|  |
ПОСТАНОВЛЕНИЕ главы городского округа Серпухов МО от 26.09.2006 № 2053
"О МЕРАХ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ"
(вместе с "ПОЛОЖЕНИЕМ ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АДМИНИСТРАЦИИ ГОРОДА СЕРПУХОВА", "ИНСТРУКЦИЕЙ ПОЛЬЗОВАТЕЛЮ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ", "ИНСТРУКЦИЕЙ ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ АДМИНИСТРАЦИИ ГОРОДА СЕРПУХОВА", "ИНСТРУКЦИЕЙ ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ АДМИНИСТРАЦИИ ГОРОДА СЕРПУХОВА", "ИНСТРУКЦИЕЙ ПО УСТАНОВКЕ, МОДИФИКАЦИИ И ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И АППАРАТНЫХ СРЕДСТВ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ АДМИНИСТРАЦИИ ГОРОДА СЕРПУХОВА", "ИНСТРУКЦИЕЙ ПО ВНЕСЕНИЮ ИЗМЕНЕНИЙ В СПИСКИ ПОЛЬЗОВАТЕЛЕЙ И НАДЕЛЕНИЮ ИХ ПОЛНОМОЧИЯМИ ДОСТУПА К РЕСУРСАМ АС ОТРАСЛЕВЫХ И ФУНКЦИОНАЛЬНЫХ ОРГАНОВ АДМИНИСТРАЦИИ ГОРОДА СЕРПУХОВА")
Официальная публикация в СМИ:
публикаций не найдено
ГЛАВА ГОРОДСКОГО ОКРУГА СЕРПУХОВ
МОСКОВСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 26 сентября 2006 г. № 2053
О МЕРАХ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В целях обеспечения надлежащего режима конфиденциальности работ и в соответствии с требованиями руководящих документов по защите информации, руководствуясь Федеральным законом № 149-ФЗ от 27.07.2006 "Об информации, информационных технологиях и о защите информации", на основании Устава города Серпухова постановляю:
1. Утвердить:
1.1. Положение об информационной безопасности администрации города Серпухова (прилагается).
1.2. Инструкцию пользователю автоматизированной системы (прилагается).
1.3. Инструкцию об организации парольной защиты автоматизированной системы (прилагается).
1.4. Инструкцию об организации антивирусной защиты в автоматизированной системе (прилагается).
1.5. Инструкцию по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы (прилагается).
1.6. Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы (прилагается).
1.7. Инструкцию пользователю компьютерной сетью (не приводится).
2. Руководителям отраслевых и функциональных органов администрации города Серпухова назначить ответственных за обеспечение информационной безопасности.
3. Общее методическое руководство и контроль за исполнением Положения об информационной безопасности возложить на управляющего делами администрации города Серпухова (Е.Н. Шеметилло).
4. Начальнику отдела по управлению персоналом (Калмыкова) организовать обучение ответственных за информационную безопасность в Московском областном учебном центре "Нахабино".
5. Контроль за выполнением настоящего постановления возложить на заместителя главы администрации В.А. Калачева.
Глава города
П.В. Жданов
Утверждено
постановлением главы
городского округа Серпухов
Московской области
от 26 сентября 2006 г. № 2053
ПОЛОЖЕНИЕ
ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АДМИНИСТРАЦИИ
ГОРОДА СЕРПУХОВА
Основные положения распространяются на все отраслевые и функциональные органы администрации города Серпухова (в дальнейшем - Администрация), в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, служебную тайну или персональные данные, а также на органы, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования автоматизированной системы (АС) Администрации.
1. Основные термины и определения
Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации (Администрации).
Защищаемые ресурсы автоматизированной системы (ресурсы АС, подлежащие защите) - информация, функциональные задачи, каналы передачи информации, автоматизированные рабочие места, подлежащие защите с целью обеспечения информационной безопасности Администрации, ее клиентов и корреспондентов.
Защищаемое автоматизированное рабочее место (АРМ) - объект защиты (персональный компьютер с соответствующим набором программных средств и данных), для которого признана необходимость установления регламентированного режима обработки информации и характеризуемого:
- местоположением, а также степенью его физической доступности для посторонних лиц (посетителей, сотрудников, не допущенных к работе с АРМ и т.п.);
- составом аппаратных средств;
- составом программных средств и решаемых на нем задач (определенных категорий доступности);
- составом хранимой и обрабатываемой на АРМ информации (определенных категорий конфиденциальности и целостности).
Формуляр АРМ - документ установленной формы (приложение 1), фиксирующий характеристики АРМ (местоположение, конфигурацию аппаратных и программных средств, перечень решаемых на АРМ задач и др.) и удостоверяющий возможность эксплуатации данного АРМ (свидетельствующий о выполнении требований по защите обрабатываемой на АРМ информации в соответствии с категорией данного АРМ).
Защищаемая задача - функциональная задача, решаемая на отдельном АРМ, для которой признана необходимость установления регламентированного режима обработки информации, и характеризуемая:
- совокупностью используемых при решении ресурсов (программных средств, наборов данных, устройств);
- периодичностью решения;
- максимально допустимым временем задержки получения результата решения задачи.
Защищаемый канал передачи информации - путь, по которому передается защищаемая информация. Каналы делятся на физические (от одного устройства к другому) и логические (от одной задачи к другой).
Конфиденциальность информации - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.
Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
Доступность информации (задачи) - свойство системы обработки (среды), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации (при наличии у субъектов соответствующих полномочий на доступ) и готовность соответствующих автоматизированных служб (функциональных задач) к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.
Ответственность за составление и ведение перечней ресурсов АС возлагается:
- в части составления и ведения перечня АРМ (с указанием их размещения, закрепления за органами Администрации, состава и характеристик, входящих в его состав технических средств) - на отдел технического обслуживания вычислительной техники УИ;
- в части составления и ведения перечня системных и прикладных (специальных) задач, решаемых на АРМ (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией), - на отдел внедрения программных средств и сопровождения электронных технологий и отдел эксплуатации ПЭВМ УИ.
Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности конкретных АРМ (информационным ресурсам и задачам) возлагается на органы Администрации, которые непосредственно решают задачи на данных АРМ (владельцев информации).
Утверждение назначенных в соответствии с настоящим Положением категорий информационных ресурсов АС производится руководителем Администрации.
2. Категории защищаемой информации
Исходя из необходимости обеспечения различных уровней защиты разных видов информации, хранимой и обрабатываемой в АС, а также с учетом возможных путей нанесения ущерба Администрации, ее клиентам и корреспондентам вводится три категории конфиденциальности защищаемой информации и три категории целостности защищаемой информации.
Категории конфиденциальности защищаемой информации:
- "высокая" - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства Российской Федерации (банковская тайна, персональные данные);
- "низкая" - к данной категории относится конфиденциальная информация, не отнесенная к категории "высокая", ограничения на распространение которой вводятся решением руководства Администрации в соответствии с предоставленными ей как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами;
- "нет требований" - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.
3. Категории функциональных задач
3.1. В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени доступности функциональных задач.
Требуемые степени доступности функциональных задач:
- "беспрепятственная доступность" - к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);
- "высокая доступность" - доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);
- "средняя доступность" - доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);
- "низкая доступность" - временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).
3.2. В зависимости от обобщенной категории защищаемой информации, используемой при решении задачи, и требуемой степени доступности задачи устанавливаются четыре категории функциональных задач: "первая", "вторая", "третья" и "четвертая" (в соответствии с таблицей 1).
Таблица 1
--------------------------------------------------------------------------¬
¦Определение категории функциональной задачи ¦
+---------------T---------------------------------------------------------+
¦Обобщенная ¦Требуемая степень доступности задачи ¦
¦категория +------------------T------------T------------T------------+
¦информации ¦"Беспрепятственная¦"Высокая ¦"Средняя ¦"Низкая ¦
¦ ¦доступность" ¦доступность"¦доступность"¦доступность"¦
+---------------+------------------+------------+------------+------------+
¦"Жизненно ¦ ¦ ¦ ¦ ¦
¦важная" ¦ 1¦ 1¦ 2¦ 2¦
+---------------+------------------+------------+------------+------------+
¦"Очень важная" ¦ 1¦ 2¦ 2¦ 3¦
+---------------+------------------+------------+------------+------------+
¦"Важная" ¦ 2¦ 2¦ 3¦ 3¦
+---------------+------------------+------------+------------+------------+
¦"Неважная" ¦ 2¦ 3¦ 3¦ 4¦
L---------------+------------------+------------+------------+-------------
4. Категории АРМ
4.1. В зависимости от категорий решаемых на АРМ задач устанавливаются четыре категории АРМ: "A", "B", "C" и "D".
4.2. К группе АРМ категории "A" относятся АРМ, на которых решается хотя бы одна функциональная задача первой категории. Категории остальных задач, решаемых на данном АРМ, не должны быть ниже второй.
4.3. К группе АРМ категории "B" относятся АРМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном АРМ, должны быть не ниже третьей и не выше второй.
4.4. К группе АРМ категории "C" относятся АРМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном АРМ, должны быть не выше третьей.
4.5. К группе АРМ категории "D" относятся АРМ, на которых решаются функциональные задачи только четвертой категории.
5. Порядок реализации Положения об информационной безопасности
Общее методическое руководство и контроль за исполнением Положения об информационной безопасности возлагаются на управляющего делами Администрации города Серпухова.
Начальник отдела по управлению персоналом обязан организовать обучение ответственных за информационную безопасность в Московском областном учебном центре "Нахабино".
Контроль за выполнением Положения возлагается на заместителя главы города.
Ответственный за информационную безопасность должен обеспечить выполнение Положения всеми сотрудниками своего органа.
Каждый сотрудник органов Администрации, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным автоматизированной системы, несет персональную ответственность за свои действия и следовать ниже перечисленным инструкциям:
- Инструкция по регламентации работы пользователей локальной вычислительной сети предназначена для руководителей и сотрудников Администрации города Серпухова и регулирует порядок допуска пользователей к работе в ЛВС, а также правила обращения с защищаемой информацией баз данных, обрабатываемой, хранимой и передаваемой в ЛВС;
- Инструкция по организации парольной защиты автоматизированной системы регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями;
- Инструкция по организации антивирусной защиты определяет требования к организации защиты автоматизированной системы от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников органов, эксплуатирующих и сопровождающих АС администрации, за их выполнение;
- Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы регламентируется взаимодействием отраслевых и функциональных органов Администрации по обеспечению безопасности информации при проведении модификаций программного обеспечения, технического обслуживания средств вычислительной техники и при возникновении нештатных ситуаций в работе автоматизированной системы Администрации;
- Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС регламентирует соблюдение принципа персональной ответственности за свои действия каждому сотруднику органа Администрации , допущенному к работе с конкретной подсистемой АС, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в системе.
Приложение 1
к Положению
ФОРМУЛЯР АРМ
-------------T-----T-------------T-----------T------------T------------T-------T--------T---------¬
¦Пользователь¦Номер¦Подразделение¦Инвентарный¦Вид ¦Наименование¦Дата ¦Фирма, ¦Дата ¦
¦ ¦АРМ ¦ ¦ ¦оборудования¦ ¦покупки¦продавец¦окончания¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦гарантии ¦
+------------+-----+-------------+-----------+------------+------------+-------+--------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+-----+-------------+-----------+------------+------------+-------+--------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+-----+-------------+-----------+------------+------------+-------+--------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+-----+-------------+-----------+------------+------------+-------+--------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+-----+-------------+-----------+------------+------------+-------+--------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+-----+-------------+-----------+------------+------------+-------+--------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
L------------+-----+-------------+-----------+------------+------------+-------+--------+----------
ОТМЕТКИ
О ПРОВЕДЕНИИ РЕМОНТНЫХ И ПРОФИЛАКТИЧЕСКИХ РАБОТ
----------------T---------------------T-------------------T---------------¬
¦Дата проведения¦Результаты проведения¦Подпись исполнителя¦Особые отметки,¦
¦ ¦ ¦ ¦рекомендации ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
+---------------+---------------------+-------------------+---------------+
¦ ¦ ¦ ¦ ¦
L---------------+---------------------+-------------------+----------------
Утверждена
постановлением главы
городского округа Серпухов
Московской области
от 26 сентября 2006 г. № 2053
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЮ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
Общие обязанности сотрудников Администрации города Серпухова
по обеспечению информационной безопасности при работе
с автоматизированной системой
Каждый сотрудник отраслевых и функциональных органов администрации города Серпухова (в дальнейшем - Администрация), участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным автоматизированной системы (АС), несет персональную ответственность за свои действия и обязан:
- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
- знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции (РС);
- хранить в тайне свой пароль (пароли). В соответствии с Инструкцией по организации парольной защиты автоматизированной системы с установленной периодичностью менять свой пароль (пароли);
- выполнять требования Инструкции по организации антивирусной защиты в АС в части, касающейся действий пользователей РС АС;
- немедленно вызывать ответственного за безопасность информации в подразделении и ставить в известность руководителя подразделения в случае утери персональной ключевой дискеты, индивидуального устройства идентификации Touch Memory или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
- нарушений целостности пломб (наклеек, нарушении или несоответствии
номеров печатей) на аппаратных средствах РС или иных фактов совершения в
его отсутствие попыток несанкционированного доступа (НСД) к защищенной РС;
- несанкционированных (произведенных с нарушением установленного
порядка) изменений в конфигурации программных или аппаратных средств РС;
- отклонений в нормальной работе системных и прикладных программных
средств, затрудняющих эксплуатацию РС, выхода из строя или неустойчивого
функционирования узлов РС или периферийных устройств (дисководов, принтера
и т.п.), а также перебоев в системе электроснабжения;
- некорректного функционирования установленных на РС технических
средств защиты;
- не предусмотренных формуляром РС отводов кабелей и подключенных
устройств;
- присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним РС в органе.
Сотрудникам Администрации города Серпухова категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения АС Администрации в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций;
- осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации (гибких магнитных дисках и т.п.);
- оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
- передавать кому-либо свою персональную ключевую дискету (кроме ответственного за информационную безопасность или руководителя своего органа установленным порядком), делать неучтенные копии ключевой дискеты (на любой другой носитель), снимать с дискеты защиту записи и вносить какие-либо изменения в файлы ключевой дискеты;
- использовать свою ключевую дискету для формирования цифровой подписи любых электронных документов, кроме регламентированных технологическим процессом на его рабочем месте;
- оставлять без личного присмотра на рабочем месте или где бы то ни было свою персональную ключевую дискету, персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок ставить в известность ответственного за безопасность информации и руководителя своего органа.
Утверждена
постановлением главы
городского округа Серпухов
Московской области
от 26 сентября 2006 г. № 2053
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ
СИСТЕМЫ АДМИНИСТРАЦИИ ГОРОДА СЕРПУХОВА
Данная Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе Администрации города Серпухова (АС Администрации), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС Администрации и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагаются на сотрудников отдела развития информационных сетей и технологий (ОРИСиТ) - администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
- личный пароль пользователь не имеет права сообщать никому.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
3. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников ОРИСиТ. Для генерации "стойких" значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников ОРИСиТ, а также ответственных за информационную безопасность в органах с паролями других сотрудников отраслевых и функциональных органов Администрации (исполнителей).
4. При наличии в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность органу (руководителю своего органа). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей).
5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц.
6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри территориального органа Администрации и т.п.) должна производиться уполномоченными сотрудниками ОРИСиТ - администраторами соответствующих средств защиты немедленно после окончания последнего сеанса работы данного пользователя с системой.
7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри территориального органа Администрации и другие обстоятельства) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС.
8. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 6 или п. 7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
9. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя органа в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory).
10. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в органах (руководителей подразделений), периодический контроль возлагается на сотрудников ОРИСиТ - администраторов средств парольной защиты.
Утверждена
постановлением главы
городского округа Серпухов
Московской области
от 26 сентября 2006 г. № 2053
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ В АВТОМАТИЗИРОВАННОЙ
СИСТЕМЕ АДМИНИСТРАЦИИ ГОРОДА СЕРПУХОВА
Настоящая Инструкция определяет требования к организации защиты автоматизированной системы (в дальнейшем - АС) администрации города Серпухова (в дальнейшем - Администрация) от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников отраслевых и функциональных органов, эксплуатирующих и сопровождающих АС администрации, за их выполнение.
К использованию в Администрации допускаются только лицензионные антивирусные средства, централизованно закупленные отделом программного обеспечения у разработчиков (поставщиков) указанных средств.
Установка средств антивирусного контроля на компьютерах (серверах ЛВС АС Администрации) осуществляется уполномоченными сотрудниками отдела развития информационных сетей и технологий в соответствии с Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы Администрации. Настройка параметров средств антивирусного контроля осуществляется сотрудниками отдела в соответствии с руководствами по применению конкретных антивирусных средств.
Применение средств антивирусного контроля
Ежедневно в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов РС.
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
Установка (изменение) системного и прикладного программного обеспечения осуществляется на основании Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы Администрации. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено отделом программного обеспечения на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети) должна быть выполнена антивирусная проверка:
- на защищаемых серверах и РС - ответственным за обеспечение информационной безопасности;
- на других серверах и РС АС Администрации, не требующих защиты, - лицом, установившим (изменившим) программное обеспечение, - в присутствии и под контролем руководителя данного отраслевого и функционального органа или сотрудника, им уполномоченного.
При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник органа самостоятельно или вместе с ответственным за обеспечение безопасности информации органа (технологического участка) должен провести внеочередной антивирусный контроль своей рабочей станции. При необходимости привлечь специалистов отдела программного обеспечения для определения ими факта наличия или отсутствия компьютерного вируса.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники органов обязаны:
- приостановить работу;
- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя и ответственного за обеспечение информационной безопасности своего отраслевого и функционального органа, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
- совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь специалистов отдела программного обеспечения);
- в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, направить зараженный вирусом файл на гибком магнитном диске в отдел программного обеспечения для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку ;
- по факту обнаружения зараженных вирусом файлов составить служебную записку в отдел программного обеспечения, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия.
Ответственность
Ответственность за организацию антивирусного контроля в органах, эксплуатирующих АС Администрации, в соответствии с требованиями настоящей Инструкции возлагается на руководителя отраслевого и функционального органа.
Ответственность за проведение мероприятий антивирусного контроля в органах и соблюдение требований настоящей Инструкции возлагается на ответственного за обеспечение безопасности информации и всех сотрудников органов, являющихся пользователями АС Администрации.
Периодический контроль за состоянием антивирусной защиты в АС Администрации, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции сотрудниками органов Администрации осуществляется отделом программного обеспечения.
Утверждена
постановлением главы
городского округа Серпухов
Московской области
от 26 сентября 2006 г. № 2053
ИНСТРУКЦИЯ
ПО УСТАНОВКЕ, МОДИФИКАЦИИ И ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И АППАРАТНЫХ СРЕДСТВ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ АДМИНИСТРАЦИИ ГОРОДА СЕРПУХОВА
Настоящей Инструкцией регламентируется взаимодействие отраслевых и функциональных органов администрации города Серпухова (в дальнейшем - Администрация) по обеспечению безопасности информации при проведении модификаций программного обеспечения, технического обслуживания средств вычислительной техники и при возникновении нештатных ситуаций в работе автоматизированной системы структурных подразделений Администрации.
Все изменения конфигурации технических и программных средств защищенных рабочих станций (РС) и серверов АС должны производиться только на основании заявок начальников отраслевых и функциональных органов Администрации либо заявок начальника отдела программного обеспечения (ОПО).
Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС отраслевых и функциональных органов Администрации предоставляется:
- в отношении системных и прикладных программных средств - уполномоченным сотрудникам отдела программного обеспечения;
- в отношении программно-аппаратных средств защиты - уполномоченным сотрудникам отдела развития информационных сетей и технологий;
- в отношении программно-аппаратных средств телекоммуникации - уполномоченным сотрудникам отдела развития информационных сетей и технологий.
Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных органов, запрещено.
Право внесения изменений в конфигурацию аппаратно-программных средств РС АС Администрации, не требующих защиты, предоставляется как сотрудникам отдела программного обеспечения (на основании служебных записок), так и сотрудникам органов, в которых они установлены, на основании распоряжений начальников данных органов.
Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и РС системы инициируется заявкой руководителя данного органа либо заявкой начальника отдела программного обеспечения.
Заявка руководителя отдела программного обеспечения, которое отвечает за плановое проведение изменений (обновлений версий) ПО, оформляется на имя руководителя органа (подразделений), использующего (использующих) подсистему АС, требующую модификации.
В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств РС и серверов органа:
- установка в подразделении новой ПЭВМ (развертывание новой РС или сервера);
- замена ПЭВМ (РС или сервера органа);
- добавление устройства (узла, блока) в состав конкретной РС или сервера органа;
- замена устройства (узла, блока) в составе конкретной РС или сервера органа;
- изъятие устройства (узла, блока) из состава конкретной РС или сервера;
- установка (развертывание) на конкретной РС или сервере программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной РС или сервере);
- обновление (замена) на конкретной РС или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);
- удаление с конкретной РС или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной РС).
Установка, изменение (обновление) и удаление системных и прикладных программных средств производятся уполномоченными сотрудниками отдела программного обеспечения.
Установка или обновление подсистем АС отраслевых и функциональных органов Администрации должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
Модификация программного обеспечения на сервере осуществляется уполномоченными сотрудниками ОПО обязательно в присутствии уполномоченного сотрудника отдела развития информационных сетей и технологий (ОРИСиТ). После проведения модификации ПО на рабочих станциях сотрудник ОА проводит антивирусный контроль.
Установка и обновление общего ПО (системного, тестового и т.п.) на рабочие станции и серверы производятся с оригинальных лицензионных дистрибутивных носителей (дискет, компакт-дисков и т.п.), полученных установленным порядком, а прикладного ПО - с эталонных копий программных средств. При необходимости (в случае установки части компонента на дисках сетевых серверов) к работам привлекаются администраторы сети (серверов) и администраторы баз данных.
Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций.
При изъятии РС из состава рабочих станций органа ее передача на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после того, как специалист службы ОРИСиТ снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью ответственного за информационную безопасность в подразделении. Форма акта приведена ниже (не приводится).
Допуск новых пользователей к решению задач с использованием вновь развернутого ПО (либо изменение их полномочий доступа) осуществляется согласно Инструкции по внесению изменений в списки пользователей системы и наделению пользователей полномочиями доступа к ресурсам АС отраслевых и функциональных органов администрации города Серпухова.
ПОРЯДОК
ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ И РЕМОНТА ТЕХНИЧЕСКИХ СРЕДСТВ
РС АС ОРГАНИЗАЦИИ
Техническое обслуживание и ремонтные работы на технических средствах ПЭВМ РС должны осуществляться только уполномоченными сотрудниками ОРИСиТ, назначенными ответственными за их обслуживание (сопровождение). Их вызов осуществляется сотрудниками органа, эксплуатирующего РС, при возникновении нештатных ситуаций.
К нештатным ситуациям относятся:
- выход из строя или неустойчивое функционирование узлов ПЭВМ или периферийных устройств (например, дисковода, принтера) РС;
- выход из строя системы электроснабжения РС.
Техническое обслуживание и регламентные работы могут проводиться в плановом порядке. В этом случае работы проводятся на основании утвержденных руководством и согласованных со ОРИСиТ заявок.
Ответственность за соблюдение требований по обеспечению безопасности информации при проведении технического обслуживания и ремонтных работ на ПЭВМ возлагается на руководителя отраслевых и функциональных органов.
Уполномоченные сотрудники отдела программного обеспечения имеют право доступа к РС для разбора нештатных ситуаций без участия сотрудников ОРИСиТ при обнаружении сбоев в их работе только для тестирования ПЭВМ с использованием установленных на РС (в сети) тестовых средств.
При необходимости осуществления изменений аппаратно-программной конфигурации РС соответствующие работы выполняются с соблюдением требований Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы Администрации.
Начальнику отдела
развития информационных сетей
и технологий
ЗАЯВКА
Прошу: ____________________________________________________________________
(в этом поле, уважаемые коллеги, укажите суть вашей проблемы и (или)
___________________________________________________________________________
те действия, которые вы ожидаете от специалистов нашего комитета, например,
___________________________________________________________________________
произвести ремонт, произвести установку ПО, произвести
___________________________________________________________________________
настройку, подключить...)
В кабинете № _______________ ______________________________________________
(в этом поле, пожалуйста, укажите
___________________________________________________________________________
название вашего подразделения)
Внешнее проявление неисправности __________________________________________
(это поле заполнять необязательно,
___________________________________________________________________________
но мы будем признательны, если вы это сделаете)
"__" ___________ 2006 г. _____________________ __________________________
(подпись руководителя (Фамилия И.О. руководителя
подразделения) подразделения)
___________________________________________________________________________
Выполнено: "__" ______ 2006 г. ____________________________________________
(Фамилия И.О. и подпись сотрудника комитета)
Утверждена
постановлением главы
городского округа Серпухов
Московской области
от 26 сентября 2006 г. № 2053
ИНСТРУКЦИЯ
ПО ВНЕСЕНИЮ ИЗМЕНЕНИЙ В СПИСКИ ПОЛЬЗОВАТЕЛЕЙ И НАДЕЛЕНИЮ ИХ
ПОЛНОМОЧИЯМИ ДОСТУПА К РЕСУРСАМ АС ОТРАСЛЕВЫХ
И ФУНКЦИОНАЛЬНЫХ ОРГАНОВ АДМИНИСТРАЦИИ
ГОРОДА СЕРПУХОВА
С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику отраслевого и функционального органа администрации города Серпухова (в дальнейшем - Администрация), допущенному к работе с конкретной подсистемой АС отраслевого и функционального органа Администрации, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в системе. Некоторым сотрудникам в случае производственной необходимости могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в АС одного и того же имени пользователя ("группового имени") запрещено.
Процедура регистрации (создания учетной записи) пользователя для сотрудника отраслевого и функционального администрации г. Серпухова и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой начальника органа (отдела, сектора), в котором работает данный сотрудник. Форма заявки приведена ниже.
В заявке указывается:
- содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);
- должность (с полным наименованием отраслевого и функционального органа), фамилия, имя и отчество сотрудника;
- имя пользователя (учетной записи) данного сотрудника;
- полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях АС). Наименования задач должны указываться в соответствии с формулярами задач, наименования РС - в соответствии с формулярами рабочих станций.
Заявку визирует вышестоящий руководитель отраслевого и функционального органа Администрации, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных задач ресурсам АС.
На основании заявки (задания) администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов программ - АЭД) и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам АС, включению его в соответствующие задачам группы пользователей и другие необходимые действия. Учетные записи всех пользователей должны быть "привязаны" к конкретным рабочим станциям (к номерам сетевых карт) или к сегменту сети (группе рабочих станций). Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в месяц. Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных и (при необходимости) системный администратор серверов баз данных.
Уполномоченный сотрудник отдела развития информационных сетей и технологий (в дальнейшем - ОРИСиТ) в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД ("Secret Net") производит необходимые операции по созданию нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора Touch Memory) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.
После внесения изменений в списки пользователей уполномоченный сотрудник должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться согласно Порядку проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесения изменений в списки пользователей.
По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - администраторов сети, баз данных, администратора серверов приложений и администратора СЗИ НСД.
Исполненные заявки могут находиться также в ОРИСиТ. Они могут впоследствии использоваться:
- для восстановления и полномочий пользователей после аварий в АС;
- для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам системы при разборе конфликтных ситуаций;
- для проверки сотрудниками ООБИ правильности настройки средств разграничения доступа к ресурсам системы.
Начальнику Управления
(резолюция начальника Управления)
ЗАЯВКА
НА ВНЕСЕНИЕ ИЗМЕНЕНИЙ В СПИСКИ ПОЛЬЗОВАТЕЛЕЙ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОТРАСЛЕВОГО И
ФУНКЦИОНАЛЬНОГО ОРГАНА АДМИНИСТРАЦИИ Г. СЕРПУХОВА
И НАДЕЛЕНИЕ ПОЛЬЗОВАТЕЛЕЙ ПОЛНОМОЧИЯМИ ДОСТУПА
К РЕСУРСАМ СИСТЕМЫ
Прошу зарегистрировать пользователем (исключить из списка
пользователей, изменить полномочия пользователя) АС _______________________
(ненужное зачеркнуть)
___________________________________________________________________________
(должность с указанием отраслевого и функционального органа)
__________________________________________________________________________,
(фамилия, имя и отчество сотрудника)
предоставив ему полномочия, необходимые (лишив его полномочий, необходимых)
(ненужное зачеркнуть)
для решения задач: ________________________________________________________
(список задач согласно формулярам задач)
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
_______________________________________ на следующих рабочих станциях (РС):
___________________________________________________________________________
(перечень условных наименований РС отраслевого
___________________________________________________________________________
и функционального органа согласно их формулярам)
___________________________________________________________________________
Начальник _____________________________________________________________
(наименование заказывающего органа)
"___" __________ 200_ г. _____________________ ___________________________
(подпись) (фамилия)
ЗАДАНИЕ
на внесение изменений в списки пользователей АС
Администраторам средств защиты Администратору средств защиты
серверов и баз данных от НСД
___________________________________ ___________________________________
(фамилии и инициалы исполнителей) (фамилия и инициалы исполнителя)
___________________________________
___________________________________
Произвести изменения в списках Произвести изменения в списках
пользователей серверов и баз пользователей указанных РС
данных
Начальник __ отдела (автоматизации) Руководитель службы (начальник
отдела) обеспечения безопасности
информации
"___" __________ 200_ г. "___" __________ 200_ г.
------------------------------------------------------------------
--------------------
| | |
|
