости от того, в каких условиях работают правила информационной безопасности предприятия, они должны соблюдаться неукоснительно. Только это приведет к тому уровню ИБ, который позволит избежать ущерба и аварий.

06.02.2020

Источник

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

  1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
  2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
  3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
  4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
  5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
  6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
  7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

  1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
  2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
  3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
  4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
  5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы VK Cloud (бывш. MCS) находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке VKможно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK.

При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

  1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
  2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
  3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
  4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
  5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

  1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
  2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
  3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
  4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

  1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
  3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
  4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
  5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
  6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
  7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Главные законы об информации и информационной безопасности

  1. 149-ФЗ об информационной безопасности — устанавливает основные права и обязанности, касающиеся информации и информационной безопасности.
  2. 152-ФЗ — описывает правила работы с персональными данными.
  3. 98-ФЗ — определяет, что относится к коммерческой тайне компаний.
  4. 68-ФЗ — дает определение электронной подписи и описывает, как и когда ее можно применять, какой юридической силой она обладает.
  5. 187-ФЗ — описывает правила защиты IT-инфраструктуры на предприятиях, работающих в сферах, критически важных для государства. К таким сферам относится здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и некоторая промышленность.

Читать по теме:

  1. Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать.
  2. Как защищают персональные данные в облаке.
  3. Что такое информационная безопасность и какие данные она охраняет.
  4. Westwing Russia: мы переехали из AWS в облако VK, чтобы предлагать российским клиентам все необходимое.
Источник

Приложение № 1

к приказу № 57/06-04-03

от 16.02.2017 г

РЕГЛАМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Содержание

Вводные положения

1.1. Введение

1.2. Цели

1.3. Задачи

1.4. Область действия

1.5. Период действия и порядок внесения изменений

2. Термины и определения

3. Обозначения и сокращения

4. Основные принципы обеспечения ИБ

5. Соответствие Регламента действующему законодательству

6. Ответственность за реализацию информационной безопасности

7. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

8. Правила информационной безопасности

8.1. Правила предоставления доступа к информационному ресурсу

8.1.1. Назначение

8.1.2. Положение регламента

8.1.3. Порядок создания (продления) учетной записи пользователя

8.1.4. Порядок удаления учетной записи пользователя

8.2. Правила защиты АРМ

8.2.1. Назначение

8.2.2. Положения регламента

8.3. Регламент учетных записей

8.3.1. Назначение

8.3.2. Положение регламента

9. Профилактика нарушений информационной безопасности

10. Ликвидация последствий нарушения информационной безопасности

11. Ответственность нарушителей ИБ

12. Регулирующие законодательные нормативные документы

12.1. Основополагающие нормативные документы

12.2. Законы Российской Федерации

12.3. Указы и распоряжения Президента Российской Федерации

12.4. Постановления и распоряжения Правительства РФ

12.5. Нормативные и руководящие документы Федеральных служб РФ

 Вводные положения

1.1. Введение

Регламент информационной безопасности Департамента административных органов и общественной безопасности администрации Владимирской области (далее – Департамент) определяет цели и задачи системы обеспечения информационной безопасности (ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется Департамент в своей деятельности.

1.2. Цели

Основными целями регламента ИБ являются защита информации Департамента и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в его Положении.

Общее руководство обеспечением ИБ осуществляет заместитель директора департамента. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет консультант отдела обеспечения деятельности мировых судей выполняющий функции администратора информационной безопасности в Департаменте и судебных участках мировых судей (далее администратор информационной безопасности).

Сотрудники департамента обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящего Регламента и других документов ИБ.

1.3. Задачи

Регламент информационной безопасности направлен на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Задачами настоящего регламента являются описание организации системы управления информационной безопасностью в Департаменте; определение политики учетных записей; регламент предоставления доступа к информационному ресурсу; регламент защиты АРМ;

1.4. Область действия

Настоящий Регламент распространяется на всех сотрудников Департамента, подведомственных учреждений, сотрудников аппарата мировых судей Владимирской области  и обязателен для исполнения всеми сотрудниками и должностными лицами. Положения настоящего Регламента применимы для использования во внутренних нормативных и методических документах, а также в договорах.

1.5. Период действия и порядок внесения изменений

Настоящий Регламент вводится в действие приказом директора Департамента.

Регламент признается утратившим силу на основании приказа директора Департамента.

Изменения в Регламент вносятся приказом директора Департамента.

Инициаторами внесения изменений в Регламент информационной безопасности являются:

— Директор Департамента;

— Заместитель директора

— Администратор информационной безопасности;

Плановая актуализация настоящего Регламента производится ежегодно и имеет целью приведение в соответствие определенных защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация регламента информационной безопасности производится в обязательном порядке в следующих случаях:

— при изменении политики РФ в области информационной безопасности, указов и законов РФ в области защиты информации;

— при изменении внутренних нормативных документов (инструкций, положений, рекомендаций), касающихся информационной безопасности Департамента;

— при происшествии и выявлении инцидента (инцидентов) по нарушению информационной безопасности, влекущего ущерб Департамента.

Ответственными за актуализацию Регламента информационной безопасности (плановую и внеплановую) несет администратор информационной безопасности.

Контроль за исполнением требований настоящего Регламента и поддержанием ее в актуальном состоянии возлагается на администратора информационной безопасности.

2. Термины и определения

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор информационной безопасности – специалист Департамента, осуществляющий контроль за обеспечением защиты информации в ЛВС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Аудит информационной безопасности – процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как  Департаментом  (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.

Доступ к информации – возможность получения информации и ее использования.

Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.

Идентификатор доступа – уникальный признак субъекта или объекта доступа.

Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – это актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач отделов Департамента. В Департаменте используются различные типы информационных систем для решения управленческих, учетных, обучающих и других задач.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные активы – информационные системы, информационные средства, информационные ресурсы.

Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Инцидент информационной безопасности – действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов учреждения.

Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность – доступ к информации только авторизованных пользователей.

Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование отделов Департамента, привести к причинению в Департаменте материального или иного вида ущерба.

Локальная вычислительная сеть (ЛВС) – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

Межсетевой экран (МЭ) – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью Департамента и внешними сетями (сетью Интернет).

Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Регламент информационной безопасности – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его информационной безопасности.

Пользователь ЛВС – сотрудник Департамента (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.

Программное обеспечение – совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название отдела, телефоны, E-mail и т.п.

Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.

Системный администратор – сотрудник Департамента, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети учреждения и ПК.

Собственник – лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив.

Средства криптографической защиты информации – средства шифрования, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).

Угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Управление информационной безопасностью – совокупность целенаправленных действий, осуществляемых в рамках политики информационной безопасности в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).

Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности учреждения при реализации угроз в информационной сфере.

Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

ЭВМ – электронная — вычислительная машина, персональный компьютер.

Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.

VPN (VIRTUAL PRIVATE NETWORK) – «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях.

3. Обозначения и сокращения

АРМ – Автоматизированное рабочее место.

АС – Автоматизированная система.

БД – База данных.

ЗИ – Защита информации.

ИБ – Информационная безопасность.

ИС – Информационная система.

ИТС – Информационно-телекоммуникационная система.

КЗ – Контролируемая зона.

МЭ – Межсетевой экран.

НСД – Несанкционированный доступ.

ОС – Операционная система.

ПБ – Политики безопасности.

ПО – Программное обеспечение.

СВТ – Средства вычислительной техники.

СЗИ – Средство защиты информации.

СКЗИ – Средство криптографической защиты информации.

СПД – Система передачи данных.

СУБД – Система управления базами данных.

СУИБ – Система управления информационной безопасностью.

СЭД – Система электронного документооборота.

ЭВМ – Электронная — вычислительная машина, персональный компьютер.

ЭЦП – Электронная цифровая подпись.

4. Основные принципы обеспечения ИБ

Основными принципами обеспечения ИБ являются следующие:

— Постоянный и всесторонний анализ информационного пространства с целью выявления уязвимостей информационных активов.

— Своевременное обнаружение проблем, потенциально способных повлиять на ИБ, корректировка моделей угроз и нарушителя.

— Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию.

— Персонификация и адекватное разделение ролей и ответственности между сотрудниками учреждения, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

5. Соответствие Регламента действующему законодательству

Правовую основу составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

6. Ответственность за реализацию политик информационной безопасности

Ответственность за разработку мер и контроль обеспечения защиты информации несёт администратор информационной безопасности.

Ответственность за реализацию Регламента возлагается:

в части, касающейся исполнения правил регламента, – на каждого сотрудника Департамента, согласно должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящего Регламента.

7. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

Организация просвещения сотрудников Департамента и подведомственных учреждений в области информационной безопасности возлагается на администратора информационной безопасности. Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности». Обучение сотрудников Департамента правилам обращения с конфиденциальной информацией, проводится путем:

— проведения администратором информационной безопасности инструктивных занятий с сотрудниками, принимаемыми на работу в Департамент;

— самостоятельного изучения сотрудниками внутренних нормативных документов Департамента.

Допуск сотрудников к работе с защищаемыми информационными ресурсами Департамента осуществляется только после его ознакомления с настоящими Регламентом. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности».

Правила допуска к работе с информационными ресурсами лиц, не являющихся сотрудниками Департамента, определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.

8. Регламент информационной безопасности Департамента

Регламент информационной безопасности Департамента – это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в Департаменте.

Под Регламентами безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Регламент информационной безопасности относятся к административным мерам обеспечения информационной безопасности и определяют стратегию Департамента в области ИБ.

Регламенты информационной безопасности определяют эффективную работу средств защиты информации.

8.1. Регламент предоставления доступа к информационному ресурсу

8.1.1. Назначение

Настоящий Регламент определяет основные правила предоставления сотрудникам доступа к защищаемым информационным ресурсам Департамента.

8.1.2. Положение Регламента

К работе с информационным ресурсом допускаются сотрудники, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящим Регламентом.

Каждому сотруднику Департамента, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись ), под которым он будет регистрироваться и работать в ИС.

В случае необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в Департаменте одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.

8.1.3. Порядок создания (продления) учетной записи пользователя

Процедура регистрации (создания учетной записи), так же продления срока действия временной учетной записи пользователя для сотрудника Департамента инициируется заявкой (Приложение № 1).

В заявке указывается:

— должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;

— основание для регистрации учетной записи (номер приказа о принятии на работу в Департамент или иного договорного документа, определяющего необходимость предоставления сотруднику доступа к информационным ресурсам Департамента).

Заявку подписывает консультант кадровой службы подтверждающий, что указанный сотрудник действительно принят в штат Департамента.

Администратор информационной безопасности рассматривает представленную заявку и совершает необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и минимальных прав доступа к ресурсам Департамента.

По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.

Минимальные права в ИС, определенные выше, а также присвоение начального пароля производится администратором информационной безопасности, при согласовании заявки на предоставление (изменение) прав доступа пользователя к информационным ресурсам.

8.1.4. Порядок удаления учетной записи пользователя

При прекращении срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.

В заявке указывается:

— должность сотрудника, фамилия, имя и отчество сотрудника;

— имя пользователя (учетной записи) данного сотрудника;

— дата прекращения полномочий пользователя.

Заявку подписывает консультант кадровой службы, утверждая тем самым факт прекращения срока действия полномочий пользователя.

Администратор информационной безопасности рассматривает представленную заявку и совершает необходимые операции по удалению учетной записи пользователя, По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.

В случае необходимости сохранения персональных документов на АРМ сотрудника, после прекращения срока действия его полномочий, сотрудник (или его непосредственный руководитель) должен своевременно (не позднее, чем за 3 суток до момента прекращения срока действия своих полномочий) подать заявку на блокирование учетной записи пользователя с указанием срока хранения указанной информации.

8.2. Регламент защиты АРМ

8.2.1. Назначение

Настоящий Регламент определяет основные правила и требования по защите персональных данных и иной конфиденциальной информации Департамента от неавторизованного доступа, утраты или модификации.

8.2.2. Положения Регламента

Во время работы с конфиденциальной информацией должен предотвращаться ее просмотр не допущенными к ней лицами.

При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие конфиденциальную информацию, заперты в помещении, шкафу или ящике стола или в сейфе.

Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем их размещения в помещениях с ограниченным доступом, использования паролей или иных доступных механизмов разграничения доступа.

Доступ к компонентам операционной системы и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только администратору информационной безопасности. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей.

Доступ к информации предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей.

Пользователям запрещается устанавливать неавторизованные программы на компьютеры.

Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неавторизованных программ.

Техническое обслуживание должно осуществляться только на основании обращения пользователя к администратору информационной безопасности.

Локальное техническое обслуживание должно осуществляться только в личном присутствии пользователя.

Дистанционное техническое обслуживание должно осуществляться только со специально выделенных автоматизированных рабочих мест, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться.

При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений.

Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации (в том числе в составе АРМ) допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ.

Программное обеспечение должно устанавливаться со специальных ресурсов или съемных носителей и в соответствии с лицензионным соглашением с его правообладателем.

Конфигурации устанавливаемых рабочих станций должны быть стандартизованы, а процессы установки, настройки и ввода в эксплуатацию — регламентированы.

АРМ, на которых предполагается обрабатывать конфиденциальную информацию, должны быть закреплены за соответствующими сотрудниками Департамента. Запрещается использование указанных АРМ другими пользователями без согласования с администратором информационной безопасности Департамента. При передаче указанного АРМ другому пользователю, должна производиться гарантированная очистка диска (форматирование).

8.3. Регламент учетных записей

8.3.1. Назначение

Настоящий Регламент определяет основные правила присвоения учетных записей пользователям информационных активов Департамента.

8.3.2. Положение Регламента

Регистрационные учетные записи подразделяются на:

— пользовательские – предназначенные для идентификации/аутентификации пользователей информационных активов Департамента;

— системные – используемые для нужд операционной системы;

— служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.

Каждому пользователю информационных активов Департамента назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).

В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.

Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.

Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.

Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.

9. Профилактика нарушений информационной безопасности

Под профилактикой нарушений  информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений информационной безопасности в Департаменте и проведение разъяснительной работы по информационной безопасности среди пользователей.

Проведение в ИС Департамента регламентных работ по защите информации предполагает выполнение процедур контрольного тестирования (проверки) функций СЗИ, что гарантирует ее работоспособность с точностью до периода тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной в ИС Департамента степенью периодичности.

Задача предупреждения в ИС Департамента возможных нарушений информационной безопасности решается по мере наступления следующих событий:

— включение в состав ИС Департамента новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Департамента;

— изменение конфигурации программных и технических средств ИС (изменение конфигурации программного обеспечения рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Департамента;

— при появлении сведений о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения технических средств, используемых в ИС Департамента.

Администратор информационной безопасности (возможно, при помощи сторонней организации специализирующейся в области информационной безопасности) собирает и анализирует информацию о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения относительно ИС Департамента. Источниками подобного рода сведений могут служить официальные издания и публикации различных компаний, общественных объединений и других организаций, специализирующихся в области защиты информации.

Администратор информационной безопасности (возможно, при помощи сторонней организации, специализирующейся в области информационной безопасности) организовывает периодическую проверку СЗИ ИС Департамента путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам.

Плановая разъяснительная работа по настоящим правилам, а также инструктаж сотрудников Департамента по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Департаменте, проводится администратором информационной безопасности ежеквартально.

Внеплановая разъяснительная работа по настоящим правилам, а также инструктаж сотрудников Департамента по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Департаменте, проводится при пересмотре настоящих правил, при возникновении инцидента нарушения правил.

Прием на работу новых сотрудников должен сопровождаться ознакомлением их с настоящим Регламентом.

10. Ликвидация последствий нарушения информационной безопасности

Администратор информационной безопасности, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения информационной безопасности, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.

В случае обнаружения подсистемой защиты информации факта нарушения информационной безопасности или осуществления НСД к защищаемым информационным ресурсам ИС рекомендуется уведомить администратора информационной безопасности, и далее следовать его указаниям.

Действия администратора информационной безопасности при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами:

— Инструкцией пользователя автоматизированной системы;

— Должностными обязанностями администратора информационной безопасности;

После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

11. Ответственность нарушителей Регламента информационной безопасности

Ответственность за нарушение  информационной безопасности несет каждый сотрудник Департамента в рамках своих служебных обязанностей и полномочий.

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования Регламента, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение.

Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Департаменту в результате нарушения ими Регламента  (Ст. 238 Трудового кодекса РФ).

За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники Департамента несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.

12. Регулирующие законодательные нормативные документы

При организации и обеспечении работ по информационной безопасности сотрудники Департамента должны руководствоваться следующими законодательными нормативными документами:

12.1. Основополагающие нормативные документы

К основополагающим нормативным документам относятся:

— Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ от 5 декабря 2016 г. № Пр-646).

12.2. Законы Российской Федерации

— Федеральный закон Российской Федерации от 28.12.2010 г. « О безопасности» № 390-ФЗ (с изменениями от 05.10.2015 г.)

— Гражданский кодекс Российской Федерации;

— Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (с изменениями от 23 июня 2016 г.);

— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

— Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Уголовный кодекс РФ;

— Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (с изменениями от 05.04.2016 г.);

— Федеральный закон от 04.05.2011 г. № 99-ФЗ « О лицензировании отдельных видов деятельности» (с изменениями от 30.12.2015 г.).

12.3. Указы и распоряжения президента Российской Федерации

— Указ Президента Российской Федерации от 20 января 1994 г. № 170 «Об основах государственной политики в сфере информатизации» (с изменениями от 26 июля 1995 г., 17 января, 9 июля 1997 г.);

— Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями от 25 июля 2000 г.);

— Указ Президента Российской Федерации от 3 июля 1995 г. № 662 «О мерах по формированию общероссийской телекоммуникационной системы и обеспечению прав собственников при хранении ценных бумаг и расчетах на фондовом рынке Российской Федерации» (с изменениями от 16 октября 2010 г.);

— Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30 декабря 2000 г.);

— Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями от 13 июля 2015 г.).

12.4. Постановления и распоряжения правительства Российской Федерации

— Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» (с изменениями от 18.03.2016г.);

— Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (с изменениями от 21 апреля 2010 г.).

— Постановление Правительства от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных осуществляемой без использования средств автоматизации».

— Постановление Правительства от 1 ноября 2012 г. n 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

12.5. Нормативные и руководящие документы Федеральных служб РФ

— Приказ ФСТЭК России от 11.02.2013 г. №17 «Об утверждении Требований о защите информации не составляющей государственную тайну , содержащейся в государственных информационных системах(Зарегистрировано в Минюсте России 31.05.2013 г. № 28608:

— Приказ ФСТЭК России от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

— Приказ ФСБ России №416, ФСТЭК России №489 от 31.08.2010 г. « Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования (Зарегистрировано в Минюсте России 13.10.2010 г. №18904:

— Решение Гостехкомиссии России от 21 октября 1997 г. № 61 «О защите информации при вхождении России в международную информационную систему «Интернет»;

— Постановление Госстандарта Российской Федерации от 21 сентября 1994 г. № 15 «Об утверждении «Порядка проведения сертификации продукции в Российской Федерации» (с изменениями от 25 июля 1996 г., 11 июля 2002 г.);

— Постановление Госстандарта Российской Федерации от 10 мая 2000 г. № 26 «Об утверждении Правил по проведению сертификации в Российской Федерации» (с изменениями от 5 июля 2002 г.);

— Положение о сертификации средств защиты информации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199);

— Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.);

— Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации т 5 января 1996 г. № 3);

— Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.);

— Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114);

— Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187).

Заведующий отделом обеспечения деятельности мировых судей

________________В.В.Родькин

Источник

1. Общие положения

Информация является ценным и жизненно важным ресурсом. Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных.

Ответственность за соблюдение информационной безопасности несет каждый сотрудник, при этом первоочередной задачей является обеспечение безопасности всех активов. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив. Главные цели не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.

В настоящей Политике под термином «сотрудник» понимаются все сотрудники.

1.1. Цель и назначение настоящей Политики

Целями настоящей Политики являются:

  • сохранение конфиденциальности критичных информационных ресурсов;
  • обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности;
  • защита целостности деловой информации с целью поддержания возможности Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений;
  • повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Компании;
  • определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности.

Руководители подразделений должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.

1.2. Область применения настоящей Политики

Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации. Соблюдение настоящей Политики обязательно для всех сотрудников.

Организации принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования организации, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала организации.

2. Требования и рекомендации

2.1. Ответственность за информационные активы

В отношении всех собственных информационных активов организации, активов, находящихся под контролем организации, а также активов, используемых для получения доступа к инфраструктуре организации, определена ответственность соответствующего сотрудника Компании.

2.2. Контроль доступа к информационным системам

2.2.1. Общие положения

Все работы в пределах офисов организации выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в организации.

Внос в здания и помещения организации личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы организации производится только при согласовании

Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну организации и хранящиеся на жестких дисках портативных компьютеров, зашифрованы. Все портативные компьютеры организации оснащены программным обеспечением по шифрованию жесткого диска.

Руководители подразделений периодически пересматривают права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.

В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему осуществляется с использованием уникального имени пользователя и пароля.

Пользователи руководствоваются рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.

В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.

2.2.2. Доступ третьих лиц к системам Компании

Каждый сотрудник обязан немедленно уведомить руководителя обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.

Доступ третьих лиц к информационным системам Компании должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам Компании должен быть четко определен, контролируем и защищен.

2.2.3. Удаленный доступ

Пользователи получают право удаленного доступа к информационным ресурсам организации с учетом их взаимоотношений с организации.

Сотрудникам, использующим в работе портативные компьютеры организации, может быть предоставлен удаленный доступ к сетевым ресурсам организации в соответствии с правами в корпоративной информационной системе.

Сотрудникам, работающим за пределами организации с использованием компьютера, не принадлежащего организации, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.

Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам организации, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети организации и к каким-либо другим сетям, не принадлежащим Компании.

Все компьютеры, подключаемые посредством удаленного доступа к информационной сети организации, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления.

2.2.4. Доступ к сети Интернет

Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.

Рекомендованные правила:

  • сотрудникам организации разрешается использовать сеть Интернет только в служебных целях;
  • запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
  • сотрудники организации не должны использовать сеть Интернет для хранения корпоративных данных;
  • работа сотрудников организации с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации организации в сеть Интернет;
  • сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем организации;
  • сотрудники организации перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;
  • запрещен доступ в Интернет через сеть организации для всех лиц, не являющихся сотрудниками организации, включая членов семьи сотрудников организации.

2.3. Защита оборудования

Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранятся информация организации.

2.3.1. Аппаратное обеспечение

Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы), для целей настоящей Политики вместе именуются «компьютерное оборудование». Компьютерное оборудование, предоставленное организации, является ее собственностью и предназначено для использования исключительно в производственных целях.

Пользователи портативных компьютеров, содержащих информацию, составляющую коммерческую тайну организации, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах, или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства, в случаях, когда данный компьютер не используется.

Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.

Во время поездки в автомобиле портативный компьютер должен находиться в багажнике. На ночь его следует перенести из автомобиля в гостиничный номер.

Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавиши и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.

При записи какой-либо информации на носитель для передачи его контрагентам или партнерам по бизнесу необходимо убедиться в том, что носитель чист, то есть не содержит никаких иных данных. Простое переформатирование носителя не дает гарантии полного удаления записанной на нем информации.

Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты и прочие переносные устройства не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобном устройстве не рекомендуется хранить конфиденциальную информацию.

Порты передачи данных, в том числе FD и CD дисководы в стационарных компьютерах сотрудников Компании блокируются, за исключением тех случаев, когда сотрудником получено разрешение.

2.3.2. Программное обеспечение

Все программное обеспечение, установленное на предоставленном организации компьютерном оборудовании, является собственностью организациии должно использоваться исключительно в производственных целях.

Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю сотрудника.

На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:

  • персональный межсетевой экран;
  • антивирусное программное обеспечение;
  • программное обеспечение шифрования жестких дисков;
  • программное обеспечение шифрования почтовых сообщений.

Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем.

Сотрудники Компании не должны:

  • блокировать антивирусное программное обеспечение;
  • устанавливать другое антивирусное программное обеспечение;
  • изменять настройки и конфигурацию антивирусного программного обеспечения.

Компания предпочитает приобретать программное обеспечение, а не разрабатывать собственные программы, поэтому пользователям, желающим внедрить новые возможности бизнес-процессов, необходимо обсудить свое предложение со своим менеджером по бизнес информации, который проинформирует их о порядке приобретения и/или разработки программного обеспечения.

2.4. Рекомендуемые правила пользования электронной почтой

Электронные сообщения (удаленные или не удаленные) могут быть доступны или получены государственными органами или конкурентами по бизнесу для их использования в качестве доказательств в процессе судебного разбирательства или при ведении бизнеса. Поэтому содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.

Использование электронной почты в личных целях допускается в случаях, когда получение/отправка сообщения не мешает работе других пользователей и не препятствует бизнес деятельности.

Сотрудникам запрещается направлять партнерам конфиденциальную информацию Организации по электронной почте без использования систем шифрования. Строго конфиденциальная информация Организации, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.

Сотрудникам Организации запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.

Использование сотрудниками Организации публичных почтовых ящиков электронной почты осуществляется только при согласовании с Департаментом защиты информации при условии применения механизмов шифрования.

Сотрудники Организации для обмена документами с бизнес партнерами должны использовать только свой официальный адрес электронной почты.

Сообщения, пересылаемые по электронной почте, представляют собой постоянно используемый инструмент для электронных коммуникаций, имеющих тот же статус, что и письма и факсимильные сообщения. Электронные сообщения подлежат такому же утверждению и хранению, что и прочие средства письменных коммуникаций.

В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю. Если полученная таким образом информация носит конфиденциальный характер, об этом следует незамедлительно проинформировать специалистов Департамента защиты информации.

Отправитель электронного сообщения, документа или лицо, которое его переадресовывает, должен указать свое имя и фамилию, служебный адрес и тему сообщения.

Ниже перечислены недопустимые действия и случаи использования электронной почты:

  • рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;
  • групповая рассылка всем пользователям Организации сообщений/писем;
  • рассылка рекламных материалов, не связанных с деятельностью Организации;
  • подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;
  • поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
  • пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит корпоративным стандартам в области этики.

Ко всем исходящим сообщениям, направляемым внешним пользователям, пользователь может добавлять уведомление о конфиденциальности.

Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в Организации процедурами документооборота.

Пересылка значительных объемов данных в одном сообщении может отрицательно повлиять на общий уровень доступности сетевой инфраструктуры Организации для других пользователей. Объем вложений не должен превышать 2 Мбайт.

2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность

Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.

В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте директору Департамента защиты информации.

Пользователи должны знать способы информирования об известных или предполагаемых случаях нарушения информационной безопасности с использованием телефонной связи, электронной почты и других методов. Необходимо обеспечить контроль и учет сообщений об инцидентах и принятие соответствующих мер.

Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан:

  • проинформировать ответственных специалистов;
  • не пользоваться и не выключать зараженный компьютер;
  • не подсоединять этот компьютер к компьютерной сети Организации до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование специалистами Департамента информационных технологий.

2.6. Помещения с техническими средствами информационной безопасности

Конфиденциальные встречи (заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях.

Перечень помещений с техническими средствами информационной безопасности утверждается Руководством Организации.

Участникам заседаний запрещается входить в помещения с записывающей аудио/видео аппаратурой, фотоаппаратами, радиотелефонами и мобильными телефонами без предварительного согласования.

Аудио/видео запись, фотографирование во время конфиденциальных заседаний может вести только сотрудник Организации, который отвечает за подготовку заседания, после получения письменного разрешения руководителя группы организации встречи.

Доступ участников конфиденциального заседания в помещение для его проведения осуществляется на основании утвержденного перечня, контроль за которым ведет лицо, отвечающее за организацию встречи.

2.7. Управление сетью

Уполномоченные сотрудники контролируют содержание всех потоков данных проходящих через сеть Организации.

Сотрудникам Организации запрещается:

  • нарушать информационную безопасность и работу сети Организации;
  • сканировать порты или систему безопасности;
  • контролировать работу сети с перехватом данных;
  • получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности;
  • использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства;
  • передавать информацию о сотрудниках или списки сотрудников Организации посторонним лицам;
  • создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение.

2.7.1. Защита и сохранность данных

Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты Департамента информационных технологий обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.

Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения.

Только специалисты на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.

Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.

Все заявки на проведение технического обслуживания компьютеров должны направляться в Департамент информационных технологий.

2.8. Разработка систем и управление внесением изменений

Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителями.

  • Ссылка

  • Отправить почтой

  • Версия для печати

  • Код для блога

  • Экспорт

Если вы нашли ошибку: Выделите текст и нажмите Ctrl+Enter

Открыть

Источник

Приложение N 1

к приказу Министерства труда

и социальной защиты

Российской Федерации

от 29 октября 2021 г. N 773н

ФОРМЫ (СПОСОБЫ)

ИНФОРМИРОВАНИЯ РАБОТНИКОВ ОБ ИХ ТРУДОВЫХ ПРАВАХ, ВКЛЮЧАЯ

ПРАВО НА БЕЗОПАСНЫЕ УСЛОВИЯ И ОХРАНУ ТРУДА

1. Формами (способами) информирования работников об их трудовых правах, включая право на безопасные условия и охрану труда, с использованием визуальной/печатной информации являются:

а) ознакомление работника при приеме на работу с условиями трудового договора, заключаемого с работодателем, в котором указываются трудовые права работника и информация об условиях труда <1>;

———————————

<1> Статья 57 Трудового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3).

б) ознакомление работников с результатами специальной оценки условий труда на их рабочих местах <2>;

———————————

<2> Статьи 5 и 15 Федерального закона от 28 декабря 2013 г. N 426-ФЗ «О специальной оценке условий труда» (Собрание законодательства Российской Федерации, 2013, N 52, ст. 6991).

в) ознакомление с информацией о существующих профессиональных рисках и их уровнях <3>;

———————————

<3> Статья 218 Трудового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2021, N 27, ст. 5139).

г) ознакомление работника с требованиями должностной инструкции, инструкций по охране труда (с визуализацией (при необходимости) опасных зон (участков) оборудования), перечнем выдаваемых на рабочем месте средств индивидуальной защиты, требованиями правил (стандартов) по охране труда и других локальных нормативных актов работодателя. Указанное ознакомление осуществляется под роспись работника, в том числе с выдачей на руки указанных нормативных актов работнику для изучения при проведении инструктажа по охране труда на рабочем месте <4>. При наличии у работодателя электронного документооборота ознакомление работников допускается осуществлять в электронной форме с учетом установленных для электронного документооборота законодательных требований (в частности подтверждения факта ознакомления с документами электронной цифровой подписью).

———————————

<4> Статьи 214 и 219 Трудового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2021, N 27, ст. 5139).

2. Работодатели могут в зависимости от своих финансовых возможностей в дополнение к предусмотренным в пункте 1 формам (способам) применять следующие формы (способы) информирования работников об их трудовых правах, включая право на безопасные условия и охрану труда, с использованием визуальной/печатной информации:

а) размещение плакатов и листовок, содержащих информацию о трудовых правах работников, на рабочих местах в структурных подразделениях работодателя, кабинетах охраны труда, уголках охраны труда, а также в общедоступных местах на территории работодателя;

б) ознакомление работников с положениями коллективного договора и (или) отраслевого соглашения, распространяемых на работодателей и работников, в том числе при участии первичной профсоюзной организации (при наличии);

в) посещение рабочих мест (рабочих зон) с визуализацией (при необходимости) опасных зон (участков) оборудования, в том числе посредством обозначения знаками безопасности, сигнальными цветами, сигнальной разметкой зон, участков, элементов оборудования, машин, механизмов, агрегатов с высоким риском получения работником травмы, а также обозначения соответствующими знаками безопасности зон, участков, оборудования, где обязательно применение средств индивидуальной защиты;

г) распространение периодических корпоративных изданий (журналов, информационных бюллетеней, информационных листков и иных аналогичных материалов), плакатов, содержащих информацию о трудовых правах работников, среди работников и иных заинтересованных лиц, в том числе по электронной почте;

д) распространение печатных информационных материалов (журналов, листовок, газет и иных аналогичных материалов), содержащих информацию о трудовых правах работников, на профильных тематических выставках, конференциях, круглых столах и семинарах;

е) рассылка по электронной почте или почтовой связью печатных информационных материалов (журналов, листовок, газет и иных аналогичных материалов) и листовок, содержащих информацию о трудовых правах работников, заинтересованным лицам.

3. Работодатели могут в зависимости от своих финансовых возможностей применять следующие формы (способы) информирования работников об их трудовых правах, включая право на безопасные условия и охрану труда, с использованием видеоматериалов:

а) демонстрацию информационных тематических видеороликов или сюжетов, снятых по материалам реальных событий, при проведении инструктажей и обучения работников по охране труда, а также на вводных инструктажах для сотрудников;

б) демонстрацию информационных тематических видеороликов или сюжетов, снятых по материалам реальных событий, по корпоративному телевидению (при его наличии) и видеоканалам в производственных помещениях, кабинетах (уголках) по охране труда, а также общедоступных местах, где установлены телевизионные панели (с видеосвязью или без), а также проекторы;

в) информирование работников об их трудовых правах в формате интернет-журнала событий (блога);

г) демонстрацию видеоматериалов (роликов, посвященных трудовым правам работников, включая право на безопасные условия и охрану труда) на профильных тематических выставках, конференциях, круглых столах и семинарах.

4. Работодатели могут в зависимости от своих финансовых возможностей применять следующие формы (способы) информирования работников об их трудовых правах, включая право на безопасные условия и охрану труда, с использованием интернет-ресурсов:

а) размещение на официальном сайте работодателя в информационно-телекоммуникационной сети «Интернет» (далее — интернет-сайт работодателя) (при наличии) сведений о результатах проведения специальной оценки условий труда <5>;

———————————

<5> Часть 6 статьи 15 Федерального закона от 28 декабря 2013 г. N 426-ФЗ «О специальной оценке условий труда» (Собрание законодательства Российской Федерации, 2013, N 52, ст. 6991).

б) размещение информационных тематических видеороликов или сюжетов, снятых по материалам реальных событий, как на закрытых, так и на общедоступных страницах видеоканалов;

в) размещение на корпоративном портале (как внутреннем, предназначенном только для сотрудников, так и открытом для всех заинтересованных лиц) (далее — корпоративный портал), а также на официальном интернет-сайте работодателя (при наличии) электронных периодических корпоративных изданий, а также электронных листовок по вопросам обеспечения трудовых прав работников, включая право на безопасные условия и охрану труда;

г) размещение на корпоративном портале, а также на официальном интернет-сайте работодателя (при наличии) актуальной информации о политике работодателя, связанной с гарантией соблюдения трудовых прав работников, библиотеки трудовых ситуаций и разъяснений спорных ситуаций с ответами на часто задаваемые вопросы о трудовых правах работников;

д) размещение на корпоративном портале, а также на официальном интернет-сайте работодателя (при наличии) ссылок на сайт Министерства труда и социальной защиты Российской Федерации (Минтруд России) https://mintrud.gov.ru/, Федеральной службы по труду и занятости (Роструд) https://rostrud.gov.ru/, на официальный ресурс Роструда http://онлайнинспекция.рф, где размещена необходимая работникам информация о трудовых правах и способах их защиты, а также на официальные интернет-сайты и иные интернет-ресурсы органов исполнительной власти субъектов Российской Федерации по труду;

е) размещение на корпоративном портале, а также на официальном интернет-сайте работодателя (при наличии) ссылок на сайт Пенсионного фонда Российской Федерации https://pfr.gov.ru/, где работник может ознакомиться со своими правами на страховую пенсию, в том числе с правилами и порядком назначения досрочной страховой пенсии в связи с работой во вредных и/или опасных условиях труда или принадлежностью к той или иной профессии, а также Фонда социального страхования Российской Федерации https://fss.ru/, где работник может найти информацию о положенных ему страховых выплатах, в том числе в связи с несчастным случаем на производстве или профессиональным заболеванием;

ж) возможность доступа (с учетом должностных обязанностей) к справочным правовым информационным системам, содержащим необходимую правовую актуальную информацию о трудовом законодательстве Российской Федерации, аналитические и справочные материалы, а также к публикуемой указанными системами тематической обзорной информации о трудовых правах работников через корпоративный портал, а также через официальный интернет-сайт работодателя (при наличии) или через оборудование, установленное в кабинете охраны труда или в уголке охраны труда;

з) возможность использования для размещения актуальной информации о трудовых правах работников, изменениях трудового законодательства и мерах по обеспечению трудовых прав работников страниц в социальных сетях или групп в системах мгновенного обмена сообщениями (при их наличии у работодателя) с обязательными ссылками на официальные источники информации с целью обеспечения возможности их проверки и установления достоверности;

и) размещение на корпоративном портале, а также на официальном интернет-сайте работодателя (при наличии) текста коллективного договора, отраслевого соглашения (при наличии).

5. Работодатель может применять любые из перечисленных в пунктах 2 — 4 настоящего приложения формы (способы) информирования по отдельности или совместно, а также применять иные предусмотренные законодательством Российской Федерации формы (способы) информирования работников об их трудовых правах, включая право на безопасные условия и охрану труда.

Источник

СДО для вагонников

Ответы для вагонников на часто встречающиеся вопросы в системе дистанционного образования ОАО«РЖД» (http://sdo.rzd.ru)

Ярлыки

  • Автосцепное устройство
    (7)
  • База с ответами
    (5)
  • Буксовый узел
    (4)
  • Инструкции и распоряжения
    (4)
  • Инструкция по сигнализации
    (3)
  • Карта сайта
    (1)
  • Каскор
    (1)
  • Колесные пары
    (7)
  • Кузов и рама
    (1)
  • Обучение и повышение квалификации
    (1)
  • Опасные грузы
    (3)
  • Охрана труда
    (21)
  • Полезные статьи
    (17)
  • Разное
    (10)
  • СДО
    (273)
  • СДО для операторов
    (49)
  • Сохранность вагонного парка
    (5)
  • Тележки
    (2)
  • Тестирование
    (10)
  • Тормозное оборудование
    (14)
  • Юмор РЖД
    (2)

Поиск по блогу

03 февраля 2022

Курс по информационной безопасности для пользователей ПК ОАО «РЖД»

Ответы за февраль 2022:

  1. 2022-06-09 ЦВ Инструктаж Все профессии
  2. 2022-03 ЦВ Теория Осмотрщики и др. (стаж более 5 лет)
  3. 2022-04 ЦВ Теория Осмотрщики и др. (стаж более 5 лет)
  4. 2022-01 ЦВ Дополнительная осмотрщики всех наименований, операторы ПТО (телеграмма № ИСХ-25879 от 01.12.2021. Техническое обслуживание и контрольный осмотр пассажирских вагонов при прицепке их к поезду в пути следования)
  5. 2022-02 ЦВ Дополнительная осмотрщики всех наименований (телеграмма № ИСХ-25991 от 02.12.2021. Типовой технологический процесс ТК-297)
  6. Предупреждение и противодействие коррупции в ОАО «РЖД». Общий курс
  7. Курс по информационной безопасности для пользователей ПК ОАО «РЖД»
  8. База с ответами к СДО для вагонников
  9. Карта сайта «Сдо для вагонников»

Курс по информационной безопасности для пользователей ПК ОАО «РЖД»

  • Интерактивная практическая работа «Блокировка компьютера» (страница 26)
    1 действие ⇒ Убрать документы в сейф
    2 действие ⇒ Убрать флешку в сейф
    3 действие ⇒ Закрыть сейф
    4 действие ⇒ Выключить ПК
    5 действие ⇒ Документы из корзины в измельчитель
  • Интерактивная практическая работа «Надежный пароль» (страница 29)
    ⇒ 30o#pwnrz!53Hz
  • Интерактивная практическая работа «Об установке на рабочий компьютер программного обоспечения» (страница 35)
    ⇒ Нет, не надо ничего такого скачивать. Наверное, лучше обратиться в единую службу поддержки пользователей, там помогут.
  • Интерактивная практическая работа «признаки фишингового письма» (страница 40)

  • Интерактивная практическая работа «Использование адреса корпоративной электронной почты для регистрации на Интернет-ресурсах» (страница 44)
    ⇒ Выбрать почту @mail.ru или @gmail.com
  • Интерактивная практическая работа «Признаки фишингового сайта» (страница 48)
    1 ⇒ Адресная строка
    2 ⇒ Неправильное название (chrome)
    3 ⇒ Окно, где просят ввести номер телефона
  • Интерактивная практическая работа «Блокировка экрана на мобильных устройствах» (страница 54)

  • Интерактивная практическая работа «Правила противодействия социальной инженерии при поступлении звонков с незнакомых номеров» (страница 58)
    1 ⇒ Добрый день. Мне нужно согласовать это с моим руководителем. Скажите, как я могу с Вами связаться позже?
    2 ⇒ Константин, могу я получить официальный запрос от ФАС?
    3 ⇒ Я дождусь официального запроса и сразу же на него отвечу.
  • Блокировка учетной записи работника Компании происходит после…
    ⇒ 5 неудачных попыток
  • В каких случаях заражение мобильных устройств компьютерным вирусом наиболее вероятно?
    ⇒ При скачивании и установке приложений из неавтоматизированных источников
    ⇒ При спользовании открытых сетей связи (Wi-Fi) в публичных местах
  • В каких случаях разрешено использовать один и тот же пароль для доступа к ИС ОАО «РЖД» и личных аккаунтов?
    ⇒ Запрещено
  • Вы получили электронное письмо от Вашего коллеги с вложением (архивный файл с расширением *.exe). Ваши действия?
    ⇒ Уточню у коллеги, действительно ли он посылал подобное письмо. Если посылал, то сохраню на диск, проверю на вирусы и открою Файл. Если не посылал то удалю письмо, неоткрыв вложение
  • Вы получили электронное письмо с вложенным файлом «Условия участия в конференции» от неизвестного адресата. Ваши действия?
    ⇒ Проверю адрес отправителя. В случае возникновения сомнений прекращу работу с почтовым клиентом и обращусь в ЕСПП с подозрением на вирус в почтовом письме
  • Допустимо ли вести рабочую переписку с использованием электронной почты, созданной на внешних Интернет-ресурсах?
    ⇒ Допустимо, отдельным категориям работников, которым делегировано право представлять интересы Компании перед третьими лицами для выполнения должностных обязанностей
  • Допустмо ли использовать общедоступные ресурсы и сервисы при пердаче сведений конфиденциального харатера?
    ⇒ Нет
  • Из перечисленных паролей наиболее надежным (сложным для подбора и угадывания) является …
    ⇒ l75@A!v#y16
  • К какой ответственности может быть привлечен работник за нарушение правил ИБ, принятых в Компании?
    ⇒ Гражданско-правовой
    ⇒ Административной
  • Как следует поступать при необходимости установки на компьютер работника какого-либо дополнительного программного обеспечения (ПО)?
    ⇒ Подать заявку в ЕСПП ОАО «РЖД» для установки необходимого ПО
  • Какие действия не следует выполнять при работе с корпоративным мобильным устройством?
    ⇒ Все из перечисленного
  • Какие из облачных хранилищ разрешено использовать работнику Компании для хранения или передачи конфиденциальной информации?
    ⇒ Никакие
  • Какие из перечисленных ниже признаков могут указывать на Фишинговый сайт?
    ⇒ Все перечисленное
  • Какие минимальное количество символов должен содержать пароль для доступа к инфармационным ресурсам кампании?
    ⇒ 8
  • Какие признаки могут указывать на опасное мобильное приложение?
    ⇒ Все перечисленное
  • Какое расширение файла может указывать на вредоносное вложение?
    ⇒ Любое из перечисленных
  • Какое самое надежное место для хранения пароля к информационным активам Компании
    ⇒ Пароли лучше запоминать, а не записывать на бумаге
  • Кого работник должен ставить в известность о любых Фактах нарушения правил использования информационных активов Кампании?
    ⇒ Всех вышеперечисленньы
  • Кого работник Компании должен поставить в известность, если у него подозрения на компрометацию пароля?
    ⇒ Сектор информационной безопасности ИВЦ
    ⇒ Непосредственного руководителя
  • Комбинации каких клавиш необходимо нажать для блокировки компьютера?
    ⇒ Ctrl+Alt+Del
    ⇒ Win+L
  • Кому разрешено сообщать свой пароль для доступа к ИС ОАО «РЖД»?
    ⇒ Никому
  • Может ли работник Компании изменять настройки операционной системы рабочего компьютера?
    ⇒ Нет
  • Может ли работник передавать данные своей учетной записи к ИС ОАО «РЖД» другим пользователям?
    ⇒ Нет
  • Можно ли использовать девичью фамилию матери при составлении пароля?
    ⇒ Нет
  • Можно ли обрабатывать сведения конфиденциального характера на мобильных устройствах в публичных местах (кафе, парк, общественный транспорт и т.п.)?
    ⇒ Нет, это опасно и запрещено
  • Можно ли подключать к рабочему ПЭВМ съемные носители информации?
    ⇒ Категорически запрещено
  • По чьей вине чаще всего происходят инциденты ИБ в компаниях (по статистике мировых аналитических агентств)?
    ⇒ По вине действующих работников компаний
  • Пользователю рабочего компьютера необходимо менять пароль каждые …
    ⇒ 90 дней
  • При подписке на электронное издание «Железнодорожный транспорт» в регистрационной форме в качестве логина и пароля Вы можете использовать …
    ⇒ Логин и пароль социальной сети VK.com
    ⇒ Логин и пароль почты Mail.ru
  • Разрешено ли повторно использовать пароль для доступа к ИС ОАО «РЖД»?
    ⇒ Нет. Отличие нового пароля от предыдущего должно быть не менее чем в четырех позициях
  • Что или кто является источником угроз информационной безопасности?
    ⇒ Все перечисленные
  • Что не следует пользователю рабочего компьютера использовать в качестве пароля?
    ⇒ Все перечисленное
  • Что необходимо сделать работнику Компании в случае возникновения инцидента ИББ?
    ⇒ Все перечисленное
  • Что необходимо сделать с бумажными документами и съемными носителями, содержащими конфиденциальную информацию, прежде чем покинуть рабочее место?
    ⇒ Убрать в запираемый шкаФ
    ⇒ Убрать в запираемый сейф
  • Что означает понятие «Доступность ИС»?
    ⇒ Предоставление данных своим пользователям
  • Что означает понятие «Конфиденциальность ИС»?
    ⇒ Защиту данных от несанкционированного доступа
  • Что означает понятие «Целостность ИС»?
    ⇒ Хранение информации и гарантию неизменности данных
  • Что является признаком наличия вируса на ПЭВМ?
    ⇒ Все из перечисленного

Комментариев нет:

Отправить комментарий

Источник

Понравилась статья? Поделить с друзьями:
  • Земельная компания другими словами банк если владельцем земли является он хочет чтобы
  • Избегая при этом компанию детей своего возраста сосуществование со своими одногодками
  • Изготавливаемые часы кузнецами были плодом чрезвычайно утомительной ручной работы егэ
  • Имеет ли право компания заканчивать свой финансовый год 30 июня в соответствии с мсфо
  • Инспекция федеральной налоговой службы 33 по г москве реквизиты для оплаты госпошлины