МЭР ГОРОДА ХАБАРОВСКА
ПОСТАНОВЛЕНИЕ
от 09 апреля 2002 г. N 396
О СОХРАННОСТИ И ЗАЩИТЕ ЭЛЕКТРОННЫХ
ИНФОРМАЦИОННЫХ РЕСУРСОВ
В целях определения единых требований для проведения
организационно - технических мероприятий по обеспечению
сохранности и защите конфиденциальных и открытых информационных
ресурсов, обрабатываемых на персональных компьютерах, постановляю:
1. Утвердить Положение по обеспечению сохранности и защите
электронных информационных ресурсов в структурных подразделениях
администрации г. Хабаровска согласно приложению.
2. Председателям комитетов по управлению округами
администрации г. Хабаровска (Ващишин С.А., Казаков В.П.,
Фокин А.М., Чмелев В.К.), директору Департамента архитектуры,
строительства и землепользования (Новицкий В.А.), директору
Департамента муниципальной собственности (Лебеда В.Ф.), начальнику
финансового департамента (Соколов В.Е.) в месячный срок с момента
подписания настоящего постановления внести соответствующие
изменения во внутренние руководящие документы на основе Положения
по обеспечению сохранности и защите электронных информационных
ресурсов в структурных подразделениях администрации г. Хабаровска.
3. Методическое руководство и контроль за выполнением
настоящего постановления возложить на вице - мэра города
Казаченко В.П.
4. Настоящее постановление вступает в силу со дня его
подписания.
Мэр города
А.Н.Соколов
Приложение
к постановлению
мэра города Хабаровска
от 09 апреля 2002 г. N 396
ПОЛОЖЕНИЕ
ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ И ЗАЩИТЕ
ЭЛЕКТРОННЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ
В СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЯХ
АДМИНИСТРАЦИИ Г. ХАБАРОВСКА
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение разработано в соответствии с
Федеральным законом от 20.02.95 N 24-ФЗ "Об информации,
информатизации и защите информации", Доктриной информационной
безопасности Российской Федерации, постановлением Губернатора
Хабаровского края от 05.03.2002 N 131 "О сохранности и защите
электронных информационных ресурсов", другими нормативными
правовыми и методическими документами в области использования и
защиты информационных ресурсов.
1.2. Положение предназначено для муниципальных служащих -
работников структурных подразделений администрации г. Хабаровска,
выполнение должностных обязанностей которых связано с
использованием персональных компьютеров, и определяет их
полномочия, обязанности и ответственность по обеспечению
сохранности и защите электронных информационных ресурсов.
1.3. Положение является обязательным для выполнения всеми
муниципальными служащими - работниками администрации г. Хабаровска
в части их касающейся.
1.4. В Положении используются следующие сокращения и основные
понятия:
- ПК - персональный компьютер (сервер, рабочая станция, другие
специализированные компьютеры на любых аппаратно - программных
платформах);
- ЛВС - локальная вычислительная сеть или аналогичная
информационная система любого уровня сложности и назначения;
- локальный ПК - персональный компьютер, работающий вне
локальной вычислительной сети;
- электронные информационные ресурсы - отдельные документы и
отдельные массивы документов, документы и массивы документов, базы
данных, другие виды информационного обеспечения в информационных
системах, использующих ПК (далее - информационные ресурсы);
- информационное подразделение - отдел, сектор и т.п.
подразделение, занимающееся обслуживанием (эксплуатацией)
локальных ПК и (или) ЛВС структурных подразделений;
- пользователь - муниципальный служащий - работник
администрации г. Хабаровска, вне зависимости от замещаемой им
муниципальной должности муниципальной службы, выполнение
должностных обязанностей которого связано с обработкой информации
на ПК;
- администратор - муниципальный служащий - работник
информационного или структурного подразделения администрации
г. Хабаровска, ответственный за выполнение требований по
обеспечению сохранности и защите информационных ресурсов локальных
ПК и (или) ПК, объединенных в ЛВС,
- сохранность информационных ресурсов - способность локального
ПК или ЛВС обеспечивать неизменность информационных ресурсов в
условиях случайного и (или) преднамеренного искажения, разрушения,
удаления, копирования, несанкционированного доступа, других
аналогичных действий;
- защита информационных ресурсов - организационные, правовые,
технические и технологические меры по предотвращению угроз
информационной безопасности и устранению их последствий;
- обработка информационных ресурсов - сбор, подготовка, ввод,
накопление, хранение, преобразование, вывод, отображение
информационных ресурсов;
- несанкционированный доступ - доступ к информационным
ресурсам, нарушающий правила разграничения доступа с
использованием любых средств, предоставляемых ПК или ЛВС.
1.5. Администратор назначается приказом (распоряжением)
руководителя структурного подразделения. Не допускается возложение
функций администратора на представителя сторонней организации, не
входящей в структуру администрации г. Хабаровска.
1.6. Руководители подразделений, пользователи и администраторы
обязаны знать и выполнять нормативные правовые акты, затрагивающие
вопросы информатизации, защиты информации и информационной
безопасности в части соблюдения требований и ограничений по
использованию и защите электронных информационных ресурсов.
1.7. Руководители подразделений, пользователи и администраторы
несут персональную ответственность за полноту и своевременность
выполнения требований настоящего Положения. За нарушение
требований настоящего Положения они могут быть привлечены к
административной или иной предусмотренной законодательством
ответственности.
1.8. Методическое руководство работой администраторов
осуществляет отдел компьютерно - информационного обеспечения
администрации г. Хабаровска.
1.9. Настоящее Положение может уточняться и дополняться в
установленном порядке.
2. ТРЕБОВАНИЯ К ПОЛЬЗОВАТЕЛЮ
2.1. Данный раздел отражает полномочия и функциональные
обязанности пользователя локального ПК или ПК в составе ЛВС.
2.2. Пользователь обязан знать администратора, обращаться к
нему по вопросам использования аппаратно - программного
обеспечения своего ПК, выполнять его устные распоряжения или
письменные указания в соответствии с настоящим Положением.
2.3. Пользователь обязан уметь правильно использовать то
аппаратно - программное обеспечение, которое установлено на его
ПК, включая средства защиты информационных ресурсов.
2.4. Пользователю запрещается самостоятельно устанавливать
новое или модифицировать имеющееся прикладное, операционное,
сетевое и другие виды программного обеспечения, если эта работа не
входит в его должностные обязанности. Необходимость замены
(модификации, новой установки и т.п.) программного обеспечения
определяется руководителем информационного подразделения и (или)
администратором и проводится ими самостоятельно или с привлечением
работников информационного подразделения по указанию его
руководителя.
2.5. Для исключения или существенного затруднения
несанкционированного доступа к информационным ресурсам загрузка
операционной системы на ПК пользователя может осуществляться
посредством использования пароля. В таком случае пользователь
обязан сообщить установленный им пароль своему непосредственному
руководителю и администратору.
Пользователю запрещается записывать пароли на любой носитель
информации, если доступ к нему других лиц невозможно
проконтролировать.
Пользователю запрещается передавать используемые им пароли
другому лицу, если у последнего нет на то полномочий, определенных
его должностными обязанностями или другими распорядительными,
предписывающими документами.
2.6. Пользователь обязан корректно задавать свой идентификатор
в ЛВС и пароли, не пытаться работать от имени другого
пользователя, не пытаться осуществлять несанкционированный доступ
к информационным ресурсам, ему не предназначенным, не
предпринимать других действий, приводящих к незаконному просмотру,
копированию, модификации или удалению информационных ресурсов.
2.7. Пользователь обязан определить (самостоятельно или с
помощью администратора) информационные ресурсы, функционально им
используемые или актуализируемые, требующие регулярного резервного
сохранения (архивирования). Конкретный вид, периодичность и
порядок архивирования определяется пользователем самостоятельно
или с помощью администратора.
Ответственность за проведение архивирования информационных
ресурсов, расположенных на ПК, возлагается на пользователя этого
ПК.
Пользователю рекомендуется также убедиться в возможности
восстановления информационных ресурсов с архивных копий.
2.8. Пользователь обязан знать и уметь пользоваться тем
антивирусным программным обеспечением, которое находится на его
ПК. Перед проведением любых операций с внешним носителем
информации (дискета, компакт - диск, винчестер и т.п.) -
считывание, запись, модификация, удаление информации и т.д. -
пользователь обязан произвести антивирусную проверку внешнего
носителя информации. Антивирусная проверка также проводится
пользователем при получении файлов электронной почты.
В случае невозможности излечения (очистки) внешнего носителя
информации или файлов электронной почты от вируса пользователь
ставит об этом в известность администратора, который производит
соответствующие данной ситуации действия.
Пользователю категорически запрещается производить какие-либо
действия с информацией зараженного вирусом внешнего носителя или
файлами электронной почты.
2.9. Пользователям рекомендуется осуществлять обмен данными,
расположенными на ПК или на сервере ЛВС, используя сетевые
средства обмена информацией, а не внешние носители информации.
2.10. Пользователь обязан использовать предоставленное ему
дисковое пространство сервера ЛВС только для хранения
информационных ресурсов, необходимых для осуществления своих
должностных обязанностей.
2.11. Пользователь обязан информировать администратора и
своего непосредственного руководителя о любых нарушениях
сохранности информационных ресурсов в соответствии с настоящим
Положением, другими нормативными правовыми документами или
возникшими нештатными ситуациями, а также о возможности появления
таких нарушений, которые могут привести к несанкционированному
доступу, модификации, разрушению, удалению информационных ресурсов
или сбоям в работе ПК и (или) ЛВС в целом.
3. ТРЕБОВАНИЯ К АДМИНИСТРАТОРУ
Данный раздел отражает полномочия и функциональные обязанности
администратора.
3.1. Администратором назначается один из работников
информационного подразделения, на которого возлагаются
дополнительные полномочия и обязанности по обеспечению сохранности
и защите информационных ресурсов в соответствии с его должностной
инструкцией и настоящим Положением. В зависимости от количества ПК
и (или) объемов (сегментов) и типа ЛВС могут быть назначены
несколько администраторов.
При отсутствии в составе структурного подразделения
информационного подразделения или обслуживающего его
информационного подразделения администратором назначается один из
наиболее квалифицированных работников в области использования
(эксплуатации) ПК.
3.2. Администратор структурного подразделения несет
ответственность как за выполнение требований по обеспечению
сохранности и защите информационных ресурсов всех ПК своего
структурного подразделения (локальных и объединенных в ЛВС).
3.3. Администратор оказывает методическую помощь пользователям
по вопросам, входящим в его компетенцию, в соответствии с
настоящим Положением. Устные или письменные указания
администратора, не противоречащие его должностной инструкции и
требованиям настоящего Положения, являются обязательными для
исполнения пользователями.
3.4. Администратор должен знать и правильно использовать те
аппаратно - программные средства защиты информационных ресурсов,
которые установлены на ПК и (или) ЛВС и обеспечивать сохранность
информационных ресурсов посредством этих средств.
3.5. Следует различать два вида администраторов: администратор
информационных ресурсов и администратор ЛВС.
3.6. Администратор ЛВС несет ответственность за
администрирование ЛВС своего структурного подразделения.
3.7. Администратор ЛВС определяет необходимость замены
(модификации, новой установки и т.п.) прикладного, операционного,
сетевого и других видов программного обеспечения и проводит ее
самостоятельно или с привлечением работников информационного
подразделения, в функциональные обязанности которых входит данная
работа.
3.8. Для уменьшения вероятности получения ущерба от случайных
или преднамеренных действий пользователей администратор ЛВС обязан
определить и предоставить пользователям ЛВС только те права
доступа к информационным ресурсам, которые необходимы им для
выполнения своих должностных обязанностей.
3.9. Для исключения или существенного затруднения
несанкционированного доступа к информационным ресурсам
администратор ЛВС может по своему усмотрению или по желанию
пользователя обеспечить загрузку операционной системы на ПК
пользователя посредством использования пароля.
Пароль не должен состоять из простых общеизвестных слов, имен,
фамилий и т.п. Желательно использование в пароле цифр, символов
пунктуации, других редко используемых символов. Длина пароля не
должна быть меньше пяти символов. Периодичность смены пароля
определяется администратором и (или) руководителем подразделения
пользователя.
Запрещается назначение одного и того же пароля или его
несущественных модификаций на разных ПК.
Администратору запрещается передавать список паролей или
каждый в отдельности другому лицу, если у последнего нет на то
полномочий, определенных его должностными обязанностями или
другими распорядительными, предписывающими документами.
Запрещается использование одного и того же пароля для загрузки
операционной системы на ПК пользователя и для регистрации
вхождения последнего в ЛВС.
Не допускается назначение идентификатора уволившегося
пользователя новому (другому) пользователю ЛВС.
3.10. При назначении пароля каждому пользователю для его
регистрации вхождения в ЛВС и соблюдении мер по его неразглашению
администратор должен руководствоваться правилом, изложенным в
пункте 3.9 настоящего Положения.
3.11. При увольнении пользователя администратор информационных
ресурсов обязан сменить пароль загрузки операционной системы в
используемом этим пользователем ПК, а администратор ЛВС обязан
удалить идентификатор пользователя в ЛВС, сменить
криптографические ключи, если пользователем использовались
средства шифрования информации, провести другие аналогичные
организационно - технические мероприятия, уменьшающие возможность
несанкционированного доступа к информационным ресурсам.
3.12. Администратор ЛВС обязан предусмотреть выделение
необходимых сетевых ресурсов, доступных всем пользователям ЛВС,
для ограничения обмена данными посредством внешнего носителя
информации между пользователями ЛВС.
3.13. Для обеспечения требования неизменности информации
администратор информационных ресурсов обязан периодически, но не
реже одного раза в полгода, проводить тестирование локальных ПК, а
администратор ЛВС - ПК в составе ЛВС, серверов ЛВС на целостность
информационных ресурсов, которая зависит как от аппаратно -
программных ошибок, так и от действий пользователя.
Вид используемого тестового программного обеспечения зависит
как от технических характеристик ПК, так и от используемого
операционного и (или) сетевого программного обеспечения и
определяется администратором ЛВС. Данные результата проведения
контроля целостности информационных ресурсов рекомендуется
заносить в таблицу (приложение к Положению).
3.14. Администратор ЛВС обязан анализировать регистрационную
информацию, относящуюся к функционированию ЛВС, на предмет
отслеживания попыток несанкционированного доступа к информационным
ресурсам, других действий пользователей, которые могут привести к
модификации, разрушению, удалению информационных ресурсов или
сбоям в работе ПК и (или) ЛВС, если это позволяет сетевое
операционное программное обеспечение.
Администратор ЛВС обязан производить распечатку файла,
содержащего регистрационные показатели ЛВС, если обнаружен факт
несанкционированного доступа или другие ненормальные ситуации в
работе ЛВС. Распечатки подшиваются в папку, которая хранится у
администратора.
Необходимость применения дополнительных систем управления
информационными ресурсами, контроля, защищенности, разграничения
доступа и других средств мониторинга, защиты информации и
безопасности функционирования ЛВС (сетевых анализаторов, сканеров
безопасности, межсетевых экранов, драйверов сетевой защиты,
различных фильтров и т.п.) определяется администратором ЛВС.
3.15. Администратор ЛВС обязан иметь структурную схему ЛВС с
указанием схемы соединения всех входящих в нее средств обработки
информации: серверов, ПК, концентраторов, модемов, сетевых
принтеров, других аналогичных конструктивных элементов ЛВС с
указанием их технических параметров и мест расположения.
3.16. Администратор ЛВС определяет необходимость источника
бесперебойного питания для локального ПК и (или) ПК в составе ЛВС.
Наличие источника бесперебойного питания для серверов ЛВС является
обязательным.
3.17. Администратор информационных ресурсов обязан совместно с
руководителем подразделения пользователя определить информационные
ресурсы общего пользования, требующие регулярного резервного
сохранения (архивирования), и принять меры для обеспечения данного
архивирования пользователями и (или) проводить эту процедуру
самостоятельно. Администратор информационных ресурсов также при
необходимости, совместно с пользователем, определяет периодичность
(составляет график) архивирования соответствующих информационных
ресурсов.
Администратору информационных ресурсов рекомендуется также
убедиться в возможности восстановления информационных ресурсов с
архивных копий.
3.18. Для предотвращения программно - математических
воздействий (вирусов), вызывающих модификацию, разрушение,
удаление информационных ресурсов и (или) сбои в работе ПК и (или)
ЛВС в целом, администратор информационных ресурсов обязан
предусмотреть наличие антивирусного программного обеспечения на
локальном ПК, на ПК в составе ЛВС и на сервере ЛВС. Конкретный вид
антивирусного программного обеспечения зависит как от технических
характеристик ПК, так и от используемого операционного и (или)
сетевого программного обеспечения и определяется администратором
информационных ресурсов.
Администратор информационных ресурсов обязан предусмотреть
возможность обновления (получения новых версий) антивирусного
программного обеспечения.
Администратор информационных ресурсов обязан настроить
интерфейс ПК пользователя таким образом, чтобы последний в удобной
форме смог произвести антивирусную проверку любого внешнего
носителя информации (дискета, компакт - диск, винчестер и т.п.), а
также файлов электронной почты.
Администратор информационных ресурсов обязан периодически (в
зависимости от вида антивирусного программного обеспечения), но не
реже одного раза в квартал, производить тестирование ПК
пользователя на наличие вирусов.
3.19. Администратор ЛВС и администратор информационных
ресурсов обязаны информировать начальника информационного
подразделения, руководителя подразделения пользователя и
начальника отдела компьютерно - информационного обеспечения
администрации г. Хабаровска о любых нарушениях требований по
обеспечению сохранности и защите информационных ресурсов в
соответствии с настоящим Положением, другими нормативными
правовыми документами или возникшими нештатными ситуациями, а
также о возможности появления таких нарушений, которые могут
привести к несанкционированному доступу, модификации, разрушению,
удалению информационных ресурсов или сбоям в работе ПК и (или)
ЛВС.
3.20. Администратор ЛВС и администратор информационных
ресурсов обязаны предоставлять руководителю подразделения по
информационной безопасности (или аналогичного подразделения или
сотрудника, выполняющего данные функции) необходимую ему
информацию в части возложенных на администратора полномочий и
обязанностей в соответствии с настоящим Положением.
4. ОБЩИЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ ЭЛЕКТРОННЫХ
ИНФОРМАЦИОННЫХ РЕСУРСОВ
4.1. Порядок обработки, обращения и использования электронных
информационных ресурсов, а следовательно и требования по их защите
определяются категорией этих информационных ресурсов: открытые и
общедоступные или ограниченного доступа. В свою очередь
информационные ресурсы с ограниченным доступом подразделяются на
две категории: информацию, отнесенную к государственной тайне, и
конфиденциальную.
4.2. Сведения, отнесенные к государственной тайне, определены
в следующих нормативных правовых актах Российской Федерации:
- Законе Российской Федерации от 21.07.93 N 5485-1 "О
государственной тайне";
- Указе Президента Российской Федерации от 24.01.98 N 61 "О
перечне сведений, отнесенных к государственной тайне";
- других отраслевых (ведомственных и прочих) перечнях
сведений, отнесенных к государственной тайне, на основаниях и в
порядке, установленным федеральным законодательством.
Требования по защите электронных информационных ресурсов,
составляющих государственную тайну, определены:
- постановлением Совета Министров - Правительства Российской
Федерации от 15.09.93 N 912-51 "Об утверждении Положения о
государственной системе защиты информации в Российской Федерации
от иностранных технических разведок и от ее утечки по техническим
каналам";
- руководящим документом "Специальные требования и
рекомендации по защите информации, составляющей государственную
тайну, от утечки по техническим каналам", утвержденным решением
Государственной технической комиссии при Президенте Российской
Федерации от 23.05.97 N 55;
- другими нормативными правовыми и руководящими документами по
защите информации, составляющей государственную тайну.
4.3. Сведения, отнесенные к конфиденциальной информации,
определены в следующих нормативных правовых актах Российской
Федерации, Хабаровского края и муниципального образования
г. Хабаровска:
- Федеральном законе от 20.02.95 N 24-ФЗ "Об информации,
информатизации и защите информации";
- Указе Президента Российской Федерации от 06.03.97 N 188 "Об
утверждении перечня сведений конфиденциального характера";
- постановлении главы администрации края от 30.05.2000 N 175
"О Перечне сведений конфиденциального характера администрации
Хабаровского края и порядке обращения с ними";
- постановлении мэра города Хабаровска от 04.03.99 N 271 "Об
утверждении перечня сведений администрации города Хабаровска,
относящихся к служебной информации".
4.4. При регистрации (выявлении) информационных ресурсов,
составляющих государственную тайну, руководитель подразделения
пользователя обязан прекратить их обработку на ПК и поставить об
этом в известность начальника компьютерно - информационного отдела
администрации г. Хабаровска и (или) уполномоченного по вопросам
информационной безопасности своего структурного подразделения.
4.5. Администратор ЛВС обязан вести учет ПК, обрабатывающих
конфиденциальную информацию.
4.6. Оформление и учет документов, содержащих конфиденциальную
информацию и полученных на печатающем устройстве ПК, производится
согласно Положению о порядке обращения с конфиденциальной
информацией, утвержденному постановлением главы администрации края
от 30.05.2000 N 175 "О Перечне сведений конфиденциального
характера администрации Хабаровского края и порядке обращения с
ними" и постановлением мэра города Хабаровска от 04.03.99 N 271
"Об утверждении перечня сведений администрации города Хабаровска,
относящихся к служебной информации".
4.7. Передача конфиденциальных информационных ресурсов по
открытым каналам связи и телекоммуникациям разрешается только при
использовании шифровальных средств.
Шифровальное средство должно иметь сертификат в соответствии с
Указом Президента Российской Федерации от 03.04.95 N 334 "О мерах
по соблюдению законности в области разработки, производства,
реализации и эксплуатации шифровальных средств, а также
предоставления услуг в области шифрования информации".
4.8. Использование электронной цифровой подписи в электронном
документе (созданным и находящимся на ПК) производится в
соответствии с Федеральным законом от 10.01.2002 N 1-ФЗ "Об
электронной цифровой подписи".
4.9. Запрещается подключение ПК к сетям общего доступа
(например, Интернет) и использование на них коммерческой
электронной почты, если ПК обрабатывают конфиденциальную
информацию.
4.10. При передаче ПК, обрабатывающего конфиденциальную
информацию, в другое структурное подразделение или стороннюю
организацию такая информация уничтожается администратором ЛВС
таким образом, чтобы ее восстановление было невозможным (если
продолжение ее обработки на этом ПК, но уже в другом структурном
подразделении не связано с производственной необходимостью).
4.11. Использование аппаратных и (или) программных средств
защиты информации определяется администратором ЛВС согласно
нормативным правовым и методическим документам и зависит от
категории информационных ресурсов, технических характеристик ПК и
(или) ЛВС в целом, используемого операционного и (или) сетевого
программного обеспечения, наличия электронной почты, систем связи
и телекоммуникаций с внешними информационными системами и сетями
общего доступа, других организационно - технических факторов.
Приложение
к Положению по обеспечению
сохранности и защите
электронных ресурсов в
структурных подразделениях
администрации г. Хабаровска
-------------T-------------T-----------T-------------T------------
| Тип ПК, | Проверка | Дата | Должность, |Примечание |
|инвентарный | целостности | проведения| Ф.И.О. |(результат |
| номер | (указать | проверки | сотрудника, | проверки, |
| | каким | | проводившего| выводы, |
| | средством) | | проверку | действия |
| | | | | и т.д.) |
+------------+-------------+-----------+-------------+-----------+
| | | | | |
+------------+-------------+-----------+-------------+-----------+
| | | | | |
+------------+-------------+-----------+-------------+-----------+
| | | | | |
+------------+-------------+-----------+-------------+-----------+
| | | | | |
+------------+-------------+-----------+-------------+-----------+
| | | | | |
+------------+-------------+-----------+-------------+-----------+
| | | | | |
+------------+-------------+-----------+-------------+-----------+
| | | | | |
L------------+-------------+-----------+-------------+------------
|
