Типы документов

Реклама

Партнеры

Постановление Администрации города Челябинска от 21.06.2013 N 156-п "Об утверждении Положения об организации и проведении работ в Администрации города Челябинска по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"



АДМИНИСТРАЦИЯ ГОРОДА ЧЕЛЯБИНСКА

ПОСТАНОВЛЕНИЕ
от 21 июня 2013 г. № 156-п

Об утверждении Положения об организации и проведении
работ в Администрации города Челябинска по обеспечению
безопасности персональных данных при их обработке
в информационных системах персональных данных

В целях исполнения Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных"
ПОСТАНОВЛЯЮ:

1. Утвердить Положение об организации и проведении работ в Администрации города Челябинска по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (приложение).

2. Управлению информационной политики Администрации города Челябинска (Сафонов В.А.) опубликовать настоящее постановление в порядке, установленном для официального опубликования муниципальных правовых актов, и разместить настоящее постановление на официальном сайте Администрации города Челябинска в сети Интернет.

3. Внести настоящее постановление в раздел 2 "Органы и должностные лица местного самоуправления, муниципальная служба" нормативной правовой базы местного самоуправления города Челябинска.

4. Контроль исполнения настоящего постановления возложить на заместителя Главы Администрации города, руководителя аппарата Администрации города Шинина Е.А.

Глава Администрации
города Челябинска
С.В.ДАВЫДОВ





Приложение
к постановлению
Администрации
города Челябинска
от 21 июня 2013 г. № 156-п

Положение
об организации и проведении работ
в Администрации города Челябинска по обеспечению
безопасности персональных данных при их обработке
в информационных системах персональных данных

I. Общие положения

1. Настоящее Положение об организации и проведении работ в Администрации города Челябинска по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Положение) разработано в соответствии с Законом Российской Федерации от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и методическими рекомендациями Федеральной службы по техническому и экспортному контролю России (далее - ФСТЭК), в целях обеспечения безопасности персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн).
2. Положение определяет:
- порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке;
- порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных;
- порядок использования средств защиты информации;
- порядок приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления, порядок обучения персонала практике работы в ИСПДн;
- порядок проверки электронного журнала обращений к ИСПДн;
- порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией;
- правила обновления общесистемного и прикладного программного обеспечения;
- правила организации антивирусной защиты и парольной защиты ИСПДн;
- порядок охраны и допуска посторонних лиц в защищаемые помещения.

II. Порядок работы персонала ИСПДн в части
обеспечения безопасности ПДн при их обработке в ИСПДн

3. Настоящий порядок работы определяет действия персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.
4. Допуск пользователей для работы на персональной электронной вычислительной машине (далее - ПЭВМ) осуществляется в соответствии со списком лиц, допущенных к работе с персональными данными в ИСПДн.
5. Журнал учета лиц, допущенных к работе с персональными данными, ведется должностным лицом, отвечающим за обработку ПДн в Администрации города Челябинска.
6. Форма ведения журнала учета лиц, допущенных к персональным данным:


№ Сведения о допуске Сведения о прекращении допуска
п/п к персональным данным к персональным данным

Наименование Дата Дата, подпись Дата Номер приказа
системы утверждения допускаемого утверждения, об увольнении
персональных лица или приказа
данных об увольнении

1 2 3 4 5 6






7. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн.
8. Пользователь несет ответственность за правильность включения и выключения ПЭВМ, входа в систему и все действия при работе в ИСПДн.
9. Вход пользователя в систему должен осуществляться по персональному паролю.
10. Все магнитные, оптические и другие машинные носители ПДн подлежат обязательному учету. На носители информации наносится маркировка, позволяющая идентифицировать и организовать их учет. Машинные носители информации, в том числе с резервными копиями ПДн, регистрируются в журнале учета машинных носителей Пдн.
11. Форма ведения журнала учета машинных носителей персональных данных:


№ Регистрационный Тип/емкость Номер Место установки Ответственное Расписка Расписка Место Сведения об
п/п номер/дата машинного экземпляра/ (использования)/ должностное в получении в обратном хранения уничтожении
носителя количество дата установки лицо (Ф.И.О., приеме машинного машинных
персональных экземпляров (Ф.И.О.) подпись, (Ф.И.О., носителя носителей
данных дата) подпись, персональных персональных
дата) данных данных,
стирании
информации
(подпись,
дата)

1 2 3 4 5 6 7 8 9 10






12. Журнал учета машинных носителей персональных данных ведется специалистом по защите информации в Администрации города Челябинска.
13. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на ПЭВМ. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения.
14. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:
- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
- знать и строго выполнять правила работы со средствами защиты информации, установленными на ПЭВМ;
- хранить в тайне свой пароль (пароли). В соответствии с пунктами 69, 70 данного Положения и с установленной периодичностью менять свой пароль (пароли);
- хранить установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);
- выполнять требования Инструкции по организации антивирусной защиты в полном объеме.
Немедленно известить специалиста по защите информации в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;
- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ПЭВМ, выхода из строя или неустойчивого функционирования узлов ПЭВМ или периферийных устройств, а также перебоев в системе электроснабжения;
- некорректного функционирования установленных на ПЭВМ технических средств защиты;
- непредусмотренных отводов кабелей и подключенных устройств.
Пользователю ПЭВМ категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения ПЭВМ в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения ПЭВМ;
- осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных электронных носителях информации;
- оставлять включенной без присмотра ПЭВМ, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
- оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, электронные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;
- размещать средства ИСПДн так, чтобы с них существовала возможность визуального считывания информации.

III. Порядок резервирования и восстановления
работоспособности технических средств
и программного обеспечения баз данных
и средств защиты информации

15. Настоящий порядок резервирования определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения баз данных и средств защиты информации.
16. Для создания резервной копии в ИСПДн допускаются только зарегистрированные носители конфиденциальной информации.
17. Постоянный пользователь обязан осуществлять периодическое резервное копирование конфиденциальной информации.
18. Ежедневно, по окончании работы с конфиденциальными документами (ПДн) на ПЭВМ, за исключением информационных систем, использующих автоматизированную обработку, пользователь, при отсутствии администратора, обязан создавать резервную копию конфиденциальных документов на зарегистрированный носитель (CD, DVD-диски, USB-накопитель, другие), создавая тем самым резервный электронный архив конфиденциальных документов.
19. Носители информации (CD, DVD-диски, USB-накопитель, другие), предназначенные для создания резервной копии и хранения конфиденциальной информации выдаются установленным порядком начальником отдела технического обеспечения Управления информатизации Администрации города Челябинска. По окончании процедуры резервного копирования электронные носители конфиденциальной информации хранятся в сейфе (металлическом шкафу).
20. Перед резервным копированием пользователь обязан проверить электронный носитель (CD, DVD-диски, USB-накопитель, другие) на отсутствие вирусов.
21. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.
22. Запрещается запись посторонней информации на электронные носители (CD, DVD-диски, USB-накопитель, другие) резервной копии.
23. Порядок создания резервной копии:
- вставить в ПЭВМ зарегистрированный электронный носитель (CD, DVD-диски, USB-накопитель, другие) для резервного копирования;
- выбрать необходимый каталог (файл) для создания резервного архива;
- нажать по выбранному каталогу (файлу) правой кнопкой манипулятора и в появившемся меню выбрать пункт "Добавить в архив...";
- на вкладке "Общие" нажать на кнопку "Обзор" и в появившемся окне перейти на электронный носитель (CD, DVD-диски, USB-накопитель, другие), после чего нажать кнопку "Открыть";
- на вкладке "Общие" в поле "Имя архива" ввести имя архива следующего вида: "Имя каталога (файла) резервного копирования. Дата архивирования. Имя пользователя";
- нажать кнопку "ОК".
24. Ответственность за проведение резервного копирования в ИСПДн в соответствии с требованиями настоящего Положения возлагается на пользователя.
25. Ответственность за проведение мероприятий по восстановлению работоспособности технических средств и программного обеспечения баз данных возлагается на специалистов отдела информационных технологий Управления информатизации Администрации города Челябинска.
26. Ответственность за проведение мероприятий по восстановлению средств защиты информации (далее - СЗИ) возлагается на специалистов отдела информационных технологий Управления информатизации Администрации города Челябинска.
27. У всех ИСПДн должен быть назначен администратор безопасности. Администратор безопасности - сотрудник, в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе.
28. Администратор безопасности ИСПДн назначается распоряжением заместителя Главы Администрации города, руководителя аппарата Администрации города Челябинска.
29. Администратор безопасности ИСПДн обязан:
- знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС), установленных и смонтированных в ИСПДн, перечень используемого программного обеспечения (далее - ПО) в ИСПДн;
- производить необходимые настройки подсистемы управления доступом установленных в ИСПДн СЗИ от несанкционированного доступа (далее - НСД) и сопровождать их в процессе эксплуатации, при этом реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);
- вводить описания пользователей ИСПДН в информационную базу СЗИ от НСД;
- своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц;
- проводить инструктаж сотрудников - пользователей ПЭВМ по правилам работы с используемыми техническими средствами и системами защиты информации;
- контролировать своевременное (не реже чем один раз в течение 180 дней) проведение смены паролей для доступа пользователей к ПЭВМ;
- обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПДн;
- осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;
- настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе на ПЭВМ;
- вводить в базу данных СЗИ от НСД описание событий, подлежащих регистрации в системном журнале;
- проводить анализ системного журнала для выявления попыток НСД к защищаемым ресурсам не реже одного раза в 10 дней;
- организовывать печать файлов пользователей на принтере;
- сопровождать подсистемы обеспечения целостности информации на ПЭВМ в ИСПДн;
- периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
- восстанавливать программную среду, программные средства и настройки СЗИ при сбоях;
- проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;
- сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок (далее - ПЭМИН), контролировать соблюдение требований по размещению и использованию ПЭВМ, указанных в техническом паспорте;
- контролировать соответствие документально утвержденного состава аппаратной и программной части ИСПДн реальным конфигурациям ИСПДн, вести учет изменений аппаратно-программной конфигурации;
- обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПДн (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
- присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПДн;
- вести журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств ПЭВМ;
- поддерживать установленный порядок проведения антивирусного контроля согласно требованиям настоящего Положения, в случае отказа средств и систем защиты информации принимать меры по их восстановлению;
- докладывать специалисту по защите информации, начальнику отдела о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации.
30. Специалист по защите информации (уполномоченный по защите информации организации) имеет право:
- требовать от сотрудников - пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов вычислительной техники;
- требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
- участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.

IV. Процедура контроля ИСПДн, приостановки
предоставления ПДн в случае обнаружения нарушений
порядка их предоставления. Порядок разбирательства
и составления заключений по фактам несоблюдения условий
хранения носителей персональных данных, использования
средств защиты информации и принятия мер по предотвращению
возможных опасных последствий

31. Контроль защиты информации в ИСПДн - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения техническими средствами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности систем информатизации.
32. Основными задачами контроля являются:
- проверка организации выполнения мероприятий по защите информации в Администрации города Челябинска, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
- уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
- проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;
- проверка выполнения требований по защите ИСПДн от НСД;
- проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;
- проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;
- оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПДн организации.
33. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей на объектах организации, и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все варианты защиты информации.
34. В ходе контроля проверяются:
- соответствие принятых мер по обеспечению безопасности персональных данных (далее - ОБ ПДн);
- своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ ПДн;
- возможные технические каналы утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
- эффективность применения организационных и технических мероприятий по защите информации;
- устранение ранее выявленных недостатков.
Кроме того, могут проводиться необходимые измерения и расчеты приглашенными для этих целей специалистами органа по аттестации ИСПДн.
35. Основными видами технического контроля на объекте организации являются контроль эффективности защиты информации от утечки по техническим каналам, контроль НСД к информации и программно-технических воздействий на информацию.
36. Полученные в ходе контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации штатный специалист (уполномоченный по защите информации) докладывает начальнику Управления информатизации Администрации города Челябинска, где допущены нарушения, для принятия им решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются актами либо заносятся в соответствующие журналы учета результатов контроля.
37. Невыполнение предписанных мероприятий по защите ПДн считается предпосылкой к утечке информации (далее - предпосылка).
По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию Главы Администрации города Челябинска проводится расследование.
Для проведения расследования назначается комиссия с привлечением штатного специалиста по защите информации. Комиссия обязана установить, имела ли место утечка сведений и обстоятельства ей сопутствующие, лиц, виновных в нарушении предписанных мероприятий по защите информации, причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению.
38. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты. Периодические, плановые и внезапные проверки объектов организации проводятся, как правило, силами штатного специалиста по защите информации с привлечением специалистов Управления информатизации Администрации города Челябинска, в соответствии с утвержденным планом.
39. Одной из форм контроля защиты информации является обследование объектов ИСПДн. Оно проводится не реже одного раза в год рабочей группой в составе штатного специалиста по защите информации с привлечением специалистов Управления информатизации Администрации города Челябинска.
40. Обследование объектов информатизации проводится с целью определения соответствия защищаемых помещений, основных и вспомогательных технических средств и систем требованиям по защите информации, установленным в "Аттестате соответствия".
41. В ходе обследования проверяется:
- соответствие класса обследуемого объекта ИСПДн условиям, сложившимся на момент проверки;
- соблюдение организационно-режимных требований защищаемых помещений;
- сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;
- наличие электробытовой, радио- и телевизионной аппаратуры и устройств непромышленного изготовления, которые могут способствовать возникновению каналов утечки информации;
- выполнение требований предписаний на эксплуатацию основных технических средств, систем по их размещению относительно вспомогательных технических средств, систем организации электропитания и заземления;
- соответствие выполняемых на объекте ИСПДн мероприятий по защите информации данным, изложенным в техническом паспорте;
- выполнение требований по защите автоматизированных систем от НСД;
- выполнение требований по антивирусной защите.
42. Периодический контроль состояния защиты информации осуществляется Федеральной службой по техническому и экспортному контролю России (далее - ФСТЭК России) в соответствии с действующим законодательством Российской Федерации. Доступ представителя указанного федерального органа исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, справки о допуске, а также предписания установленной формы на право проведения проверки.

V. Порядок обучения персонала практике работы в ИСПДн

43. Обучение практике и методике работы в ИСПДн должно быть непрерывным, систематическим, разделенным по категориям, при этом наибольшее внимание следует уделять практике работы пользователя ОБ ИСПДн.
44. Обучение по методике делятся:
- на обучающие занятия;
- инструктажи;
- методическую помощь и практические занятия на месте.
45. Обучающие занятия проводятся на основании годового плана Администрации города Челябинска.
46. Инструктажи, методическая помощь и практические занятия по вопросам ОБ ИСПДн могут проводиться в ходе плановых, периодических и внезапных проверок состояния обеспечения безопасности ИСПДн на местах.
47. Первичные инструктажи проводятся штатным специалистом по защите информации с пользователями ИСПДн при поступлении на работу сотрудника в соответствующий отдел организации, где происходит обработка конфиденциальной информации в ИСПДн.
48. Для проведения занятий могут привлекаться администратор безопасности, специалист отдела информационных технологий Управления информатизации Администрации города Челябинска, а также специалисты органов по аттестации объектов ИСПДн.
49. К работе в ИСПДн допускаются только сотрудники, прошедшие первичный инструктаж по обеспечению безопасности в ИСПДн и показавшие твердые теоретические знания и практические навыки, о чем делается соответствующая запись в журнале учета допуска к работе в ИСПДн.

VI. Порядок проверки
электронного журнала обращений к ИСПДн

50. Настоящий раздел Положения определяет порядок проверки электронного журнала обращений к ИСПДн.
51. Проверка электронного журнала обращений проводится с целью выявления несанкционированного доступа к конфиденциальной информации в ИСПДн.
52. Право проверки электронного журнала обращений имеют:
- специалисты отдела информационных технологий Управления информатизации Администрации города Челябинска;
- администратор безопасности.
53. В ИСПДн, где установлены средства защиты информации, проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ Руководством.
54. В ИСПДн, где защита от несанкционированного доступа реализована организационно-распорядительными мероприятиями, проверка электронного журнала обращений проводится внутренними средствами операционной системы.
55. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлены случаи НСД к информации конфиденциального характера, то вступают в силу пункты 35, 36 данного Положения.

VII. Правила антивирусной защиты

56. Настоящие правила определяют требования к организации защиты объекта ИСПДн от разрушающего воздействия вредоносного программного обеспечения (далее - ПО), вирусов и устанавливают ответственность руководителя и сотрудников, эксплуатирующих и сопровождающих ПЭВМ ОВТ, за их выполнение. Настоящие правила распространяются на все объекты ИСПДн организации.
57. К использованию на ПЭВМ ОВТ допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств, сертифицированные ФСТЭК России.
58. Установка и начальная настройка средств антивирусного контроля на ПЭВМ ОВТ осуществляется администратором безопасности.
59. Администратор безопасности осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности.
60. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, CD-ROM, другие). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
61. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
62. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера администратором безопасности должна быть выполнена антивирусная проверка ИСПДн.
63. На ПЭВМ запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
64. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках) пользователь самостоятельно (или вместе с администратором безопасности) должен провести внеочередной антивирусный контроль своей ПЭВМ.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:
- приостановить обработку данных в ИСПДн;
- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора безопасности, специалиста по защите информации, владельца зараженных файлов, а также смежные отделы, использующие эти файлы в работе;
- совместно с владельцем провести анализ зараженных вирусом файлов и выявить возможность дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов.
65. Ответственность за организацию антивирусного контроля в ИСПДн в соответствии с требованиями настоящего Положения возлагается на штатного специалиста по защите информации организации.
66. Ответственность за проведение мероприятий антивирусной защиты в конкретной ИСПДн Администрации города Челябинска и соблюдение требований настоящего Положения возлагается на администратора безопасности, специалиста по защите информации и всех пользователей данной ИСПДн.

VIII. Правила парольной защиты

67. Данные правила регламентируют организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в ИСПДн, а также контроль действий пользователей при работе с паролями.
68. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль действий пользователей при работе с паролями возлагается на специалистов отдела информационных технологий Управления информатизации Администрации города Челябинска.
69. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ОВТ самостоятельно с учетом следующих требований:
- пароль должен включать не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и (или) специальные символы (@, #, $, &, *, %, другие);
- символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры;
- пароль не должен содержать в себе легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения (ЭВМ, ЛВС, USER, подобные);
- при смене пароля новое значение должно отличаться от предыдущего;
- пользователь не имеет права сообщать личный пароль другим лицам.
Владельцы паролей должны быть ознакомлены с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
70. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и подобной технологической необходимости использования имен и паролей сотрудников (исполнителей) в их отсутствие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение руководителю структурного подразделения. Запечатанные конверты (пеналы) с паролями исполнителей должны храниться в недоступном месте у руководителя структурного подразделения.
71. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 180 дней.
72. Внеплановая смена личного пароля или удаление учетной записи пользователя ОВТ в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) должна производиться администратором безопасности (либо новым постоянным пользователем) немедленно после окончания последнего сеанса работы данного пользователя с системой на основании указания заместителя Главы Администрации города, руководителя аппарата Администрации города Челябинска.
73. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администратора безопасности.
74. В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры по восстановлению парольной защиты.
75. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на руководителя структурного подразделения, администратора безопасности и специалиста по защите информации.

IX. Правила обновления общесистемного и прикладного
программного обеспечения, технического обслуживания ИСПДн

76. Настоящие правила регламентируют обеспечение безопасности информации при проведении обновления, модификации общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе ИСПДн.
77. Все изменения конфигураций технических и программных средств ПЭВМ должны производиться только на основании заявки ответственного за эксплуатацию конкретного ИСПДн.
78. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных ПЭВМ предоставляется:
- в отношении системных и прикладных программных средств - администратору безопасности;
- в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты - уполномоченными сотрудниками органа по аттестации ИСПДн.
79. Изменение конфигурации аппаратно-программных средств ПЭВМ кем-либо, кроме вышеперечисленных уполномоченных сотрудников и подразделений, запрещено.
80. Процедура внесения изменений в конфигурацию системных и прикладных программных средств ПЭВМ инициируется заявкой ответственного за эксплуатацию ИСПДн.
81. В заявке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств ПЭВМ подразделения:
- установка (развертывание) на ПЭВМ программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи) в ИСПДн;
- обновление (замена) на ПЭВМ программных средств, необходимых для решения определенной задачи (обновление версий, используемых для решения определенной задачи программ);
- удаление с ПЭВМ программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на ПЭВМ).
- условное наименование ИСПДн.
82. Наименования задач указываются в соответствии с перечнем задач архива дистрибутивов установленного программного обеспечения, которые можно решать с использованием указанной ПЭВМ.
83. Заявку ответственного за эксплуатацию ИСПДн, в которой требуется произвести изменения конфигурации, рассматривают заместитель Главы Администрации города, руководитель аппарата Администрации города Челябинска и начальник Управления информатизации Администрации города Челябинска, визируют ее, утверждая тем самым производственную необходимость проведения указанных в заявке изменений для непосредственного исполнения работ по внесению изменений в конфигурацию ПЭВМ, указанного в заявке ИСПДн.
84. Подготовка обновления, модификации общесистемного и прикладного программного обеспечения ИСПДн, тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на ПЭВМ (обновление) и удаление системных и прикладных программных средств производятся уполномоченными специалистами. Работы производятся в присутствии ответственного за эксплуатацию данной ИСПДн.
85. Установка или обновление подсистем ИСПДн должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
86. Установка и обновление ПО на ПЭВМ производится только с оригинальных лицензионных дистрибутивных носителей информации, полученных установленным порядком, прикладного ПО - с эталонных копий программных средств, полученных из архива дистрибутивов установленного программного обеспечения.
87. Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность и отсутствие опасных функций.
88. После установки (обновления) ПО администратор безопасности должен настроить средства управления доступом к компонентам ПЭВМ, проверить работоспособность ПО, правильность их настройки и произвести соответствующую запись в журнале учета нештатных ситуаций ПЭВМ, выполнения профилактических работ, установки и модификации программных средств ПЭВМ, сделать отметку о выполнении (на обратной стороне заявки) в Техническом паспорте.
89. Формат записей журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств ПЭВМ:


№ Дата Краткое Ф.И.О. Ф.И.О. Подпись Примечание
п/п описание исполнителей ответственного специалиста (ссылка
выполненной и их подписи за эксплуатацию по защите на заявку)
работы ПЭВМ, подпись информации
(нештатной
ситуации)

1 2 3 4 5 6 7






90. При возникновении ситуаций, требующих передачи ПЭВМ в ремонт, ответственный за ее эксплуатацию докладывает об этом штатному специалисту по защите информации, который в свою очередь связывается с сотрудниками органа по аттестации. В данном случае администратор безопасности обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на основании которых производились изменения в состав программных средств ПЭВМ с отметками о внесении изменений, должны храниться вместе с техническим паспортом на ИСПДн и журналом учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств ПЭВМ у уполномоченного по защите информации организации.
91. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью специалиста по защите информации и сотрудника, ответственного за эксплуатацию данной ИСПДн.
92. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на ПЭВМ конкретной ИСПДн, должно быть присвоено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать на данной ПЭВМ.
93. Использование несколькими сотрудниками при работе на ПЭВМ одного и того же имени пользователя (группового имени) запрещено.
94. Процедура регистрации (создания учетной записи) пользователя и предоставления ему (или изменения его) прав доступа к ресурсам ИСПДн инициируется заявкой ответственного за эксплуатацию данной ИСПДн.
В заявке указываются:
- содержание запрашиваемых изменений (регистрация нового пользователя ПЭВМ, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ПЭВМ ранее зарегистрированного пользователя);
- должность (с полным наименованием отдела), фамилия, имя и отчество сотрудника;
- имя пользователя (учетной записи) данного сотрудника;
- полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач в ИСПДн).
95. Заявку рассматривают руководитель структурного подразделения, начальник отдела информационных технологий и специалист по защите информации. Согласовывают ее, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных в заявке задач ресурсам ИСПДн. Затем администратор безопасности вносит необходимые изменения в списки пользователей соответствующих подсистем ПЭВМ.
96. На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор безопасности производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля (возможно также регистрации персонального идентификатора), заявленных прав доступа к ресурсам ИСПДн и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 180 дней.
97. После внесения изменений в списки пользователей администратор безопасности должен обеспечить настройки средств защиты, с соответствующей категорией защиты указанной ИСПДн. По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписью исполнителя - администратора безопасности.
98. Сотруднику, зарегистрированному в качестве нового пользователя ИСПДн, сообщается имя соответствующего ему пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации).
99. Исполненные заявка и задание (за подписью администратора безопасности) передаются специалисту по защите информации на хранение.
Они могут впоследствии использоваться:
- для восстановления полномочий пользователей после аварий ПЭВМ;
- контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;
- проверки сотрудниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам ИСПДн.

X. Порядок контроля соблюдения условий
использования средств защиты информации

100. Данный раздел Положения определяет порядок контроля соблюдения условий использования средств защиты информации.
101. Технические средства защиты информации являются важным компонентом ОБ ПДн.
102. Порядок работы с техническими СЗИ определен в соответствующих инструкциях, руководстве по настройке и использованию СЗИ, обязательных для исполнения как сотрудниками, обрабатывающими конфиденциальную информацию, так и администратором безопасности ИСПДн.
103. Право проверки соблюдения условий использования средств защиты информации имеют специалисты отдела информационных технологий Управления информатизации Администрации города Челябинска.
104. Пользователю ИСПДн категорически запрещается обработка конфиденциальной информации с отключенными СЗИ.
105. Администратору безопасности запрещается менять настройки программно-аппаратных СЗИ, предустановленные сотрудником органа по аттестации в ходе настройки системы ОБ ПДн при аттестации ИСПДн.
106. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлено нарушение требования пункта 103, то вступают в силу пункты 34, 35 данного Положения.

XI. Порядок охраны и допуска
посторонних лиц в защищаемые помещения

107. Настоящее Положение устанавливает порядок охраны (сдачи под охрану) защищаемых помещений ИСПДн.
108. Вскрытие и закрытие помещений осуществляется сотрудниками, работающими в данных помещениях.
109. При отсутствии сотрудников, ответственных за вскрытие (сдачу под охрану) помещений, данные помещения могут быть вскрыты комиссией, созданной на основании распоряжения заместителя Главы Администрации города, руководителя аппарата Администрации города Челябинска, о чем составляется акт.
110. При закрытии помещений и сдачи их под охрану сотрудники, ответственные за помещения, проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации, на которых содержится конфиденциальная информация, помещают для хранения в опечатываемый сейф (металлический шкаф).
111. Помещение сдается под охрану следующим образом:
- опечатывается помещение и пенал с ключами;
- получается подтверждение с поста охраны о включении сигнализации и постановке помещения под охранную сигнализацию;
- факт опечатывания помещения подтверждается охранником;
- сдается помещение и пенал с ключами под роспись с указанием даты и времени сдачи под охрану.
112. Сотрудник, имеющий право на вскрытие помещений:
- получает на посту охраны пенал с ключами от помещения под роспись в журнале приема (сдачи) под охрану режимных помещений и ключей от них с указанием фамилии, даты и времени;
- производит запись в журнале о вскрытии помещения с указанием фамилии и времени;
- проверяет оттиск печати на двери помещения и исправность запоров;
- вскрывает помещение.
113. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт в присутствии охранника. О происшествии немедленно сообщается заместителю Главы Администрации города, руководителю аппарата Администрации города Челябинска.
Одновременно принимаются меры по охране места происшествия, и до прибытия специалиста по защите информации и администратора безопасности в помещение никто не допускается.
114. Специалист по защите информации и администратор безопасности организуют проверку АРМ, ИСПДн на предмет несанкционированного доступа к конфиденциальной информации и наличие документов и машинных носителей информации, о чем докладывается непосредственно заместителю Главы Администрации города, руководителю аппарата Администрации города Челябинска.
115. При срабатывании охранной сигнализации в служебных помещениях в нерабочее время сотрудник охраны сообщает о случившемся ответственному за помещение. Помещения вскрывать запрещается.
116. Помещения вскрываются ответственным за помещение в присутствии сотрудника охраны с составлением акта.
117. При передаче дежурства, если помещение в течение дня не вскрывалось, а также в выходные и праздничные дни принимающая дежурство смена поста охраны проверяет целостность печатей на дверях с записью в журнале приема и сдачи дежурства и журнале приема (сдачи) под охрану режимных помещений и ключей от них.
118. В соответствии с требованиями данного Положения при обработке конфиденциальной информации в ИСПДн исключить неконтролируемое пребывание посторонних лиц в пределах границ контролируемой зоны ИСПДн, определенной Техническим паспортом, ограждающими конструкциями и межэтажными перекрытиями кабинета.

XII. Заключительные положения

Требования настоящего Положения обязательны для всех сотрудников, обрабатывающих конфиденциальную информацию.
119. Нарушение требований настоящего Положения влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Начальник
Управления информатизации
Администрации
города Челябинска
Д.М.ЕРЕМИН


------------------------------------------------------------------