Основная информация
| Дата опубликования: | 07 апреля 2020г. |
| Номер документа: | RU64039396202000024 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Саратовская область |
| Принявший орган: | Администрация Ртищевского муниципального района |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
РТИЩЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
САРАТОВСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
О
От 7 апреля 2020 года № 323
Об утверждении правил работы
с информационно-вычислительной техникой
и инструкции по защите персональных
данных, обрабатываемых в информационных
системах персональных данных
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", руководствуясь Уставом Ртищевского муниципального района Саратовской области, администрация Ртищевского муниципального района ПОСТАНОВЛЯЕТ:
1.Утвердить Положение об использовании информационных ресурсов в администрации Ртищевского муниципального района Саратовской области согласно приложению № 1 к настоящему постановлению.
2.Утвердить Инструкцию по работе пользователя в информационных системах персональных данных согласно приложению № 2 к настоящему постановлению.
3.Настоящее постановление разместить на официальном сайте администрации Ртищевского муниципального района в информационно-телекоммуникационной сети «Интернет».
4.Контроль за исполнением настоящего постановления возложить на заместителя главы администрации по внутренней политике, взаимодействию с органами местного самоуправления и противодействию коррупции Ртищевского муниципального района Третьякову О.А.
5.Настоящее постановление вступает в силу со дня его подписания.
Глава Ртищевского
муниципального района С.В. Макогон
Приложение №1
к постановлению администрации
Ртищевского муниципального района
от 7 апреля 2020 года № 323
Положение
об использовании информационных ресурсов
в администрации Ртищевского муниципального района
Саратовской области
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об использовании информационных ресурсов (далее — Положение) упорядочивает использование информационных ресурсов сети администрации Ртищевского муниципального района (далее — Администрация) с целью повышения эффективности выполнения производственных планов и осуществления другой деятельности, предусмотренной производственной необходимостью, а также с целью предотвращения ненадлежащего использования информационных ресурсов, аппаратного и программного обеспечения Администрации.
1.2. Действие настоящего Положения распространяется на пользователей любого компьютерного оборудования (компьютеры, компьютерная периферия, коммуникационное оборудование), подключаемое к локальной сети подразделения, а также на пользователей, осуществляющих удаленный доступ к оборудованию локальной сети Администрации из других локальных сетей и сети - интернет.
1.3. В Положении определены права и обязанности, как пользователей компьютерного оборудования, так и системных администраторов.
1.4. Несоблюдение Положения работниками может служить основанием для применения дисциплинарного взыскания.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Локальные сети (ЛС) — это сети, состоящие из близко расположенных компьютеров, чаще всего находящихся в одной комнате, в одном здании или в близко расположенных зданиях. Локальные компьютерные сети, охватывающие некое предприятие и объединяющие разнородные вычислительные ресурсы в единой среде, называют корпоративными.
2.2. Сервер - аппаратно-программный комплекс, исполняющий функции хранения и обработки запросов пользователей, не предназначенный для локального доступа пользователей (выделенный сервер, маршрутизатор и другие специализированные устройства) ввиду высоких требований по обеспечению надежности, степени готовности и мер безопасности информационной системы предприятия.
2.3. Рабочая станция - персональный компьютер (терминал), предназначенный для доступа пользователей к ресурсам Автоматизированной системы предприятия, приема передачи и обработки информации.
2.4. АРМ - рабочее место, обеспеченное (укомплектованное) рабочей станцией и средствами периферии (принтер, сканер), имеющее/не имеющее доступ к ресурсам корпоративной сети передачи данных.
2.5. Автоматизированная система (АС) - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки данных и информации и производства вычислений.
2.6. Системный администратор - должностное лицо, в обязанности которого входит обслуживание всего аппаратно-программного комплекса компании, управление доступом к сетевым ресурсам, а также поддержание требуемого уровня отказоустойчивости и безопасности данных, их резервное копирование и восстановление.
2.7. Пользователь - работник Администрации, имеющий доступ к информационной системе Администрации для выполнения должностных обязанностей.
2.8. Учетная запись - информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.).
2.9. Пароль - секретная строка символов (букв, цифр, специальных символов), предъявляемая пользователем компьютерной системе для получения доступа к данным и программам. Пароль является средством защиты данных от несанкционированного доступа.
2.10. Изменение полномочий - процесс создания удаления, внесения изменений в учетные записи пользователей АС, создание, удаление изменение наименований почтовых ящиков и адресов электронной почты, создание, удаление изменение групп безопасности и групп почтовой рассылки, а так же другие изменения, приводящие к расширению (сокращению) объема информации либо ресурсов доступных пользователю АС.
2.11 Инцидент - событие, произошедшее в результате компьютерного сбоя или человеческого фактора, приведшее к частичной или полной неработоспособности АРМ или АС.
3. ОБЯЗАННОСТИ И ПРАВА ПОЛЬЗОВАТЕЛЕЙ.
3.1. Пользователи обязаны:
ознакомиться с Положением до начала работы на компьютерном оборудовании,
пройти регистрацию, инструктаж и получить личные атрибуты доступа (имя, пароль) для работы с оборудованием с установленными полномочиями,
устанавливать личный пароль доступа (если пользователю предоставлена возможность изменять пароль) в соответствии с п. 6.2 данного положения,
использовать компьютерное оборудование исключительно для деятельности, предусмотренной производственной необходимостью и должностными инструкциями,
устанавливать АРМ в удобном для работы месте, на прочной (устойчивой) поверхности вдали от потенциальных источников загрязнения (открытые форточки, цветочные горшки, аквариумы, чайники, вазы с цветами и прочее), так, чтобы вентиляционные отверстия средств вычислительной техники были открыты для циркуляции воздуха,
протирать оборудование АРМ от пыли не реже одного раза в две недели с соблюдением требований ТБ,
сообщать о замеченных неисправностях компьютерного оборудования и недостатках в работе программного обеспечения общего пользования,
рационально пользоваться ограниченными разделяемыми ресурсами (дисковой памятью компьютеров общего пользования, пропускной способностью локальной сети) и расходными материалами,
выполнять требования системного администратора, а также лиц, назначенных ответственными за эксплуатацию конкретного оборудования, в части касающейся безопасности работы комплекса сети и оборудования,
выполнять правила работы в вычислительной сети,
выполнять обязательные рекомендации ответственных лиц по компьютерной безопасности,
по запросу системного администратора предоставлять корректную информацию об используемых сетевых программах, о пользователях имеющих доступ к ПК или зарегистрированных в многопользовательских операционных системах,
предоставлять доступ к ПК системным администраторам для проверки исправности и соответствия установленным правилам работы,
содействовать системным администраторам в выполнении ими своих служебных обязанностей,
незамедлительно сообщать системному администратору о замеченных случаях нарушения компьютерной безопасности (несанкционированный доступ к оборудованию и информации, несанкционированное искажение или уничтожение информации).
3.2. Пользователям запрещается:
использовать оборудование для деятельности, не обусловленной производственной необходимостью и должностной инструкцией,
создавать помехи работе других пользователей, помехи работе компьютеров и сети,
включать, выключать, переключать, перемещать, разбирать, изменять настройку оборудования общего пользования, кроме прямого указания ответственного лица и кроме случаев пожарной опасности, дыма из оборудования, или других угроз жизни и здоровью людей или угроз сохранности имущества,
подключать к локальной сети новые компьютеры и оборудование без участия системного администратора,
передавать другим лицам свои личные атрибуты доступа (регистрационное имя и пароль) к компьютерному оборудованию и сети подразделения,
осуществлять доступ к оборудованию и сети с использованием чужих личных атрибутов доступа или с использованием чужого сеанса работы,
удалять файлы других пользователей на серверах общего пользования,
осуществлять попытку несанкционированного доступа к компьютерному оборудованию и информации хранящейся на компьютерах и передаваемой по сети,
использовать, распространять и хранить программы, предназначенные для осуществления несанкционированного доступа, взлома паролей, для нарушения функционирования компьютерного оборудования и компьютерных сетей, а также компьютерные вирусы и любые программы ими инфицированные,
использовать, распространять и хранить программы сетевого управления и мониторинга без специального разрешения системного администратора,
нарушать правила работы на удаленных компьютерах и удаленном оборудовании, доступ к которым осуществляется через оборудование или сеть подразделения,
предоставлять доступ к компьютерному оборудованию незарегистрированным пользователям,
использовать на своих рабочих станциях съемных накопителей и прочих устройств без предварительной проверки на возможные угрозы (проникновение вирусов, вредоносных программ, вероятность физических неисправностей). В случае, когда пользователь не может самостоятельно удостовериться в отсутствии угроз, он может привлечь для анализа системного администратора.
Изменять конфигурацию АРМ (вскрывать ПК, менять, добавлять, удалять узлы и детали);
Удалять или изменять установленное программное обеспечение (ПО).
Устанавливать на свой компьютер ПО, не предназначенное для выполнения производственных задач;
Выполнять действия и команды, результат и последствия которых пользователю не известен;
Производить замену IP адресов;
Создавать и поддерживать с использованием ресурсов корпоративных АРМ персональные WEB-страницы на серверах, не входящих в состав ЛС Администрации, за исключением случаев, согласованных руководством подразделений;
3.3. Пользователи имеют право:
на получение надлежащего и исправного АРМ, для выполнения непосредственных функциональных обязанностей,
подавать заявку на получение права доступа к оборудованию общего пользования,
подавать заявку на выделение и модернизацию компьютерного оборудования персонального пользования,
подавать заявку на увеличение квот на компьютерные ресурсы и удовлетворение потребностей в расходных материалах, при превышении средних норм должно представляться обоснование,
вносить предложения по установке бесплатного и приобретению коммерческого программного обеспечения общего пользования,
вносить предложения по приобретению компьютерного оборудования,
вносить предложению по улучшению настроек оборудования и программного обеспечения общего пользования, по улучшению условий труда,
получать консультацию у системного администратора по работе с компьютерным оборудованием и программным обеспечением общего пользования, по вопросам компьютерной безопасности,
в случае несогласия обжаловать у непосредственного руководителя действия системного администратора,
вносить предложения по изменению настоящего Положения,
получать уведомления об изменениях настоящего Положения и правил работы на конкретном оборудовании.
4. РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ И ОБОРУДОВАНИЯ.
4.1. Регистрация нового оборудования, подключаемого к сети Администрации, производится у системного администратора. Оборудование персонального пользования закрепляется за работником, берущим на себя ответственность за его эксплуатацию. Ответственное лицо обязано сообщать системному администратору, ведущему учет, о перемещении оборудования в иное помещение, об изменении комплектации, о сдаче в ремонт, о передаче ответственности за оборудование другому лицу.
4.2. Передача оборудования осуществляется только в случае двустороннего подписания акта о материальной ответственности между передающей и принимающей стороной.
4.3. Регистрация пользователей производится системным администратором, ответственными за предоставление доступа к конкретному оборудованию.
5. ОБЯЗАННОСТИ И ПРАВА СИСТЕМНОГО АДМИНИСТРАТОРА
5.1. Системный администратор обязан:
совершенствовать работу оборудования и программного обеспечения общего пользования для повышения эффективности выполнения пользователями их служебных обязанностей,
следить за стабильной работой рабочих станций, серверов, установленных на них программ и автоматизированных систем,
следить за актуальностью учетных записей, паролей и полномочий пользователей,
предоставлять пользователям информацию необходимую для работы на компьютерном оборудовании общего пользования,
доводить до сведения пользователей информацию об изменении правил или режима работы оборудования общего пользования,
снижать до минимально необходимого время простоя оборудования из-за неполадок и сервисных работ,
проводить среди пользователей разъяснительную работу по вопросам компьютерной безопасности,
доводить до сведения пользователей правила работы на конкретном оборудовании,
не разглашать информацию, полученную в ходе выполнения служебных обязанностей и не имеющую прямого отношения к выполняемым обязанностям.
5.2. Системный администратор имеет право:
делать предупреждения пользователям, нарушившим установленные правила работы, а также информировать непосредственное руководство о произошедшем инциденте.
требовать от пользователя подробного отчета о работе, если во время этой работы произошел отказ или сбой оборудования или программного обеспечения общего пользования,
требовать обоснования необходимости выделения пользователю ограниченных ресурсов или расходных материалов сверх среднего запланированного уровня,
проверять исправность компьютеров, подключенных к ЛС Администрации, правильность настройки сетевых программ и соблюдение правил работы, с использованием, при необходимости, административного доступа к ПК на время проверки,
оперативно отключать от сети, блокировать работу или выводить из эксплуатации оборудование в случае нарушения компьютерной безопасности, по причине неисправности или грубого нарушения правил работы,
в экстренной ситуации, для обеспечения бесперебойной работы сети и компьютеров общего пользования, осуществлять отключение оборудования в отсутствии ответственного лица или пользователя и без предварительного уведомления.
системный администратор имеет право без предупреждения удалять с дисков компьютеров общего пользования файлы пользователей содержащие игровые программы и программы, предназначенные для нарушения компьютерной безопасности, файлы зараженные компьютерными вирусами, файлы, содержащие мультимедиа-информацию, не имеющую отношения к деятельности Администрации.
6. ОБЩИЕ ПРАВИЛА РАБОТЫ НА АРМ
6.1.При доступе к службам и ресурсам AC пользователь обязан, ввести свое имя и пароль (за исключением общедоступных ресурсов).
6.2.Требования к паролям пользователей и порядок работы с ними.
6.2.1Пароли должны генерироваться специальными программными средствами либо выбираться самостоятельно пользователями, а при необходимости администраторами, с учетом следующих требований:
длина пароля пользователя должна составлять не менее 8 символов;
в составе символов пароля обязательно должны присутствовать буквы и цифры;
в составе символов пароля желательно использовать знаки пунктуации, специальные символы (" ~ ! @ # $ % ^ & * ( ) - + _ = \ ! / ?).
6.2.2 Пароль не должен состоять из:
фамилии, имени, отчества пользователя ни в каком виде, т.е. написанными в строчном, прописном, смешанном виде, задом наперед, два раза и т.д.;
фамилий, имен, отчеств родных и близких пользователя ни в каком виде;
кличек домашних животных, номеров автомобилей, телефонов и других значимых сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;
известных названий, словарных и жаргонных слов;
последовательности символов и знаков (111, qwerty, abcd и т.д.);
общепринятых сокращений и аббревиатур (ЭВМ, ЛВС, USER и т.д.);
наименования учетной записи пользователя.
6.3.Ввод пароля
При вводе пароля пользователю необходимо исключить возможность его подсматривания посторонними лицами (человек за спиной, наблюдение человеком за движением пальцев в прямой видимости или в отраженном свете) и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерам и т.п.).
6.4. Хранение пароля
Запрещается записывать пароли на бумаге, в файлах, электронных записных книжках и других носителях информации, в том числе на предметах.
Запрещается сообщать пароли другим пользователям, обслуживающему персоналу информационных автоматизированных систем и регистрировать их в системах под своей учетной записью, за исключением случаев устранения неисправностей (в присутствии пользователя).
Запрещается пересылать пароль открытым текстом в сообщениях электронной почты.
Хранение своего пароля на бумажном носителе допускается только в личном сейфе владельца пароля.
6.5. Смена паролей.
Плановая смена паролей должна проводиться не реже одного раза в 180 дней.
Для АС, позволяющих настраивать политику парольной защиты и доступа пользователей, используются следующие принципы смены паролей:
при создании учетной записи администратор устанавливает опцию, регулирующую период смены пароля (180 дней);
смена пароля производится пользователем самостоятельно в соответствии с предупреждением системы, возникающем при приближении к сроку окончания действия текущего пароля.
Для АС, в которых отсутствует возможность настройки политики парольной защиты и доступа пользователей, смена паролей, осуществляется администратором путем генерации нового пароля Пользователя. Передача созданного пароля Пользователю осуществляется способом, исключающим его компрометацию.
6.6 Действия в случае утери или компрометации пароля.
В случае утери или компрометации пароля Пользователь обязан незамедлительно предпринять меры по смене пароля: сменить его самостоятельно, либо оформить заявку на смену пароля в адрес системного администратора.
Устная заявка Пользователя на смену пароля не является основанием для проведения таких изменений.
6.7. Подключение АРМ пользователей к службам и ресурсам АС, настройка прав доступа.
Подключение пользователей к ресурсам и службам АС производится системным администратором на основании заявки.
Администратор сети не в праве самостоятельно производить изменение прав доступа того или иного пользователя без наличия согласованной заявки, за исключением случаев, описанных в п. 3.2, когда пользователь своими действиями нарушает положения данной инструкции или других регламентов эксплуатации АС. В этом случае администратор вправе произвести временное отключение пользователя (его АРМ) от ресурсов и сервисов АС и инициировать служебное расследование в отношении неправомерных действий пользователя.
7. ОТВЕТСТВЕННОСТЬ
7.1. Настоящее Положение утверждается главой Ртищевского муниципального района и доводится до сотрудников через руководителей подразделений и системных администраторов. В случае конфликта, легальные пользователи обязаны выполнить текущее требование указанных лиц, а затем обратиться к руководству для разрешения конфликта.
7.2. Пользователь несет ответственность за сохранение в секрете своих паролей для входа в сетевую среду компьютерных ресурсов Администрации. Пользователям запрещается действием или бездействием способствовать разглашению своего пароля.
7.3. Администрация не несет ответственности за противоправные или неэтичные действия своего работника (работников) в сфере компьютерных или телекоммуникационных технологий, если таковые действия совершены во внеслужебное время и с территории и посредством оборудования, не находящихся под юрисдикцией Администрации. В данной ситуации ссылки такого лица (лиц) на принадлежность к Администрации не могут служить основанием для судебного преследования Администрации за действия своего работника (работников).
7.4. Устранение всех возможных неполадок и сбоев в работе компьютерных ресурсов Администрации, возникших по причине самостоятельной установки работником ПО или в результате нерационального использования техники, осуществляется за счет собственных средств пользователя.
Верно: начальник отдела делопроизводства
администрации муниципального района Ю.А. Малюгина
Приложение № 2
к постановлению администрации
Ртищевского муниципального района
от 7 апреля 2020 года № 323
Инструкция по работе пользователя
в информационных системах персональных данных
1. Общие положения
1.1. Настоящая инструкция определяет общие положения работы пользователей в защищенной от несанкционированного доступа информационной системе персональных данных (далее - ИСПДн).
1.2. Пользователь ИСПДн (далее – Пользователь) осуществляет обработку персональных данных в информационной системе персональных данных.
1.3. Пользователем является каждый сотрудник администрации Ртищевского муниципального района, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
1.4. Пользователь отвечает за правильность функционирования ИСПДн, входа в систему и все действия при работе в ИСПДн.
1.5. Пользователь в своей работе руководствуется настоящей инструкцией, Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и регламентирующими документами администрации Ртищевского муниципального района.
1.6. Методическое руководство работой пользователя осуществляется ответственным за организацию работ по обработке персональных данных.
2. Должностные обязанности
2.1. Допуск пользователей для работы с ИСПДн осуществляется в соответствии со списком лиц допущенных к работе c персональными данными.
2.2. В процессе первичной регистрации пользователя руководитель отдела, в котором работает пользователь, заявляет Администратору информационной системы перечень необходимых для работы пользователя ресурсов, перечень персональных данных, состав необходимого общесистемного программного обеспечения для решения поставленных задач.
2.3. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору информационной безопасности.
2.4. Обо всех выявленных нарушениях, связанных с информационной безопасностью администрации Ртищевского муниципального района, а также для получений консультаций по вопросам информационной безопасности, необходимо обратиться к администратору информационной безопасности.
2.5. Пользователь обязан:
Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности персональных данных, а также руководящих и организационно-распорядительных документов.
Соблюдать правила при работе в сетях общего доступа, а также сети – Интернет.
При работе со съемными носителями пользователь должен каждый раз перед началом работы проверить их на наличие вирусов с использованием штатных антивирусных программ.
В случае обнаружения вирусов на машинных носителях информации (съемных носителях, жестком магнитном диске, твердотельном носителе) пользователь обязан немедленно сообщить Администратору информационной безопасности.
В случае оставления рабочей станции без визуального контроля доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш и выбрать опцию <Блокировка>, либо комбинацией клавиш Win + L.
Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий, в пределах, возложенных на него функций.
2.6. Пользователям запрещается:
Разглашать защищаемую информацию третьим лицам.
Копировать защищаемую информацию на внешние носители без разрешения своего руководителя.
Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств.
Несанкционированно открывать общий доступ к папкам на своей рабочей станции.
Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства.
Отключать (блокировать) средства защиты информации.
Обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн.
Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн.
Привлекать посторонних лиц для производства ремонта или настройки АРМ, без согласования с ответственным за обеспечение защиты персональных данных.
Самостоятельно вносить изменения в аппаратно-программную конфигурацию ИСПДн, изменять месторасположение средств отображения информации.
2.7. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет дисциплинарную, административную, гражданско-правовую или уголовную ответственность граждан и юридических лиц.
3. Правила работы в сетях общего доступа и (или) международного обмена
3.1 Работа в сетях общего доступа, а также сети Интернет (далее – Сеть) на элементах ИСПДн должна проводиться при служебной необходимости.
3.2 При работе в Сети запрещается:
Осуществлять работу при отключенных средствах защиты (антивирус и других).
Передавать по Сети защищаемую информацию без использования механизмов защиты.
Запрещается скачивать из Сети программное обеспечение и другие файлы.
Запрещается посещение сайтов сомнительной репутации (порно сайты, сайты, содержащие нелегально распространяемое ПО и другие).
Запрещается нецелевое использование подключения к Сети.
РТИЩЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
САРАТОВСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
О
От 7 апреля 2020 года № 323
Об утверждении правил работы
с информационно-вычислительной техникой
и инструкции по защите персональных
данных, обрабатываемых в информационных
системах персональных данных
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", руководствуясь Уставом Ртищевского муниципального района Саратовской области, администрация Ртищевского муниципального района ПОСТАНОВЛЯЕТ:
1.Утвердить Положение об использовании информационных ресурсов в администрации Ртищевского муниципального района Саратовской области согласно приложению № 1 к настоящему постановлению.
2.Утвердить Инструкцию по работе пользователя в информационных системах персональных данных согласно приложению № 2 к настоящему постановлению.
3.Настоящее постановление разместить на официальном сайте администрации Ртищевского муниципального района в информационно-телекоммуникационной сети «Интернет».
4.Контроль за исполнением настоящего постановления возложить на заместителя главы администрации по внутренней политике, взаимодействию с органами местного самоуправления и противодействию коррупции Ртищевского муниципального района Третьякову О.А.
5.Настоящее постановление вступает в силу со дня его подписания.
Глава Ртищевского
муниципального района С.В. Макогон
Приложение №1
к постановлению администрации
Ртищевского муниципального района
от 7 апреля 2020 года № 323
Положение
об использовании информационных ресурсов
в администрации Ртищевского муниципального района
Саратовской области
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об использовании информационных ресурсов (далее — Положение) упорядочивает использование информационных ресурсов сети администрации Ртищевского муниципального района (далее — Администрация) с целью повышения эффективности выполнения производственных планов и осуществления другой деятельности, предусмотренной производственной необходимостью, а также с целью предотвращения ненадлежащего использования информационных ресурсов, аппаратного и программного обеспечения Администрации.
1.2. Действие настоящего Положения распространяется на пользователей любого компьютерного оборудования (компьютеры, компьютерная периферия, коммуникационное оборудование), подключаемое к локальной сети подразделения, а также на пользователей, осуществляющих удаленный доступ к оборудованию локальной сети Администрации из других локальных сетей и сети - интернет.
1.3. В Положении определены права и обязанности, как пользователей компьютерного оборудования, так и системных администраторов.
1.4. Несоблюдение Положения работниками может служить основанием для применения дисциплинарного взыскания.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Локальные сети (ЛС) — это сети, состоящие из близко расположенных компьютеров, чаще всего находящихся в одной комнате, в одном здании или в близко расположенных зданиях. Локальные компьютерные сети, охватывающие некое предприятие и объединяющие разнородные вычислительные ресурсы в единой среде, называют корпоративными.
2.2. Сервер - аппаратно-программный комплекс, исполняющий функции хранения и обработки запросов пользователей, не предназначенный для локального доступа пользователей (выделенный сервер, маршрутизатор и другие специализированные устройства) ввиду высоких требований по обеспечению надежности, степени готовности и мер безопасности информационной системы предприятия.
2.3. Рабочая станция - персональный компьютер (терминал), предназначенный для доступа пользователей к ресурсам Автоматизированной системы предприятия, приема передачи и обработки информации.
2.4. АРМ - рабочее место, обеспеченное (укомплектованное) рабочей станцией и средствами периферии (принтер, сканер), имеющее/не имеющее доступ к ресурсам корпоративной сети передачи данных.
2.5. Автоматизированная система (АС) - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки данных и информации и производства вычислений.
2.6. Системный администратор - должностное лицо, в обязанности которого входит обслуживание всего аппаратно-программного комплекса компании, управление доступом к сетевым ресурсам, а также поддержание требуемого уровня отказоустойчивости и безопасности данных, их резервное копирование и восстановление.
2.7. Пользователь - работник Администрации, имеющий доступ к информационной системе Администрации для выполнения должностных обязанностей.
2.8. Учетная запись - информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.).
2.9. Пароль - секретная строка символов (букв, цифр, специальных символов), предъявляемая пользователем компьютерной системе для получения доступа к данным и программам. Пароль является средством защиты данных от несанкционированного доступа.
2.10. Изменение полномочий - процесс создания удаления, внесения изменений в учетные записи пользователей АС, создание, удаление изменение наименований почтовых ящиков и адресов электронной почты, создание, удаление изменение групп безопасности и групп почтовой рассылки, а так же другие изменения, приводящие к расширению (сокращению) объема информации либо ресурсов доступных пользователю АС.
2.11 Инцидент - событие, произошедшее в результате компьютерного сбоя или человеческого фактора, приведшее к частичной или полной неработоспособности АРМ или АС.
3. ОБЯЗАННОСТИ И ПРАВА ПОЛЬЗОВАТЕЛЕЙ.
3.1. Пользователи обязаны:
ознакомиться с Положением до начала работы на компьютерном оборудовании,
пройти регистрацию, инструктаж и получить личные атрибуты доступа (имя, пароль) для работы с оборудованием с установленными полномочиями,
устанавливать личный пароль доступа (если пользователю предоставлена возможность изменять пароль) в соответствии с п. 6.2 данного положения,
использовать компьютерное оборудование исключительно для деятельности, предусмотренной производственной необходимостью и должностными инструкциями,
устанавливать АРМ в удобном для работы месте, на прочной (устойчивой) поверхности вдали от потенциальных источников загрязнения (открытые форточки, цветочные горшки, аквариумы, чайники, вазы с цветами и прочее), так, чтобы вентиляционные отверстия средств вычислительной техники были открыты для циркуляции воздуха,
протирать оборудование АРМ от пыли не реже одного раза в две недели с соблюдением требований ТБ,
сообщать о замеченных неисправностях компьютерного оборудования и недостатках в работе программного обеспечения общего пользования,
рационально пользоваться ограниченными разделяемыми ресурсами (дисковой памятью компьютеров общего пользования, пропускной способностью локальной сети) и расходными материалами,
выполнять требования системного администратора, а также лиц, назначенных ответственными за эксплуатацию конкретного оборудования, в части касающейся безопасности работы комплекса сети и оборудования,
выполнять правила работы в вычислительной сети,
выполнять обязательные рекомендации ответственных лиц по компьютерной безопасности,
по запросу системного администратора предоставлять корректную информацию об используемых сетевых программах, о пользователях имеющих доступ к ПК или зарегистрированных в многопользовательских операционных системах,
предоставлять доступ к ПК системным администраторам для проверки исправности и соответствия установленным правилам работы,
содействовать системным администраторам в выполнении ими своих служебных обязанностей,
незамедлительно сообщать системному администратору о замеченных случаях нарушения компьютерной безопасности (несанкционированный доступ к оборудованию и информации, несанкционированное искажение или уничтожение информации).
3.2. Пользователям запрещается:
использовать оборудование для деятельности, не обусловленной производственной необходимостью и должностной инструкцией,
создавать помехи работе других пользователей, помехи работе компьютеров и сети,
включать, выключать, переключать, перемещать, разбирать, изменять настройку оборудования общего пользования, кроме прямого указания ответственного лица и кроме случаев пожарной опасности, дыма из оборудования, или других угроз жизни и здоровью людей или угроз сохранности имущества,
подключать к локальной сети новые компьютеры и оборудование без участия системного администратора,
передавать другим лицам свои личные атрибуты доступа (регистрационное имя и пароль) к компьютерному оборудованию и сети подразделения,
осуществлять доступ к оборудованию и сети с использованием чужих личных атрибутов доступа или с использованием чужого сеанса работы,
удалять файлы других пользователей на серверах общего пользования,
осуществлять попытку несанкционированного доступа к компьютерному оборудованию и информации хранящейся на компьютерах и передаваемой по сети,
использовать, распространять и хранить программы, предназначенные для осуществления несанкционированного доступа, взлома паролей, для нарушения функционирования компьютерного оборудования и компьютерных сетей, а также компьютерные вирусы и любые программы ими инфицированные,
использовать, распространять и хранить программы сетевого управления и мониторинга без специального разрешения системного администратора,
нарушать правила работы на удаленных компьютерах и удаленном оборудовании, доступ к которым осуществляется через оборудование или сеть подразделения,
предоставлять доступ к компьютерному оборудованию незарегистрированным пользователям,
использовать на своих рабочих станциях съемных накопителей и прочих устройств без предварительной проверки на возможные угрозы (проникновение вирусов, вредоносных программ, вероятность физических неисправностей). В случае, когда пользователь не может самостоятельно удостовериться в отсутствии угроз, он может привлечь для анализа системного администратора.
Изменять конфигурацию АРМ (вскрывать ПК, менять, добавлять, удалять узлы и детали);
Удалять или изменять установленное программное обеспечение (ПО).
Устанавливать на свой компьютер ПО, не предназначенное для выполнения производственных задач;
Выполнять действия и команды, результат и последствия которых пользователю не известен;
Производить замену IP адресов;
Создавать и поддерживать с использованием ресурсов корпоративных АРМ персональные WEB-страницы на серверах, не входящих в состав ЛС Администрации, за исключением случаев, согласованных руководством подразделений;
3.3. Пользователи имеют право:
на получение надлежащего и исправного АРМ, для выполнения непосредственных функциональных обязанностей,
подавать заявку на получение права доступа к оборудованию общего пользования,
подавать заявку на выделение и модернизацию компьютерного оборудования персонального пользования,
подавать заявку на увеличение квот на компьютерные ресурсы и удовлетворение потребностей в расходных материалах, при превышении средних норм должно представляться обоснование,
вносить предложения по установке бесплатного и приобретению коммерческого программного обеспечения общего пользования,
вносить предложения по приобретению компьютерного оборудования,
вносить предложению по улучшению настроек оборудования и программного обеспечения общего пользования, по улучшению условий труда,
получать консультацию у системного администратора по работе с компьютерным оборудованием и программным обеспечением общего пользования, по вопросам компьютерной безопасности,
в случае несогласия обжаловать у непосредственного руководителя действия системного администратора,
вносить предложения по изменению настоящего Положения,
получать уведомления об изменениях настоящего Положения и правил работы на конкретном оборудовании.
4. РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ И ОБОРУДОВАНИЯ.
4.1. Регистрация нового оборудования, подключаемого к сети Администрации, производится у системного администратора. Оборудование персонального пользования закрепляется за работником, берущим на себя ответственность за его эксплуатацию. Ответственное лицо обязано сообщать системному администратору, ведущему учет, о перемещении оборудования в иное помещение, об изменении комплектации, о сдаче в ремонт, о передаче ответственности за оборудование другому лицу.
4.2. Передача оборудования осуществляется только в случае двустороннего подписания акта о материальной ответственности между передающей и принимающей стороной.
4.3. Регистрация пользователей производится системным администратором, ответственными за предоставление доступа к конкретному оборудованию.
5. ОБЯЗАННОСТИ И ПРАВА СИСТЕМНОГО АДМИНИСТРАТОРА
5.1. Системный администратор обязан:
совершенствовать работу оборудования и программного обеспечения общего пользования для повышения эффективности выполнения пользователями их служебных обязанностей,
следить за стабильной работой рабочих станций, серверов, установленных на них программ и автоматизированных систем,
следить за актуальностью учетных записей, паролей и полномочий пользователей,
предоставлять пользователям информацию необходимую для работы на компьютерном оборудовании общего пользования,
доводить до сведения пользователей информацию об изменении правил или режима работы оборудования общего пользования,
снижать до минимально необходимого время простоя оборудования из-за неполадок и сервисных работ,
проводить среди пользователей разъяснительную работу по вопросам компьютерной безопасности,
доводить до сведения пользователей правила работы на конкретном оборудовании,
не разглашать информацию, полученную в ходе выполнения служебных обязанностей и не имеющую прямого отношения к выполняемым обязанностям.
5.2. Системный администратор имеет право:
делать предупреждения пользователям, нарушившим установленные правила работы, а также информировать непосредственное руководство о произошедшем инциденте.
требовать от пользователя подробного отчета о работе, если во время этой работы произошел отказ или сбой оборудования или программного обеспечения общего пользования,
требовать обоснования необходимости выделения пользователю ограниченных ресурсов или расходных материалов сверх среднего запланированного уровня,
проверять исправность компьютеров, подключенных к ЛС Администрации, правильность настройки сетевых программ и соблюдение правил работы, с использованием, при необходимости, административного доступа к ПК на время проверки,
оперативно отключать от сети, блокировать работу или выводить из эксплуатации оборудование в случае нарушения компьютерной безопасности, по причине неисправности или грубого нарушения правил работы,
в экстренной ситуации, для обеспечения бесперебойной работы сети и компьютеров общего пользования, осуществлять отключение оборудования в отсутствии ответственного лица или пользователя и без предварительного уведомления.
системный администратор имеет право без предупреждения удалять с дисков компьютеров общего пользования файлы пользователей содержащие игровые программы и программы, предназначенные для нарушения компьютерной безопасности, файлы зараженные компьютерными вирусами, файлы, содержащие мультимедиа-информацию, не имеющую отношения к деятельности Администрации.
6. ОБЩИЕ ПРАВИЛА РАБОТЫ НА АРМ
6.1.При доступе к службам и ресурсам AC пользователь обязан, ввести свое имя и пароль (за исключением общедоступных ресурсов).
6.2.Требования к паролям пользователей и порядок работы с ними.
6.2.1Пароли должны генерироваться специальными программными средствами либо выбираться самостоятельно пользователями, а при необходимости администраторами, с учетом следующих требований:
длина пароля пользователя должна составлять не менее 8 символов;
в составе символов пароля обязательно должны присутствовать буквы и цифры;
в составе символов пароля желательно использовать знаки пунктуации, специальные символы (" ~ ! @ # $ % ^ & * ( ) - + _ = \ ! / ?).
6.2.2 Пароль не должен состоять из:
фамилии, имени, отчества пользователя ни в каком виде, т.е. написанными в строчном, прописном, смешанном виде, задом наперед, два раза и т.д.;
фамилий, имен, отчеств родных и близких пользователя ни в каком виде;
кличек домашних животных, номеров автомобилей, телефонов и других значимых сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;
известных названий, словарных и жаргонных слов;
последовательности символов и знаков (111, qwerty, abcd и т.д.);
общепринятых сокращений и аббревиатур (ЭВМ, ЛВС, USER и т.д.);
наименования учетной записи пользователя.
6.3.Ввод пароля
При вводе пароля пользователю необходимо исключить возможность его подсматривания посторонними лицами (человек за спиной, наблюдение человеком за движением пальцев в прямой видимости или в отраженном свете) и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерам и т.п.).
6.4. Хранение пароля
Запрещается записывать пароли на бумаге, в файлах, электронных записных книжках и других носителях информации, в том числе на предметах.
Запрещается сообщать пароли другим пользователям, обслуживающему персоналу информационных автоматизированных систем и регистрировать их в системах под своей учетной записью, за исключением случаев устранения неисправностей (в присутствии пользователя).
Запрещается пересылать пароль открытым текстом в сообщениях электронной почты.
Хранение своего пароля на бумажном носителе допускается только в личном сейфе владельца пароля.
6.5. Смена паролей.
Плановая смена паролей должна проводиться не реже одного раза в 180 дней.
Для АС, позволяющих настраивать политику парольной защиты и доступа пользователей, используются следующие принципы смены паролей:
при создании учетной записи администратор устанавливает опцию, регулирующую период смены пароля (180 дней);
смена пароля производится пользователем самостоятельно в соответствии с предупреждением системы, возникающем при приближении к сроку окончания действия текущего пароля.
Для АС, в которых отсутствует возможность настройки политики парольной защиты и доступа пользователей, смена паролей, осуществляется администратором путем генерации нового пароля Пользователя. Передача созданного пароля Пользователю осуществляется способом, исключающим его компрометацию.
6.6 Действия в случае утери или компрометации пароля.
В случае утери или компрометации пароля Пользователь обязан незамедлительно предпринять меры по смене пароля: сменить его самостоятельно, либо оформить заявку на смену пароля в адрес системного администратора.
Устная заявка Пользователя на смену пароля не является основанием для проведения таких изменений.
6.7. Подключение АРМ пользователей к службам и ресурсам АС, настройка прав доступа.
Подключение пользователей к ресурсам и службам АС производится системным администратором на основании заявки.
Администратор сети не в праве самостоятельно производить изменение прав доступа того или иного пользователя без наличия согласованной заявки, за исключением случаев, описанных в п. 3.2, когда пользователь своими действиями нарушает положения данной инструкции или других регламентов эксплуатации АС. В этом случае администратор вправе произвести временное отключение пользователя (его АРМ) от ресурсов и сервисов АС и инициировать служебное расследование в отношении неправомерных действий пользователя.
7. ОТВЕТСТВЕННОСТЬ
7.1. Настоящее Положение утверждается главой Ртищевского муниципального района и доводится до сотрудников через руководителей подразделений и системных администраторов. В случае конфликта, легальные пользователи обязаны выполнить текущее требование указанных лиц, а затем обратиться к руководству для разрешения конфликта.
7.2. Пользователь несет ответственность за сохранение в секрете своих паролей для входа в сетевую среду компьютерных ресурсов Администрации. Пользователям запрещается действием или бездействием способствовать разглашению своего пароля.
7.3. Администрация не несет ответственности за противоправные или неэтичные действия своего работника (работников) в сфере компьютерных или телекоммуникационных технологий, если таковые действия совершены во внеслужебное время и с территории и посредством оборудования, не находящихся под юрисдикцией Администрации. В данной ситуации ссылки такого лица (лиц) на принадлежность к Администрации не могут служить основанием для судебного преследования Администрации за действия своего работника (работников).
7.4. Устранение всех возможных неполадок и сбоев в работе компьютерных ресурсов Администрации, возникших по причине самостоятельной установки работником ПО или в результате нерационального использования техники, осуществляется за счет собственных средств пользователя.
Верно: начальник отдела делопроизводства
администрации муниципального района Ю.А. Малюгина
Приложение № 2
к постановлению администрации
Ртищевского муниципального района
от 7 апреля 2020 года № 323
Инструкция по работе пользователя
в информационных системах персональных данных
1. Общие положения
1.1. Настоящая инструкция определяет общие положения работы пользователей в защищенной от несанкционированного доступа информационной системе персональных данных (далее - ИСПДн).
1.2. Пользователь ИСПДн (далее – Пользователь) осуществляет обработку персональных данных в информационной системе персональных данных.
1.3. Пользователем является каждый сотрудник администрации Ртищевского муниципального района, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
1.4. Пользователь отвечает за правильность функционирования ИСПДн, входа в систему и все действия при работе в ИСПДн.
1.5. Пользователь в своей работе руководствуется настоящей инструкцией, Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и регламентирующими документами администрации Ртищевского муниципального района.
1.6. Методическое руководство работой пользователя осуществляется ответственным за организацию работ по обработке персональных данных.
2. Должностные обязанности
2.1. Допуск пользователей для работы с ИСПДн осуществляется в соответствии со списком лиц допущенных к работе c персональными данными.
2.2. В процессе первичной регистрации пользователя руководитель отдела, в котором работает пользователь, заявляет Администратору информационной системы перечень необходимых для работы пользователя ресурсов, перечень персональных данных, состав необходимого общесистемного программного обеспечения для решения поставленных задач.
2.3. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору информационной безопасности.
2.4. Обо всех выявленных нарушениях, связанных с информационной безопасностью администрации Ртищевского муниципального района, а также для получений консультаций по вопросам информационной безопасности, необходимо обратиться к администратору информационной безопасности.
2.5. Пользователь обязан:
Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке носителей информации, обеспечению безопасности персональных данных, а также руководящих и организационно-распорядительных документов.
Соблюдать правила при работе в сетях общего доступа, а также сети – Интернет.
При работе со съемными носителями пользователь должен каждый раз перед началом работы проверить их на наличие вирусов с использованием штатных антивирусных программ.
В случае обнаружения вирусов на машинных носителях информации (съемных носителях, жестком магнитном диске, твердотельном носителе) пользователь обязан немедленно сообщить Администратору информационной безопасности.
В случае оставления рабочей станции без визуального контроля доступ к компьютеру должен быть немедленно заблокирован. Для этого необходимо нажать одновременно комбинацию клавиш
Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий, в пределах, возложенных на него функций.
2.6. Пользователям запрещается:
Разглашать защищаемую информацию третьим лицам.
Копировать защищаемую информацию на внешние носители без разрешения своего руководителя.
Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств.
Несанкционированно открывать общий доступ к папкам на своей рабочей станции.
Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства.
Отключать (блокировать) средства защиты информации.
Обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн.
Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн.
Привлекать посторонних лиц для производства ремонта или настройки АРМ, без согласования с ответственным за обеспечение защиты персональных данных.
Самостоятельно вносить изменения в аппаратно-программную конфигурацию ИСПДн, изменять месторасположение средств отображения информации.
2.7. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет дисциплинарную, административную, гражданско-правовую или уголовную ответственность граждан и юридических лиц.
3. Правила работы в сетях общего доступа и (или) международного обмена
3.1 Работа в сетях общего доступа, а также сети Интернет (далее – Сеть) на элементах ИСПДн должна проводиться при служебной необходимости.
3.2 При работе в Сети запрещается:
Осуществлять работу при отключенных средствах защиты (антивирус и других).
Передавать по Сети защищаемую информацию без использования механизмов защиты.
Запрещается скачивать из Сети программное обеспечение и другие файлы.
Запрещается посещение сайтов сомнительной репутации (порно сайты, сайты, содержащие нелегально распространяемое ПО и другие).
Запрещается нецелевое использование подключения к Сети.
Дополнительные сведения
| Государственные публикаторы: | сайт Ртищевского муниципального района www.rtishevo.sarmo.ru № б.н от 07.04.2020 |
| Рубрики правового классификатора: | 150.000.000 ИНФОРМАЦИЯ И ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. СВЯЗЬ., 150.020.000 Муниципальные информационные системы., 150.020.030 Муниципальные информационные системы персональных данных. |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
