Об утверждении регламентов функционирования информационных систем



АДМИНИСТРАЦИЯ ЗОНАЛЬНОГО РАЙОНА

АЛТАЙСКОГО КРАЯ

ПОСТАНОВЛЕНИЕ

28.09.2020                                                                                                             № 347

с. Зональное

Об утверждении регламентов функционирования информационных систем

В целях соблюдения требований Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», и других нормативно-правовых актов и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных,

ПОСТАНОВЛЯЮ:

Назначить управляющего делами Администрации Зонального района Алтайского края Меремьянина И.В. ответственным за обеспечение безопасности персональных данных в информационных системах, соответствующие изменения внести в должностную инструкцию.

Назначить начальника отдела программного обеспечения Администрации Зонального района Алтайского края Сидоренко А.П. ответственным за антивирусную проверку, соответствующие изменения внести в должностную инструкцию.

Назначить начальника отдела программного обеспечения Администрации Зонального района Алтайского края Сидоренко А.П. ответственным за техническое обслуживание, соответствующие изменения внести в должностную инструкцию.

Назначить управляющего делами Администрации Зонального района Алтайского края Меремьянина И.В. ответственным за разработку, проведение мероприятий, направленных на выполнение требований законодательства и других нормативных документов в области персональных данных, соответствующие изменения внести в должностную инструкцию.

Утвердить:

5.1. Перечень информационных систем персональных данных (Приложение 1);

5.2. Список лиц, имеющих доступ к персональным данным (Приложение 2);

5.3. Перечень помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения (Приложение 3);

5.4. Список мест хранения материальных носителей персональных данных (Приложение 4);

5.5. Состав комиссии по классификации информационных систем (Приложение 5);

5.6. План размещения автоматизированных рабочих мест, на которых осуществляется обработка персональных данных (Приложение 6);

5.7. Состав комиссии по уничтожению носителей персональных данных (Приложение 7);

5.8. Инструкция пользователей информационных систем (Приложение 8);

5.9. Инструкция администратора ИС (Приложение 9);

5.10. Инструкция администратора информационной безопасности (Приложение 10);

5.11. Инструкция по организации работы с материальными носителями (Приложение 11);

5.12. Инструкция по организации работы с электронными носителями (Приложение 12);

5.13. Перечень разрешенного к использованию программного обеспечения (Приложение 13);

5.14. Регламент защиты информационных ресурсов при удаленном доступе через сеть (Приложение 14);

5.15. Порядок технического обслуживания, ремонта, модернизации технических средств, входящих в состав информационных систем (Приложение 15);

5.16. План технического обслуживания средств вычислительной техники (Приложение 16);

5.17. Форма заявки на внесение изменений в состав аппаратно-программных средств информационных систем (Приложение 17);

5.18. Форма акта об удалении информации (остаточной), хранившейся на диске компьютера (Приложение 18);

5.19. Форма акта установки оборудования (Приложение 19);

5.20. Форма журнала проверки исправности и технического обслуживания (Приложение 20);

5.21. Инструкция по проведению антивирусного контроля (Приложение 21);

5.22. Описание технологического процесса обработки информации в информационных системах (Приложение 22).

Исполняющему обязанности начальника общего отдела Администрации Зонального района Алтайского края Гузенко Г.Н. ознакомить сотрудников Администрации Зонального района Алтайского края с настоящим постановлением.

Комиссии по классификации информационных систем в срок до 29.09.2020 провести мероприятия по установлению уровней защищенности информационных систем персональных данных и установлению класса защищенности государственных информационных систем с составлением соответствующих актов. Акты предоставить на утверждение.

Настоящее постановление опубликовать в Сборнике муниципальных правовых актов Зонального района Алтайского и обнародовать на официальном сайте Администрации Зонального района Алтайского края в сети «Интернет».

Настоящее постановление вступает в силу со дня его принятия.

Контроль за исполнением настоящего постановления возложить на управляющего делами Администрации Зонального района Алтайского края Меремьянина И.В.

Глава Зонального района

Алтайского края Т. В. Выставкина

Приложение 1

к Постановлению

от 28.09.2020 № 347

Перечень

информационных систем персональных данных

Администрации Зонального района Алтайского края

№ п/п

Название ресурса

Путь к ресурсу (место хранения)

Состав обрабатываемой информации

Количество субъектов персональных данных

Категория

Принадлежность

Правовые основания

1

2

3

4

5

6

7

8

1

СУФД

АРМ Главного бухгалтера

Фамилия

Имя

Отчество

Адрес места проживания

Номер телефона

Менее чем 100000

Иные

Сотрудники

Федеральный закон "О бухгалтерском учете" от 06.12.2011 № 402-ФЗ

2

Автоматизированная информационная система

«1С: Предприятие 8.3. Конфигурация «Бухгалтерия Государственного учреждения»

АРМ Главного бухгалтера

Фамилия

Имя

Отчество

Адрес места проживания

Номер телефона

Менее чем 100000

Иные

Субъекты, не являющиеся сотрудниками

Федеральный закон "О бухгалтерском учете" от 06.12.2011 № 402-ФЗ

3

Автоматизированная информационная система

«1С: Предприятие 8.3. Конфигурация «Зарплата и Кадры Государственного учреждения»

АРМ Главного бухгалтера

Фамилия

Имя

Отчество

Адрес места проживания

Номер телефона

Менее чем 100000

Иные

Субъекты, не являющиеся сотрудниками

Федеральный закон "О бухгалтерском учете" от 06.12.2011 № 402-ФЗ

4

Автоматизированная информационная система «Контур»

Менее чем 100000

Иные

Сотрудники

5

АРМ "Клиент" АС "Клиент-Сбербанк"

Менее чем 100000

Иные

Сотрудники

6

Автоматизированная информационная система «SAUMI»

Менее чем 100000

Специальные

Сотрудники

Приложение 2

к Постановлению

от 28.09.2020 № 347

Список лиц,

имеющих доступ к персональным данным

в Администрации Зонального района Алтайского края

№

п\п

ФИО

Должность

1

Выставкина Татьяна Валерьяновна

Глава Зонального района

2

Степанов Даниил Николаевич

Заместитель главы Администрации района по газификации, начальник отдела по жилищно-коммунальному хозяйству Администрации района

3

Меремьянин Иван Васильевич

Управляющий делами Администрации района

4

Гузенко Галина Николаевна

И.О. начальника общего отдела

5

Пилюченко Татьяна Петровна

Начальник отдела, главный бухгалтер отдела учета и отчетности Администрации района

6

Абдурашитова Анна Александровна

Заместитель начальника отдела, бухгалтер отдела учета и отчетности Администрации района

7

Сидоренко Анатолий Павлович

Начальник отдела программного обеспечения Администрации района

8

Вдовин Денис Владимирович

Заместитель начальника отдела программного обеспечения Администрации района

9

Пересильд Дарья Геннадьевна

Начальник юридического отдела Администрации района

10

Щербина Олеся Анатольевна

И.О. гл. специалиста юридического отдела Администрации района

11

Галахова Татьяна Петровна

Начальник отдела по экономике, труду и предпринимательству Администрации района

12

Драйт Светлана Сергеевна

Заместитель начальника отдела по экономике, труду и предпринимательству Администрации района

13

Чернова Наталья Александровна

Начальник отдела архитектуры, строительства и транспорта Администрации района

14

Пашкова Елена Александровна

Начальник отдела по имуществу и земельным отношениям Администрации района

15

Винокурова Елена Сергеевна

Ведущий специалист - бухгалтер отдела по имуществу и земельным отношениям Администрации района

16

Горшков Константин Александрович

Начальник отдела по делам молодежи и спорта Администрации района

17

Юстус Елена Степановна

Начальник архивного отдела Администрации района

18

Дудин Тимофей Михайлович

Начальник управления сельского хозяйства Администрации района

19

Савилова Ирина Викторовна

Начальник отдела экономического развития управления сельского хозяйства Администрации района

20

Савилов Александр Александрович

Начальник отдела земледелия и охраны окружающей среды управления сельского хозяйства Администрации района

Приложение 3

к Постановлению

от 28.09.2020 № 347

Перечень

помещений Администрации Зонального района Алтайского края, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения

Помещения, в которых осуществляется обработка персональных данных:

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Пилюченко Татьяна Петровна

Начальник отдела, главный бухгалтер отдела учета и отчетности Администрации района

Отдел учета и отчетности Администрации района

2

Абдурашитова Анна Александровна

Заместитель начальника отдела, бухгалтер отдела учета и отчетности Администрации района

Отдел учета и отчетности Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Пашкова Елена Александровна

Начальник отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

2

Винокурова Елена Сергеевна

Ведущий специалист - бухгалтер отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

3

Кутукова Дарья Сергеевна

Исполняющий обязанности специалиста 1 категории отдела по имуществу и земельным отношениям Администрации района

Отдел по имуществу и земельным отношениям Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Гузенко Галина Николаевна

И.О. начальника общего отдела

Общий отдел Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Сидоренко Анатолий Павлович

Начальник отдела программного обеспечения Администрации района

Отдел программного обеспечения Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Вдовин Денис Владимирович

Заместитель начальника отдела программного обеспечения Администрации района

Отдел программного обеспечения Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Пересильд Дарья Геннадьевна

Начальник юридического отдела Администрации района

Юридический отдел Администрации района

2

Щербина Олеся Анатольевна

И.О. гл. специалиста юридического отдела Администрации района

Юридический отдел Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Чернова Наталья Александровна

Начальник отдела архитектуры, строительства и транспорта Администрации района

Отдел архитектуры, строительства и транспорта Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Галахова Татьяна Петровна

Начальник отдела по экономике, труду и предпринимательству Администрации района

Отдел по экономике, труду и предпринимательству Администрации района

2

Драйт Светлана Сергеевна

Заместитель начальника отдела по экономике, труду и предпринимательству Администрации района

Отдел по экономике, труду и предпринимательству Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Савилова Ирина Викторовна

Начальник отдела экономического развития управления сельского хозяйства Адмистрации района

Управление сельского хозяйства Администрации района

2

Савилов Александр Александрович

Начальник отдела земледелия и охраны окружающей среды управления сельского хозяйства Адмистрации района

Управление сельского хозяйства Администрации района

адрес: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13.

Кабинет № .

Список лиц, имеющих допуск в кабинет №

№ п\п

ФИО

Должность

Отдел

1

Горшков Константин Александрович

Начальник отдела по делам молодежи и спорта Администрации района

Отдел по делам молодежи и спорта Администрации района

Приложение 4

к Постановлению

от 28.08.2020 № 347

Список

мест хранения материальных носителей персональных данных Администрации Зонального района Алтайского края

№ п/п

Наименование носителей

Адрес, расположение

Место хранения

1

Личное дело сотрудника

659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13, кабинет №

Сейф

2

3

4

Приложение 5

к Постановлению

от 28.09.2020 № 347

Состав

комиссии по классификации информационных систем Администрации Зонального района Алтайского края

Для определения уровня защищенности информационных систем персональных данных и установления класса защищенности информационных систем Администрации Зонального района Алтайского края назначается комиссия в составе:

Председатель комиссии:

 Меремьянин Иван Васильевич – управляющий делами Администрации Зонального района Алтайского края.

Члены комиссии:

 Сидоренко Анатолий Павлович – начальник отдела программного обеспечения Администрации Зонального района Алтайского края;

 Гузенко Галина Николаевна – исполняющий обязанности начальника общего отдела Администрации Зонального района Алтайского края.

По результатам работ комиссия предоставляет главе Зонального района Алтайского края для утверждения Акт установления уровня защищенности информационной системы персональных данных и Акт установления класса защищенности государственной информационной системы (для каждой информационной системы данных составляется отдельный акт) Администрации Зонального района Алтайского края.

Приложение 6

к Постановлению

от 28.09.2020 № 347

План

размещения автоматизированных рабочих мест, на которых осуществляется обработка персональных данных в Администрации Зонального района Алтайского края

Размещение автоматизированных рабочих мест, на которых осуществляется обработка персональных данных в рамках информационных систем персональных данных (ИСПДн), отражена в таблице, приведенной ниже:

№ п\п

№ каб.

ФИО

Должность

ИС

1

Пилюченко Татьяна Петровна

Начальник отдела, главный бухгалтер отдела учета и отчетности Администрации района

1С: Предприятие 8.3. Конфигурация «Бухгалтерия Государственного учреждения

2

Абдурашитова Анна Александровна

Заместитель начальника отдела, бухгалтер отдела учета и отчетности Администрации района

СУФД

«1С: Предприятие 8.3. Конфигурация «Зарплата и Кадры Государственного учреждения»

Автоматизированная информационная система «Контур»

АРМ "Клиент" АС "Клиент-Сбербанк"

3

Пашкова Елена Александровна

Начальник отдела по имуществу и земельным отношениям Администрации района

Автоматизированная информационная система «SAUMI»

Единая информационная система Алтайского края - (ЕИС)

4

Винокурова Елена Сергеевна

Ведущий специалист - бухгалтер отдела по имуществу и земельным отношениям Администрации района

Автоматизированная информационная система «SAUMI»

Единая информационная система Алтайского края - (ЕИС)

5

Сидоренко Анатолий Павлович

Начальник отдела программного обеспечения Администрации района

Единая информационная система Алтайского края - (ЕИС),

ЕГР ЗАГС

6

Гузенко Галина Николаевна

И.О. начальника общего отдела

ЛАРМ ЕС ОГ

АРМ ЕС ОГ

Приложение 7

к Постановлению

от 28.09.2020 № 347

Состав

комиссии по уничтожению носителей персональных данных

Председатель комиссии:

 Меремьянин Иван Васильевич – управляющий делами Администрации Зонального района Алтайского края.

Члены комиссии:

 Сидоренко Анатолий Павлович – начальник отдела программного обеспечения Администрации Зонального района Алтайского края;

 Гузенко Галина Николаевна – исполняющий обязанности начальника общего отдела Администрации Зонального района Алтайского края.

По результатам работ комиссия предоставляет главе Зонального района Алтайского края для утверждения Акт об уничтожении носителей персональных данных.

Состав

комиссии по уничтожению материальных носителей персональных данных

Председатель комиссии:

 Меремьянин Иван Васильевич – управляющий делами Администрации Зонального района Алтайского края.

Члены комиссии:

 Сидоренко Анатолий Павлович – начальник отдела программного обеспечения Администрации Зонального района Алтайского края;

 Гузенко Галина Николаевна – исполняющий обязанности начальника общего отдела Администрации Зонального района Алтайского края.

По результатам работ комиссия предоставляет главе Зонального района Алтайского края для утверждения Акт об уничтожении носителей персональных данных.

Приложение 8

к Постановлению

от 28.09.2020 № 347

ИНСТРУКЦИЯ

пользователей информационных систем Администрации Зонального района Алтайского края

Перечень использованных сокращений, единиц и терминов

АИБ – администратор информационной безопасности.

АРМ – автоматизированное рабочее место.

ГИС – государственная информационная система.

ИС – информационная система.

ИСОП – информационная система общего пользования.

КИ – конфиденциальная информация.

ЛВС – локальная вычислительная сеть.

НСД – несанкционированный доступ.

ПДн – персональные данные.

ПО – программное обеспечение.

Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ИС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Допуск пользователей для работы в ИС – выполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к защищаемой информации.

Доступ пользователей для работы в ИС – получение каждым пользователем ИС, только письменного разрешения обладателя информации или другого уполномоченного должностного лица на право работы с информацией с учетом его служебных обязанностей.

Общие положения

2.1. Настоящий Регламент разработан в соответствии с требованиями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и других действующих нормативно-правовых актов Российской Федерации.

2.2. Настоящий Регламент определяет общие требования к организации допуска пользователей для работы в информационных системах общего пользования, государственных информационных системах, информационных системах персональных данных, информационных системах, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к объектам критической информационной инфраструктуры (далее по тексту – ИС, защищаемые информационные ресурсы Администрации Зонального района Алтайского края (далее – Администрации Зонального района) при обработке (наборе, редактировании и печати) защищаемых информационных ресурсов, права и обязанности пользователей при работе в защищаемой ИС, ответственность за невыполнение предъявляемых к работе пользователей требований.

2.3. Основная цель обеспечения информационной безопасности – предотвращение несанкционированного, в том числе случайного, доступа к защищаемой информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение, а также иные несанкционированные действия.

2.4. Методическое руководство работой пользователей, настройку параметров средств защиты, контроль работоспособности и соответствия установленным требованиям параметров настройки средств защиты, установленных на персональных компьютерах, осуществляет ответственные за обеспечение защиты информации в информационных системах персональных данных (ИСПДн) и администратор информационной безопасности.

2.5. Ответственность за безопасность информации и соблюдение установленных правил работы при ее обработке возлагается на лиц, допущенных к их обработке.

Порядок организации допуска пользователей для работы в ИС

3.1. Порядок допуска определяется в соответствии с «Положением о разрешительной системе допуска».

Общие принципы работы пользователя

4.1. Работа пользователей в системе разрешена только на закреплённых за ними компьютерами, в определенное время и только с разрешенными программами и сетевыми ресурсами.

4.2. Вход в систему в обязательном порядке осуществляется на основе ввода (по запросу системы) имени, присвоенного при первичной регистрации администратором информационной системы, и ввода личного пароля, требования к которому установлены в «Инструкции по парольной защите Администрации Зонального района Алтайского края. Ни при каких условиях пароль не может быть сообщён другому лицу за исключением случаев, предусмотренных в «Инструкции по парольной защите Администрации Зонального района Алтайского края. В случае отказа системы в идентификации пользователя, либо не подтверждения личного пароля следует немедленно обратиться к АИБу.

4.3. Все автоматизированные рабочие места, установленные в Администрации Зонального района Алтайского края имеют унифицированный набор установленного программного обеспечения, определенный в «Перечне разрешенного к использованию в Администрации Зонального района Алтайского края программного обеспечения». Самостоятельная установка программного обеспечения на автоматизированные рабочие места запрещена. Установка и удаление любого программного обеспечения производится только АИБом или администратором информационной системы. Установка и использование игровых программ запрещено.

4.4. Комплектация персональных компьютеров аппаратными и программными средствами, а также расположение компьютеров контролируется уполномоченными сотрудниками. Самовольное перемещение средств вычислительной техники является нарушением персональной ответственности за сохранность переданных сотруднику во временное пользование средств автоматизации. Перемещение любых средств вычислительной техники производится в порядке, установленном в Администрации Зонального района Алтайского края. Изменение конструкции, конфигурации средств вычислительной техники запрещено.

4.5. Для постоянного хранения и обработки защищаемых информационных ресурсов разрешается использовать исключительно каталоги, определенные АИБом или администратором ИС. Использование отчуждаемых носителей в данных целях запрещено.

4.6. Пользователю разрешается обрабатывать информацию в рамках определенных полномо              чий доступа, обрабатывать информацию с грифом конфиденциальности выше заявленного при регистрации запрещено.

4.7. Пользователю запрещается осуществлять попытки НСД к ресурсам системы и других пользователей; пытаться подменять функции АИБа по перераспределению времени работы и полномочий доступа к ресурсам компьютера.

4.8. При обнаружении неисправности в работе автоматизированного рабочего места (АРМ), элементов информационной системы, средств защиты пользователю запрещается продолжать работать на АРМ. Об обнаруженных неисправностях необходимо сообщить АИБу или администратору ИС.

Обеспечение безопасности персональных данных при использовании сети Интернет

5.1. Доступ к сети Интернет предоставляется в соответствии с должностными обязанностями сотрудника с целью получения оперативной и достоверной информации, необходимой для выполнения должностных обязанностей.

5.2. Пользователям, имеющим доступ в Интернет запрещается:

 пересылка документов, содержащих защищаемые информационные ресурсы по сети Интернет, электронной почте или с использованием клиентов службы мгновенного обмена сообщениями (ICQ, jabber и т.п.);

 использование сети Интернет для развлечения, в т.ч. посещения сайтов «социальных сетей» и сервисов, и получения информации, не относящейся к функциональным обязанностям пользователя;

 доступ к сети Интернет и электронной почте не со своего рабочего места с использованием данных своей учетной записи;

 предоставление доступа к сети Интернет с использованием данных своей учетной записи другим лицам;

 публикация своего адреса электронной почты в электронных каталогах и на поисковых машинах сети Интернет;

 подписка по электронной почте на различные рекламные материалы, листы рассылки, электронные журналы и т.п., не связанные с выполнением пользователем функциональных обязанностей;

 открытие (запуск на выполнение) файла, полученного из сети Интернет или по электронной почте, без предварительной проверки его антивирусным ПО.



Порядок проведения антивирусного контроля

6.1. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по электронной почте, интернет-ресурсам, а также информация на съемных носителях (флешках, CD-ROM и т.п.).

6.2. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.), либо на наличие заражения съемного носителя, пользователь самостоятельно или вместе с ответственным за обеспечение безопасности информации (администратором информационной безопасности) должен провести внеочередной антивирусный контроль своей рабочей станции.

6.3. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи обязаны:

 приостановить работу;

 поставить в известность о факте обнаружения зараженных вирусом файлов администратора информационной безопасности.

 провести лечение или уничтожение зараженных файлов.

6.4. Пользователям запрещается:

 отключать средства антивирусной защиты информации во время работы;

 открывать сомнительные электронные письма (необходимо удаление), ссылки, сайты, источники переноса информации.

Обеспечение безопасности защищаемой информации при использовании съемных носителей

7.1. Пользователям запрещается:

 хранить съемные носители с вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

 выносить съемные носители с защищаемой информацией из служебных помещений для работы с ними на дому и т. д.

7.2. При отправке или передаче защищаемой информации, адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка защищаемой информации адресатам на съемных носителях осуществляется в установленном порядке.

Обеспечение безопасности перед началом обработки защищаемой информации

8.1. Перед началом обработки защищаемой, необходимо убедиться в том, что:

 в помещении, в котором ведется работа защищаемой информацией, отсутствуют посторонние лица;

 технические средства, с использованием которых осуществляется обработка защищаемой информации, находятся в исправном состоянии;

 используемые в работе носители защищаемой информации, не повреждены;

 к защищаемой информации не был осуществлен НСД.

Обеспечение безопасности во время обработки защищаемой информации

9.1. Во время обработки защищаемой информации необходимо обеспечить:

 недопущение нахождения в помещении, в котором ведется работа, посторонних лиц;

 недопущение воздействия на технические средства, с использованием которых осуществляется обработка, способного нарушить их функционирование;

 постоянный контроль за соблюдением условий эксплуатации средств защиты информации, предусмотренных эксплуатационной и технической документацией;

 недопущение несанкционированного доступа к информации.

9.2. Во избежание получения НСД к информационным ресурсам АРМ сотрудника устанавливается хранитель экрана, который автоматически включается через 10 минут отсутствия работы на данном компьютере, при этом выход из режима хранителя экрана возможен только при введении идентификационных данных пользователя. При необходимости отлучиться от рабочего места пользователь обязан принудительно запустить хранитель экрана посредством комбинации клавиш «Wi№dows + L» либо другим доступным способом.

Обеспечение безопасности при завершении обработки защищаемой информации

10.1. После завершения сеанса обработки защищаемой информации необходимо обеспечить:

 исключение возможности несанкционированного проникновения или нахождения посторонних лиц в помещении, в котором размещены технические средства, используемые для обработки;

 работоспособность средств защиты информации, функционирующих при отсутствии лиц, допущенных к обработке защищаемой информации.



Порядок действий в случае обнаружения фактов нарушения безопасности защищаемой информации

11.1. При нарушении порядка предоставления защищаемой информации, пользователям информационной системы необходимо приостановить их предоставление.

11.2. При обнаружении НСД к защищаемой информации необходимо немедленно прекратить несанкционированный доступ.

11.3. При модификации или уничтожении защищаемой информации, вследствие НСД к ним необходимо обеспечить их незамедлительное восстановление.

11.4. В случае обнаружения фактов несоблюдения условий хранения носителей защищаемой информации, использования средств защиты информации, которые могут привести к нарушению конфиденциальности защищаемой информации, или другим нарушениям, приводящим к снижению уровня защищенности защищаемой информации, необходимо произвести фиксацию данных фактов, служебное расследование и заключение по данным фактам, разработку и принятие мер по предотвращению возможных негативных последствий подобных нарушений.

11.5. Обо всех случаях нарушения безопасности защищаемой информации необходимо немедленно поставить в известность АИБа и произвести служебное расследование.

Права пользователей

12.1. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИС, присвоенными АИБом данному пользователю. При этом для хранения файлов, содержащих защищаемую информацию, разрешается использовать только специально выделенные каталоги, а также соответствующим образом учтенные внешние носители.

Ответственность пользователей

13.1. Пользователь отвечает за правильность включения и выключения АРМ, входа в систему и все действия при работе в ИС.

13.2. Пользователь ИС, несет персональную ответственность за соблюдение установленных требований во время работы в ЛВС.

13.3. Пользователи ИС, виновные в нарушении законодательства Российской Федерации о защите прав собственности и охраняемых по закону сведений, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и организационно распорядительными документами Администрации Зонального района Алтайского края.

13.4. Ответственность за допуск пользователя к ЛВС и установленные ему полномочия несет АИБ.

Заключительные положения

14.1. Проверка и пересмотр настоящего Регламента осуществляются в следующих случаях:

 при пересмотре межотраслевых и отраслевых требований обеспечения безопасности информации;

 при внедрении новой техники и (или) технологий;

 по результатам анализа материалов расследования нарушений требований законодательства об обеспечении безопасности информации;

 по требованию представителей органов контроля в сфере обеспечения безопасности информации.

14.2. По всем возникающим вопросам при работе в ИС, необходимо обращаться к АИБу.

Приложение 9

к Постановлению

от 28.09.2020 № 347

ИНСТРУКЦИЯ

администратора информационных систем

Администрации Зонального района Алтайского края

Общие положения

1.1. Настоящий Регламент определяет функциональные обязанности, права и ответственность Администратора информационных систем общего пользования, государственных информационных систем, информационных систем персональных данных, информационных систем, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к критическим объектам информационной инфраструктуры (далее по тексту – ИС, защищаемые информационные ресурсы) Администрации Зонального района Алтайского края (далее – Администрация Зонального района).

1.2. Администратор ИС в своей работе руководствуется настоящей Инструкцией, внутренними локальными нормативными актами, регламентирующими деятельность по обработке и защите информации, а также законодательными и нормативными документами, принятыми в сфере защиты информации.

1.3.

Квалификационные требования

2.1. Администратор ИС должен знать:

 законодательные и нормативные правовые акты, регламентирующие деятельность юридических лиц в сфере защиты информации;

 внутренние локальные нормативные акты, регламентирующие деятельность Администрации Зонального района Алтайского края по обработке и защите информации;

 нормативно-методические, организационно-распорядительные, другие руководящие и нормативные документы вышестоящих и других органов, касающиеся методов программирования и использования вычислительной техники при обработке информации и применения современных информационных технологий в вычислительных процессах;

 аппаратное и программное обеспечение (далее - ПО) сетей;

 действующие стандарты, системы счислений, шифров и кодов;

 методы программирования;

 технико-эксплутационные характеристики, конструктивные особенности, назначения и режимы работы оборудования сетей, правила его технической эксплуатации;

 принципы простейшего ремонта аппаратного обеспечения;

 порядок оформления технической документации;

 средства вычислительной техники, телекоммуникаций и связи, эксплуатируемые в Администрации Зонального района Алтайского края;

 основные вопросы трудового законодательства, правила и нормы охраны труда;

 правила внутреннего трудового распорядка;

 локальные нормативные акты Администрации Зонального района Алтайского края, регламентирующие правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной безопасности;

 настоящей Инструкцию.



Функции

3.1. Администратор ИС исполняет следующие функции:

 обеспечивает устойчивую работоспособность элементов ИС;

 выполняет положения локальных нормативных актов Администрации Зонального района Алтайского края.



Должностные обязанности

4.1. Администратор ИС обязан:

4.1.1. Обеспечивать установку, настройку и своевременное обновление элементов ИС:

 ПО автоматизированных рабочих мест (далее – АРМ) и серверов (операционные системы, прикладное и специальное ПО);

 аппаратных средств;

 аппаратных и программных средств защиты.

4.1.2. Обеспечивать работоспособность элементов ИС.

4.1.3. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

4.1.4. В случае отказа работоспособности технических средств и ПО элементов ИС, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

4.1.5. Проводить периодический контроль принятых мер по защиты, в пределах, возложенных на него функций.

4.1.6. Хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонального пароля пользователями АРМ ИС.

4.1.7. Определять события безопасности, подлежащие регистрации, и сроки их хранения.

4.1.8. Определять состав и содержание информации о событиях безопасности, подлежащих регистрации.

4.1.9. Осуществлять сбор, запись и хранение информации о событиях безопасности в определенном составе и содержании и обеспечивать хранение информации и событиях безопасности в течение установленных сроков хранения.

4.1.10. Обеспечивать своевременное реагирование на сбои при регистрации событий безопасности, а также мониторинг событий безопасности и реагирование на них.

4.1.11. Обеспечить защиту информации о событиях безопасности информации в соответствии с локальными нормативными актами.

4.1.12. Информировать администратора информационной безопасности о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИС.

4.1.13. Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИС.

4.1.14. Обеспечивать настройку сетевых интерфейсов и технологий, управление информационными потоками между устройствами и информационными системами, руководствуясь при этом положениями по информационной безопасности.

4.1.15. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт.

4.1.16. Проводить и контролировать обновления используемого ПО, в т.ч. средств защиты информации:

 в случае, если ПО, используемое в Администрации Зонального района, не обновляется в автоматическом режиме, то администратор информационных систем перед установкой обновлений обязан провести тестирование обновление в тестовой среде, не связанной с средой функционирования защищаемых информационных ресурсов и информационных систем;

 в случае, если ПО, используемое в Администрации Зонального района, обновляется в автоматическом режиме, то администратор информационных систем обязан обеспечить получение обновлений из официальных источников разработчика.

4.1.17. Контролировать работоспособность, параметры настройки и правильность функционирования программного обеспечения и средств защиты информации.

4.1.18. Контролировать состав технических средств, программного обеспечения и средств защиты информации в соответствии с «Перечнем разрешенного к использованию программного обеспечения» и «Технического паспорта» объектов информатизации.

4.1.19. Контролировать правила генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, правил разграничения доступа, полномочий пользователей в соответствии с «Положением о разрешительной системе доступа» и «Инструкцией по парольной защите».

4.1.20. Периодически проводить мероприятия по выявлению, анализу и устранению уязвимостей информационных систем.

4.1.21. Присутствовать при выполнении технического обслуживания элементов ИС, сторонними физическими людьми и организациями.

4.1.22. Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

4.1.23. Обеспечивать своевременное оформление всей предусмотренной отчетности и иной рабочей документации.

4.1.24. Повышать свой профессиональный и образовательный уровень.

4.1.25. Соблюдать трудовую и производственную дисциплину.

4.1.26. Соблюдать правила пожарной безопасности, требования техники безопасности и санитарно-гигиенических норм и иных локальных нормативных актов, которыми регламентируется деятельность Администрации Зонального района Алтайского края.

Права

5.1. Администратор ИСПДн имеет право:

5.1.1. Знакомиться с проектами решений руководства Администрации Зонального района Алтайского края, касающимися его деятельности.

5.1.2. Вносить на рассмотрение руководства предложения по улучшению деятельности отдела по соответствующим вопросам.

5.1.3. Участвовать в подготовке проектов документов, связанных с деятельностью отдела.

5.1.4. Осуществлять взаимодействие с руководителями структурных подразделений (начальниками отделов) Администрации Зонального района Алтайского края, получать информацию и документы, необходимые для выполнения своих должностных обязанностей.

5.1.5. Требовать от руководства Администрации Зонального района Алтайского края оказания содействия в исполнении своих должностных обязанностей и прав.

Ответственность

6.1. Администратор ИСПДн несет ответственность за:

6.1.1. Неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.

6.1.2. Совершенные в процессе осуществления своей деятельности правонарушения – в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации.

6.1.3. Невыполнение или ненадлежащее выполнение приказов, распоряжений и поручений главы Зонального района Алтайского края.

6.1.4. Качественное и своевременное выполнение обязанностей, возложенных на него настоящей Инструкцией

6.1.5. Правильное заполнение и ведение всей документации, регламентированной требованиями и стандартами Администрации Зонального района Алтайского края.

6.1.6. Соблюдение графика работы и режима рабочего времени, трудовой и производственной дисциплины.

6.1.7. Использование ресурсов сети Интернет только в рабочих целях.

6.1.8. Сохранность вверенной офисной техники (компьютер, факс, телефоны и т.п.) и офисной мебели; за причинение материального ущерба в пределах, определенных действующим трудовым, уголовным и гражданским законодательством РФ.

6.1.9. Разглашение конфиденциальной информации.

Приложение 10

к Постановлению

от 28.09.2020 № 347

ИНСТРУКЦИЯ

ответственного за обеспечение безопасности информации в информационных системах Администрации Зонального района Алтайского края

Общие положения

1.1. Настоящая Инструкция ответственного за обеспечение безопасности информации в информационных системах общего пользования, государственных информационных системах, информационных системах персональных данных, информационных системах, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к объектам критической информационной инфраструктуры (далее по тексту – ИС, защищаемые информационные ресурсы) (далее – Инструкция) определяет основные права и обязанности ответственного за обеспечение безопасности информации в Администрации Зонального района Алтайского края (далее – Администрация Зонального района).

1.2. Ответственное лицо за обеспечение безопасности информации назначается распоряжением главы Зонального района Алтайского края на основании федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» может быть назначено несколько ответственных в зависимости от защищаемой информации.

1.3. Ответственное лицо за обеспечение безопасности информации (также Администратор информационной безопасности, далее – ответственный; АИБ) – лицо, отвечающее за организацию и состояние процесса обеспечения безопасности обработки информации в информационных системах (далее – ИС).

1.4. АИБ проводит свою работу согласно нормативным методическим документам Федеральной службы по техническому и экспертному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации и иных уполномоченных законодательством органов в области обеспечения безопасности информации.

1.5. АИБ назначается из числа сотрудников Администрации Зонального района Алтайского края, обладающих определенными знаниями.

1.6. Работа АИБа проводится в соответствии с планом работ, утвержденным распоряжением главы Зонального района Алтайского края.

1.7. В своей работе АИБ руководствуется законодательными и иными нормативными актами Российской Федерации в области обеспечения безопасности информации и нормативными правовыми актами Администрации Зонального района Алтайского края по обеспечению безопасности информации.

Обязанности ответственного

2.1. АИБ обязан:

2.1.1. Проводить мероприятия по организации обеспечения безопасности информации, включая установление уровней защищенности систем персональных данных, классификацию государственных информационных систем, информационных систем общего пользования, автоматизированных систем и пр.

2.1.2. Проводить мероприятия по техническому обеспечению безопасности информации при ее обработке в информационных системах, в том числе:

 мероприятия по охране, организации доступа в помещения, где ведется обработка;

 мероприятия по защите от несанкционированного доступа;

 мероприятия по выбору средств защиты.

2.1.3. Проводить мероприятия, направленные на предотвращение передачи информации лицам, не имеющим права доступа к такой информации.

2.1.4. Обеспечивать недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено их функционирование.

2.1.5. Осуществлять постоянный контроль за обеспечением уровня защищенности персональных данных, класса защищенности государственных информационных систем, информационных систем общего пользования, автоматизированных систем и пр., за соблюдением пользователями режима конфиденциальности, правил работы со съемными машинными носителями информации, выполнению организационных мер по защите информации и др.

2.1.6. Участвовать в подготовке объектов Администрации Зонального района Алтайского края к оценке эффективности реализованных в рамках системы защиты мер по обеспечению безопасности.

2.1.7. Разрабатывать организационно-распорядительные документы по обеспечению безопасности информации в Администрации Зонального района Алтайского края.

2.1.8. Проводить периодический контроль эффективности мер защиты информации в Администрации Зонального района Алтайского края.

2.1.9. Организовывать в установленном порядке изучение причин и условий появления нарушений в безопасности информации и осуществлять разработку предложений по устранению недостатков и предупреждению подобного рода нарушений.

2.1.10. Разрабатывать предложения и участие в проводимых работах по совершенствованию системы безопасности информации в Администрации Зонального района Алтайского края.

2.1.11. Осуществлять ознакомление специалистов с законодательством в сфере обработки и защиты информации, а также с локальными нормативными правовыми актами Администрации Зонального района Алтайского края по данному вопросу.

2.1.12. Оказывать методическую помощь по вопросам обеспечения безопасности информации сотрудникам Администрации Зонального района Алтайского края.

2.1.13. Осуществлять подготовку отчетов о состоянии работ по обеспечению безопасности информации в Администрации Зонального района Алтайского края.

2.1.14. Осуществлять контроль за порядком учета, создания, хранения и использования резервных копий и машинных (выходных) документов, содержащих защищаемую информации.

2.1.15. Контролировать порядок использования и обеспечения сохранности персональных устройств идентификации пользователей.

Права ответственного

3.1. АИБ имеет право:

3.1.1. Требовать от всех пользователей информационных систем выполнения установленной технологии обработки информации, инструкций и других нормативных правовых документов по обеспечению безопасности информации.

3.1.2. Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности информации.

3.1.3. Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности информации.

3.1.4. Готовить предложения о привлечении к проведению работ по защите информации на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации.

3.1.5. Пользоваться необходимой помощью специалистов из числа сотрудников Администрации Зонального района Алтайского края для проведения исследований, разработки решений, мероприятий и организационно-распорядительных документов по вопросам обеспечения безопасности информации.

3.1.6. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических средств из состава информационных систем.

3.1.7. Обращаться к главе Зонального района Алтайского края с предложением о приостановке процесса обработки информации или отстранению от работы пользователя в случаях нарушения установленной технологии обработки информации или нарушения режима конфиденциальности.

3.1.8. Подавать свои предложения по совершенствованию организационных, технологических и технических мер защиты информации в Администрации Зонального района Алтайского края.

Ответственность ответственного

4.1. АИБ несет персональную ответственность за:

4.1.1. Правильность и объективность принимаемых решений.

4.1.2. Правильное и своевременное выполнение распоряжений и указаний главы Зонального района Алтайского края, ответственного за организацию обработки информации по вопросам, входящим в возложенные на него функции.

4.1.3. Правильное и своевременное выполнение организационных и распорядительных документов, принятых комитетом по энергоресурсам и газификации города Барнаула по вопросам обработки и защиты информации.

4.1.4. Выполнение возложенных на него обязанностей, предусмотренных настоящей Инструкцией.

4.1.5. Качество проводимых работ по обеспечению безопасности информации в соответствии с функциональными обязанностями;

4.1.6. Согласно действующему законодательству Российской Федерации за разглашение сведений ограниченного распространения, ставших известными ему по роду работы.

4.1.7. Соблюдение трудовой дисциплины, охраны труда.

Приложение 11

к Постановлению

от 28.09.2020 № 347

ИНСТРУКЦИЯ

по организации работы с материальными носителями защищаемых информационных ресурсов Администрации Зонального района Алтайского края

Перечень использованных сокращений, единиц и терминов

АИБ – администратор информационной безопасности.

АРМ – автоматизированное рабочее место.

АС – автоматизированная система.

ИС – информационная система.

КИ – конфиденциальная информация.

НСД – несанкционированный доступ.

ПО – программное обеспечение.

Администратор информационной безопасности – сотрудник Администрации Зонального района Алтайского края, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Общие положение

2.1. Настоящий Порядок устанавливает основные требования к организации работы специалистов Администрации Зонального района Алтайского края (далее – Администрация Зонального района) с материальными носителями, содержащими информацию государственных информационных систем, персональные данные и другие виды конфиденциальной информации, обрабатываемой в Администрации Зонального района, за исключением сведений, составляющих государственную тайну, и информации, содержащейся в объектах критической информационной инфраструктуры (далее – материальные носители).

2.2. К материальным носителям информации относятся любые не электронные носители информации: бумажные носители и т.п.

2.3. Ответственность за организацию работы с материальными носителями возлагается на АИБа.

2.4. Положения данного Порядка обязательны для выполнения всеми сотрудниками Администрации Зонального района, которые в ходе выполнения своих должностных обязанностей используют материальные носители.

Меры по обеспечению безопасности конфиденциальной информации при обработке с использованием материальных носителей

3.1. Обработка КИ должна осуществляться таким образом, чтобы в отношении каждой категории КИ можно было определить места хранения КИ (материальных носителей) и установить перечень лиц, осуществляющих обработку КИ либо имеющих к ним доступ.

3.2. Необходимо обеспечивать раздельное хранение КИ (материальных носителей), обработка которых осуществляется в различных целях.

3.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность конфиденциальной информации и исключающие несанкционированный к ней доступ.

3.4. Специалистам, обрабатывающим КИ на материальных носителях, запрещается передавать данные носители лицам, не имеющим допуск к обработке КИ. Так же запрещается передавать данные носители лицам, имеющим допуск к обработке КИ, но ознакомление с данной категорией КИ не входит в их должностные обязанности.

3.5. Уничтожение материальных носителей должно проводиться способом исключающим восстановление данных носителей и дальнейшего ознакомления с записанной на них информацией (измельчение, вымарывание и т.п.).

3.6. По факту уничтожения материальных носителей, комиссией из 3-х человек, в состав которой должен входить руководитель структурного подразделения, за которым числились данные носители, составляется Акт, в котором указываются данные о материальных носителях, характер записанной на них информации, причина уничтожения. Акт должен храниться у АИБа.

3.7. Уничтожение материальных носителей должно проводиться в пределах контролируемой зоны Администрации Зонального района в присутствии ответственных лиц.

Организация работы с материальными носителями КИ и ПДн

4.1. Все материальные носители КИ (далее – конфиденциальные документы или КД), изготовленные в Администрации Зонального района или полученные Администрацией Зонального района, подлежат обязательному учету, который ведется.

4.2. Учет конфиденциальных документов включает в себя: присвоение и проставление в журналах и на документах регистрационных номеров и запись учетных и поисковых данных о документах (дате, исполнителе, заголовке, количестве листов, местонахождении и пр.). Регистрация конфиденциальных документов осуществляется однократно.

4.3. Права и обязанности специалистов, ответственных за ведение конфиденциального делопроизводства, закрепляются в их должностных инструкциях.

4.4. Ответственность за организацию работы с КД в структурных подразделениях, а также за их своевременное исполнение и обеспечение сохранности возлагается на руководителей структурных подразделений Администрации Зонального района.

4.5. Обработка КД в структурных подразделениях Администрации Зонального района организуется в соответствии с требованиями настоящего Порядка.

Прием, обработка и распределение входящих КД

5.1. Доставка КД в Администрацию Зонального района осуществляется одним из следующих способов:

 почтовой связью;

 курьерской доставкой;

 спецсвязью.

5.2. Полученные КД проверяются на правильность адресации: адрес офиса, ФИО получателя. Ошибочно полученная корреспонденция возвращается на почту или пересылается адресату. Заказная корреспонденция принимается под расписку. При получении документов с пометкой «Срочно» проставляется время получения.

5.3. При предварительной обработке входящей конфиденциальной корреспонденции:

 на конверте штампом проставляется отметка о поступлении: порядковый номер, дата получения документа и адрес офиса;

 информация о КД заносится в Журнал регистрации входящих конфиденциальных документов – порядковый номер, дата, название компании-отправителя и подпись курьера. Далее конверт вскрывается и регистрируется сам документ, дополнительно указывается кому направлен и тема документа (при этом полное содержание текста не указывается).

5.4. Сканирование конфиденциальных документов и присоединение к файлам запрещается.

5.5. Конверты (пакеты) с конфиденциальными документами, адресованные с пометкой «ЛИЧНО», регистрируются без вскрытия и передаются непосредственному получателю. В этих случаях конверты вскрываются только адресатом, указанным на конверте, который на первый лист документа переносит номер и дату регистрации конверта (пакета).

5.6. Записи о ходе исполнения таких документов осуществляются по поручению адресата лицом, ответственным за ведение конфиденциального делопроизводства в структурном подразделении.

5.7. Регистрация входящих КД осуществляется следующим образом:

На документах в правом нижнем углу на первой странице основного документа проставляется штамп с отметкой даты и входящего регистрационного номера. Реквизиты документа вводятся в электронную базу данных, записываются в журнал или заводится регистрационно-контрольная карточка.

Обязательный минимум реквизитов: автор (корреспондент), название вида документа, дата документа, исходящий номер, дата поступления и входящий номер документа, заголовок документа или краткое содержание, резолюция, срок исполнения, отметка о проделанной работе и о списании в дело. В зависимости от характера документа и задач использования информации этот минимум может быть дополнен другими реквизитами.

Учетный (регистрационный) номер состоит из:

 индекса структурного подразделения (в соответствии с Регламентом «Организация документооборота входящих и исходящих документов»),

 буквенного обозначения – «КИ-Б» (для конфиденциальной информации), где «Б» – бумажный носитель;

 порядкового номера документа на бумажных носителях;

 буквенного обозначения «вх».

Пример:

11-3/КИ-Б/07 вх

где 11-3 или 01 – делопроизводственный индекс руководителя структурного подразделения,

КИ – признак конфиденциальной информации,

Б – бумажный носитель, 07 или 015 – порядковый номер носителя,

вх – входящий документ.

Буквенное обозначение «КИ» проставляется на основании грифа конфиденциальности, указанном на входящем КД.

5.8. Зарегистрированный КД передается адресату-руководителю структурного подразделения, который ставит свою подпись в Журнале регистрации входящих КД.

5.9. Руководитель, ознакомившись с документом, либо составляет резолюцию на исполнение КД, либо принимает данную конфиденциальную информацию к сведению и передает КД на текущее хранение.

5.10. В случае вынесения резолюции КД возвращается обратно специалисту, который фиксирует резолюцию руководителя в Журнале регистрации входящих КД и передает КД непосредственному исполнителю под роспись.

Создание КД

6.1. При разработке документа конфиденциального характера исполнителем документа, руководителем Подразделения или должностным лицом, подписывающим (утверждающим) документ, в правом верхнем углу проставляется необходимый гриф конфиденциальности:

«Конфиденциально» – с указанием полного наименования и места нахождения Администрации Зонального района как владельца этой информации – на документах, содержащих иную конфиденциальную информацию согласно Перечня сведений, относящихся к конфиденциальной информации.

Гриф конфиденциальности проставляется без кавычек в правом верхнем углу первой страницы документа, а также на первой странице сопроводительного письма к конфиденциальным материалам. На документе ниже грифа конфиденциальности указывается номер экземпляра и адресат.

Пример:

Конфиденциально

«Название учреждения»

Адрес учреждения

Экз. № __

Адресат:

Отметка об исполнителе документа проставляется на оборотной стороне последнего листа каждого экземпляра документа в левом нижнем углу, где указывается: учетный номер носителя информации, количество отпечатанных экземпляров, количество листов в каждом экземпляре, адресаты, фамилия исполнителя, его телефон и дата подготовки документа.

Пример:

Уч. №___;

Отп: 2 экз., на 5 л. каждый;

Экз. № 1 - в адрес;

Экз. № 2 - в адрес;

Исп. И.И. Иванов;

Тел.: 9-28-45;

Дата 23.04.2007.

Учетный номер бумажного носителя информации указывается также в левом нижнем углу лицевой стороны каждого листа документа.

6.2. Если к конфиденциальному документу прилагаются другие материалы (документы), то они перечисляются в конце текста письма в «Приложении» с указанием: краткого наименования, грифа «Конфиденциально», номера документа, номера экземпляра, количества листов (по каждому приложению отдельно, в том числе и не конфиденциальному), например:

Приложение: 1. Сведения о запасах ..., коммерческая тайна, № ___, экз.№1, на 4 л.

Приложение 2. Справка ..., Экз. №___, на 3 л.

Всего на_____л.

В тех случаях, когда приложение направляется без оставления копии в делах отправителя, после перечисления реквизитов приложения указывается: «только адресату», а если адресатов несколько, то указывается какому адресату, например: «Только в первый адрес».

Гриф конфиденциальности необходимо проставлять и на сопроводительном письме к конфиденциальным материалам (документам).

6.3. Если в сопроводительном письме не содержится конфиденциальных сведений, то на нем под грифом конфиденциальности указывается: «Без приложения не конфиденциально». После проставления грифа конфиденциальности соответствующим специалистом структурного подразделения, конфиденциальные документы подлежат учету, регистрации.

6.4. Регистрация исходящих КД осуществляется в Журнале регистрации исходящих КД после чего производится отправка документа. Конфиденциальные документы внутреннего характера регистрируются в Журнале регистрации внутренних КД и передаются исполнителям в работу.

6.5. Для исходящих конфиденциальных документов, а также для КД внутреннего пользования регистрационный номер проставляется аналогично процессу, описанному в п. 5.8, только вместо буквенного обозначения «вх» проставляется либо «и», либо «вн».

Пример:

12-2/КИ-Б/123 и

где 12-2 и 02 – индекс структурного подразделения,

КИ – признак конфиденциальной информации,

Б – бумажный носитель,

123 или 52 – порядковый номер документа,

и – исходящий документ,

вн – внутренний документ.

6.6. Отправка всех КД в Администрации Зонального района осуществляется ответственным специалистом. Исходящие КД передаются ответственным специалистом в незапечатанном конверте.

Документы, оформленные с нарушением данного Регламента, подлежат возврату.

Запрещается совместно с отправляемыми КД пересылать не конфиденциальные документы, если они не являются приложением к этим документам.

6.7. Перед отправкой конверта проверяется правильность оформления адреса на конверте. После чего в правом верхнем углу конверта проставляется гриф «Конфиденциально» (отступив 3-4 см от верхней кромки). В левом нижнем углу конверта обязательно указывается номер документа (номера документов), вложенного в конверт.

6.8. Пересылка материалов с конфиденциальной информацией Администрации Зонального района в другие организации производится спец.связью или курьерской службой, а также заказными, либо ценными почтовыми отправлениями. При пересылке документов почтовыми отправлениями, они должны быть помещены в дополнительный конверт, на котором гриф конфиденциальности не проставляется.

6.9. Конверты (пакеты) передаются адресатам по реестру, в котором, кроме подписи в получении пакетов, проставляется печать получателя. КД запрещается передавать по каналам факсимильной связи, с использованием сетей Интернет без использования мер защиты.

6.10. При направлении КД по нескольким адресам составляется список рассылки, в котором по каждому адресу проставляются номера экземпляров отправляемых документов. Список рассылки подписывается исполнителем и утверждается руководителем структурного подразделения.

6.11. После получения зарегистрированного внутреннего КД исполнитель организует соответствующие работы по данному документу

6.12. В случае возникновения необходимости передачи КД из одного структурного подразделения в другое, исполнитель приносит КД ответственному специалисту, который ведет учет за перемещением всех КД внутри Администрации Зонального района.

6.13. После завершения всех работ по КД, он подшивается в папку и передается на текущее хранение.

Хранение КД

7.1. Документы, дела и другие конфиденциальные материалы должны храниться в служебных помещениях в сейфах или запираемых шкафах (ящиках). За сохранность конкретного конфиденциального документа отвечает специалист, получивший данный документ в пользование под роспись.

7.2. При перемещении (увольнении) такого специалиста, числящиеся за ним конфиденциальные документы подлежат передаче по акту вновь назначенному специалисту или другому специалисту по указанию руководителя соответствующего структурного подразделения, который также утверждает акт приема-передачи.

7.3. Запрещается выносить документы, дела и другие конфиденциальные материалы из служебных помещений для работы с ними вне офиса.

7.4. В необходимых случаях исполнитель или другие специалисты Администрации Зонального района имеют право на вынос из здания конфиденциальных документов для их согласования, подписания и т.п. в организациях с разрешения руководителя организации:

7.5. Командируемым специалистам под их личную ответственность с разрешения главы Зонального района Алтайского края Администрации Зонального района разрешается иметь при себе в пути следования конфиденциальные материалы. Разрешение оформляется письменно и хранится у Заместителя главы Зонального района Алтайского края Администрации Зонального района до возвращения специалиста из командировки.

7.6. О фактах утраты КД, дел и других материалов, либо разглашения, содержащихся в них сведений немедленно ставится в известность непосредственный руководитель.

7.7. После исполнения все конфиденциальные документы подшиваются в дела, которые формируются в Администрации Зонального района децентрализовано, т.е. в структурных подразделениях. Формированием дел занимаются специалисты, ответственные за ведение КД. КД группируются в дела отдельно от документов открытого характера. Делу с КД присваивается гриф конфиденциальности. В номенклатуры дел в обязательном порядке включаются дела с грифом «Конфиденциально». В номенклатуре дел в графе «Номер дела» к номеру дела добавляется отметка «КИ».

7.8. Дела формируются по предметному (тематическому) признаку и важности (с учетом того, чтобы каждый исполнитель мог знакомиться с минимальным объемом конфиденциальной информации). Дело начинается по мере поступления документов на подшивку. Вся переписка по одному и тому же вопросу подшивается в одно дело в хронологической последовательности. В дело подшиваются только исполненные, правильно оформленные и учтенные документы. Подшивать неучтенные и неисполненные документы запрещается.

7.9. Гриф конфиденциальности дела устанавливается по грифу конфиденциальности документов, которые в него подшиты. Разрешается подшивать не конфиденциальные документы вместе с конфиденциальными, если они имеют к ним прямое отношение.

7.10. Дата начала дела должна соответствовать дате первого подшитого в дело конфиденциального документа, дата окончания дела – дате последнего конфиденциального документа, подшитого в нем. Эта дата проставляется на обложке дела после того, как в него подшивается последний документ.

7.11. Все подшитые в дело (том) КД нумеруются полистно, номера проставляются простым карандашом в правом верхнем углу листа документа. На подшитые КД составляется внутренняя опись, которая заполняется по мере подшивки в дело документов.

7.12. Листы внутренней описи дела нумеруются отдельно. Листы ознакомления с распорядительными конфиденциальными документами подшиваются в дела вместе с этими документами, вносятся во внутреннюю опись и нумеруются.

7.13. По окончании дела (тома) в конце внутренней описи указывается (цифрами и прописью) количество внесенных в нее документов, а также должность и фамилия специалиста, ответственного за ведение конфиденциального делопроизводства.

7.14. Законченное дело (том) с документами прошивается, опечатывается и заверяется специалистом, ответственным за ведение конфиденциального делопроизводства. Опечатывание дела (тома) производится с помощью бумажной наклейки с оттиском штампа Организации, которая наклеивается так, чтобы захватывались нити шнурка прошивки дела (тома).

7.15. По окончании календарного года дело с грифом «Конфиденциально» просматривается полистно Экспертной комиссией и, в случае необходимости, принимается решение о перегруппировке документов. Содержащиеся в этом деле документы, постоянное хранение которых вызывается служебной необходимостью, группируются в отдельное дело (дела), которое получает самостоятельный заголовок и дополнительно включается в номенклатуру дел.

7.16. Если в дело включены документы только временных сроков хранения, оно может не переформировываться. Срок хранения такого дела устанавливается по максимальному сроку хранения содержащихся в нем документов

7.17. После проведения всех необходимых работ по подготовке и формированию дел, содержащих КД, к сдаче в архив, данные документы передаются на хранение в архив.

7.18. Прием дел с грифом конфиденциальности на хранение в архив оформляется актом приема-передачи. Дела передаются в архив с обязательной полистной проверкой включенных в них документов.

7.19. Изымать КД из архивных дел, как правило, не разрешается. В исключительных случаях (для приобщения к уголовному делу и др.) изъятие документов производится на основании разрешения главы Зонального района Алтайского края Администрации Зонального района. В этом случае на место изъятого документа подшивается его копия с указанием на обороте последнего листа основания и даты изъятия подлинного документа, его учетного номера и местонахождения (куда отправлен, в какое дело подшит).

Уничтожение КД

8.1. Конфиденциальные документы, дела, книги и журналы учета, утратившие практическое значение, а также с истекшим сроком хранения подлежат уничтожению в конце календарного года.

8.2. Отбор и уничтожение материалов, содержащих конфиденциальную информацию, производится Экспертной комиссией.

8.3. Перед уничтожением КД по акту Экспертная комиссия сверяет номера и наименования документов, количество экземпляров и листов с записями в акте, а также с книгами и журналами учета. В актах на уничтожение не должно быть никаких исправлений.

8.4. Уничтожение КД производится после утверждения акта в присутствии всех членов Экспертной комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов.

8.5. Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста. Издания и брошюры уничтожаются на специальном оборудовании в присутствии вышеуказанной Комиссии.

8.6. После уничтожения конфиденциальных материалов всеми членами Экспертной комиссии подписывается акт в трех экземплярах. После уничтожения КД в журналах их учета и регистрации, а также в номенклатурах и описях дел проставляется отметка «Уничтожено. Акт №__(дата)».

Организация контроля за состоянием и наличием КД

9.1. На основании распоряжения главы Зонального района Алтайского края по окончании календарного года в проводится сверка наличия документов, содержащих КИ и находящихся в работе или на текущем хранении.

9.2. Созданная на основании данного постановления Комиссия проверяет выполнение требований настоящего Порядка, наличие текущих дел и дел с временными сроками хранения, наличие КД, не подшитых в дела. Проверка наличия документов производится путем сверки журналов учета с фактическим наличием документов, а также отметок об уничтожении или отправке документов в данных журналах с актами и реестрами.

9.3. В журналах учета, переходящих из года в год, все произведенные отметки об отправке, уничтожении и переучете КД заверяются проставлением записи «Проверено» с датой и подписью главы Зонального района Алтайского края Комиссии.

9.4. К началу работы Комиссии все исполненные конфиденциальные документы должны быть учтены в конфиденциальном делопроизводстве, приобщены к делам или перерегистрированы в журналах учета нового года, в старых журналах производится отметка об их перерегистрации с указанием новых учетных номеров.

По результатам работы Комиссии составляется акт проверки, который утверждается главой Зонального района Алтайского края.

Приложение 12

к Постановлению

от 28.09.2020 № 347

ИНСТРУКЦИЯ

по организации работы с электронными носителями конфиденциальной информации в Администрации Зонального района Алтайского края

Перечень используемых определений, обозначений и сокращений

                            АИБ – администратор информационной безопасности.

ИС – информационная система.

КИ – конфиденциальная информация.

НЖМД – накопитель на жёстких магнитных дисках.

СВТ – средства вычислительной техники.

Администратор информационной безопасности – сотрудник Администрации Зонального района Алтайского края, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Общие положения

2.1. Настоящий Порядок устанавливает основные требования к организации учета, использования, передачи и уничтожения электронных носителей информации (далее – носители), предназначенных для обработки КИ в Администрации Зонального района Алтайского края (далее – Администрация Зонального района).

2.2. Под электронными носителям информации в данном документе понимаются: гибкие магнитные диски, CD- и DVD-диски, USB флеш-диски, НЖМД и др.

2.3. Ответственность за организацию учета, использования, передачи и уничтожения носителей, предназначенных для обработки и хранения КИ, затирание (удаление) информации возлагается администратора информационной безопасности (АИБ).

2.4. Положения данного Порядка обязательны для специалистов Администрации Зонального района, которые в ходе выполнения своих должностных обязанностей используют носители КИ, а так же имеющими допуск к обработке КИ.

Учёт и хранение электронных носителей информации

3.1. Учёту подлежат все носители информации, находящиеся в распоряжении Администрации Зонального района и предназначенные для хранения КИ.

3.2. Носители учитываются в специальном «Журнале регистрации и учета электронных носителей конфиденциальной информации», в котором производится непосредственно регистрация и учёт носителей.

3.3. Регистрация и учет носителей информации осуществляется АИБом.

3.4. Учётный номер носителя состоит из сокращенного наименования подразделения (отдела) и порядкового номера по журналу регистрации через дефис (пример: уч. № ОБ-1/К, где ОБ – отдел бухгалтерии, 1 – порядковый номер в журнале, К – «Конфиденциально»).

3.5. В случае отсутствия утвержденных сокращений названий подразделений учетный номер носителя состоит из порядкового номера по журналу регистрации (пример: уч. № 01/К, где 01 – порядковый номер в журнале, К – «Конфиденциально»).

3.6. Каждый носитель информации, применяемый при обработке информации на СВТ, должен иметь гриф конфиденциальности, соответствующий записанной на нём информации: конфиденциальной информации - «К». Исключается хранение на одном носителе информации разных грифов конфиденциальности, а также хранение информации, имеющей разные цели обработки.

3.7. Для съемных носителей информации реквизиты наносятся непосредственно на носитель (корпус). Если невозможно маркировать непосредственно носитель (корпус), то применяется маркировка упаковки, в которой хранится носитель или другие доступные способы маркировки (бирки, брелоки и т.п.). Надпись реквизитов делается разборчиво и аккуратно. На дискеты и футляры носителей допускается наклеивать заранее заготовленную этикетку.

3.8. Каждому носителю в журнале должна соответствовать отдельная строка.

3.9. НЖМД в серверах и системных блоках компьютеров учитываются в паспорте (формуляре) на поставляемое оборудование с указанием марки носителя информации и его серийного номера.

3.10. Хранение носителей информации осуществляется в условиях (закрываемые шкафы, сейфы и т.п.), исключающих возможность хищения, приведения в негодность или уничтожения содержащейся на них информации.

3.11. О фактах утраты носителей необходимо незамедлительно докладывать руководителю своего структурного подразделения.

3.12. АИБ не реже одного раза в год осуществляет проверку условий хранения носителей КИ.

Хранение носителей

4.1. Не допускается:

‒ хранение съемных носителей с КИ вместе с носителями открытой информации, на рабочих столах, либо оставление их без присмотра или передача на хранение другим лицам;

‒ вынос съемных носителей с КИ из служебных помещений для работы с ними на дому, в гостиницах и т. д.

Выдача/сдача и передача носителей

5.1. Носители, как правило, выдаются только непосредственно на время работы с данным носителем и сдаются специалистом АИБу сразу по завершению таких работ.

5.2. Носители, которые выдаются специалисту, должны пройти проверку на отсутствие записанной на ней информации. В случае наличия какой-либо информации на выдаваемом носителе, АИБ обязан удалить (затереть) информацию согласно п. 4. настоящей инструкции.

5.3. В случае повреждения носителей, содержащих КИ, специалист, в пользовании которого они находятся, обязан сообщить о случившемся руководителю своего структурного подразделения (отдела) и АИБу.

5.4. При передаче в другие организации носители информации должны, по возможности, быть упакованы в пакет/конверт, обеспечивающий сохранность (работоспособность) передаваемого носителя. При этом носители информации передаются с сопроводительным письмом, в котором указывается, какая информация содержится на данном носителе, а для подтверждения достоверности информации прилагается таблица с реквизитами файлов (допускается прикладывать скриншот окна архиватора). Данное передвижение (передача) носителей КИ регистрируется в «Журнале передачи носителей конфиденциальной информации» где делается отметка об отправке (куда отправлен (реквизиты адресата), исходящий номер сопроводительного письма, дата отправки, способ отправки (курьер, заказная почта и т.п.)) и отметка о получении (номер «Уведомления о вручении» или «Накладной»). В случае если передача носителей осуществляется лично специалистом Администрации Зонального района, то у адресата, необходимо взять расписку о получении носителя.

5.5. Для исключения утечки информации, находящейся на жестких дисках компьютеров, при необходимости ремонта компьютера в сервисном центре, жесткий диск с компьютера демонтируется и компьютер отправляется в ремонт без жесткого диска. При необходимости диагностирования самого жесткого диска информация должна быть предварительно скопирована на резервный носитель и затем стёрта с направляемого в ремонт винчестера с использованием специальных средств (сертифицированные программные или программно-аппаратные средства защиты информации, обеспечивающие невозможность восстановления информации), либо путём полного трехкратного его форматирования. Если невозможно произвести данные действия (поломка жесткого диска или ПЭВМ), то отправка такой ПЭВМ в ремонт возможна только по письменному разрешению главы Зонального района Алтайского края.

Порядок уничтожения носителей, затирания информации на носителях

6.1. Уничтожение носителей информации, пришедших в негодность или утративших практическую ценность, производится путем их физического разрушения без возможности дальнейшего восстановления.

6.2. Перед уничтожением носителя вся информация с него должна быть стерта (уничтожена) путем использования специальных средств (сертифицированные программные или программно-аппаратные средства защиты информации, обеспечивающие невозможность восстановления информации), либо путём полного трехкратного его форматирования, если это позволяют физические принципы работы носителя.

6.3. Уничтожение носителей, затирания (уничтожении) информации с носителей производиться комиссией из 3 человек, назначенной распоряжением главы Зонального района Алтайского края в состав комиссии должен входить АИБ.

6.4. По факту уничтожения носителей, а также затирания (уничтожения) информации на носителях, комиссией составляется Акт. В Акте указываются учётные номера носителей, характер уничтожаемой (затираемой) информации, причина уничтожения носителя (затирания информации на нем). Реквизиты Акта заносятся в графу «Сведения об уничтожении» «Журнала регистрации и учета электронных носителей конфиденциальной информации». Подписанный Акт должен храниться у АИБа.

Приложение 13

к Постановлению

от 28.09.2020 № 347

Перечень

разрешенного к использованию программного обеспечения в информационных системах Администрации Зонального района Алтайского края

Автоматизированная информационная система «1С: Предприятие 8.3. Конфигурация «Бухгалтерия Государственного учреждения».

Автоматизированная информационная система «1С: Предприятие 8.3. Конфигурация «Зарплата и Кадры Государственного учреждения».

СУФД.

Автоматизированная информационная система «Контур».

АРМ "Клиент" АС "Клиент-Сбербанк".

Автоматизированная информационная система «SAUMI».

Приложение 14

к Постановлению

от 28.09.2020 № 347

Регламент

обеспечения защиты информационных ресурсов Администрации Зонального района при удаленном доступе через сеть

Общие положения

1.1. Настоящий Регламент разработан с целью регламентации обеспечения защиты в государственных информационных системах, информационных системах персональных данных, информационных системах, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к объектам критической информационной инфраструктуры (далее по тексту – ИС, защищаемые информационные ресурсы) Администрации Зонального района Алтайского края (далее – Администрация Зонального района) при удаленном доступе к абонентскому пункту (далее - АП) через Сеть.

1.2. Сетевые сервисы

Сервис – совокупность аппаратных и программных средств, обеспечивающих выполнение функций, направленных на предоставление информационных услуг, информационных или вычислительных ресурсов или обеспечение работоспособности других сервисов.

Политика в области определения списка сервисов, поддерживаемых в корпоративной сети, выбора технических и программных средств их реализации и прочие вопросы, связанные с созданием, поддержкой, развитием и закрытием сервиса целиком определяется ответственными за функционирование локальной вычислительной сети (далее - ЛВС), подразделением по защите информации (либо ответственным за обеспечение защиты информации).

Сервис в сети Администрации Зонального района может быть создан по согласованию с ответственными за функционирование ЛВС, подразделением по защите информации (либо ответственным за обеспечение защиты информации, администратором информационной безопасности) и главой Зонального района Алтайского края.

1.3. Сотрудникам запрещается создавать на включенных в корпоративную сеть компьютерах и серверах сервис, доступный для внешних пользователей или из внешних сетей без согласования с ответственными за функционирование ЛВС, подразделением по защите информации (либо ответственным за обеспечение защиты информации, администратором информационной безопасности) и главой Зонального района Алтайского края.

1.4. Каждый создаваемый сервис должен иметь администратора, ответственного за его поддержку и эксплуатацию.

1.5. Администратор сервиса обязан выполнять все распоряжения и учитывать рекомендации ответственных за функционирование ЛВС и подразделения по защите информации (либо ответственным за обеспечение защиты информации, администратором информационной безопасности).

1.6. Администратор общедоступного сервиса определяет порядок его использования, разрабатывает и своевременно обновляет инструкции и другую необходимую документацию для пользователей данного сервиса.

1.7. При обнаружении общедоступного сервиса, не имеющего данных об администраторе и не зарегистрированном ответственными за функционирование ЛВС и подразделением по защите информации (либо ответственным за обеспечение защиты информации), они принимают меры по ликвидации такого сервиса.

1.8. Любые действия, связанные с поддержанием работоспособности ЛВС, ее модернизацию или иное изменение, создание новых и удаление старых сервиса вправе производить только ответственные за сервис лица или ответственные за функционирование ЛВС.

Удаленный доступ

2.1. Запрещается устанавливать сервера удаленного доступа и сетевые сервисы, доступные за пределами ЛВС Администрации Зонального района без письменного согласования с ответственными за функционирование ЛВС, подразделением по защите информации (либо ответственным за обеспечение защиты информации, администратором информационной безопасности) и главой Зонального района Алтайского края.

2.2. При удаленном доступе разрешается пользоваться только услугами сети Интернет и электронной почтой.

2.3. Запрещается получать через сеть Интернет доступ к информации, располагающейся на рабочих станциях и серверах Администрации Зонального района, с ограниченным доступом.

2.4. Сервер удаленного доступа считается рабочей станцией общего доступа и администратор сервера несет ответственность за сервер удаленного доступа и за всех пользователей работающих на сервере.

2.5. Администраторы серверов удаленного доступа обязаны по требованию сотрудников подразделения по защите информации (либо ответственного за обеспечение защиты информации) представлять список лиц, получающих доступ с указанием времени сеансов удаленного доступа для каждого лица.

2.6. Запрещается предоставление и использование услуг удаленного доступа без принятых технических мер по обеспечению невозможности доступа в ЛВС Администрации Зонального района через сервер удаленного доступа.

2.7. Запрещается организация доступа к серверам и рабочим станциям Администрации Зонального района по всем протоколам удаленного доступа из внешних сетей.

Работа в сети Интернет

3.1. Запрещается работа в сети Интернет для неавторизованных сотрудников.

3.2. Запрещается использование сети Интернет в личных целях.

Часы работы в ЛВС и Интернет

4.1. Выход в сеть Интернет разрешен круглосуточно.

Нарушения правил работы в сети Интернет

5.1. Ниже приводится перечень нарушений правил работы в сети Интернет:

 установка имен рабочей станции или домена, не удовлетворяющих принятым правилам наименования рабочих станций, доменов и рабочих групп;

 обход учетных систем получаемого трафика, их повреждение или дезинформация;

 преднамеренная рассылка вирусов через сеть Интернет;

 предоставление служебной информации для общего доступа;

 распространение через сеть Интернет информации, запрещенной действующим законодательством или не соответствующей морально-этическим нормам ее получателей, а также рассылка обманных, беспокоящих или угрожающих сообщений и рассылка незапрашиваемых сообщений (спама) за исключением служебных сообщений;

 установка и/или удаление программного обеспечения без согласования с ответственными за функционирование ЛВС.

Публикация служебной информации

6.1. Запрещается публиковать для всеобщего доступа детальную служебную информацию, касающуюся устройства и архитектуры ЛВС, в т.ч. схемы ЛВС и ее сегментов, точек подключения, информацию о назначенных рабочим станциям IP адресах и именах, используемых на серверах, средствах удаленного доступа и т.п., а также информацию о других получателях без их личного согласия и разрешения руководства.

Ответственность

7.1. Контроль за соблюдением настоящих правил возлагается на ответственных за функционирование ЛВС, подразделение по защите информации (либо ответственного за обеспечение защиты информации). В случае выявления нарушений и злоупотреблений могут быть применены нижеуказанные меры на установленный период или до устранения причин, повлекших за собой принятие настоящих мер:

7.2. Персонально к нарушителю:

 отключение доступа в сеть Интернет;

 лишение возможности работы за компьютером;

 ограничение доступа к информационным ресурсам сети Интернет;

 ограничение на использование электронной почты;

 принятие административных мер воздействия.

7.3. К рабочей станции или серверу:

 отключение доступа в сеть Интернет;

 отключение возможности работы в локальной сети;

 физическое отключение от ЛВС;

 удаление информации из общего доступа.

Приложение 15

к Постановлению

от 28.09.2020 № 347

ПОРЯДОК

технического обслуживания, ремонта, модернизации технических средств, входящих в состав информационных систем Администрации Зонального района Алтайского края

Перечень используемых определений, обозначений и сокращений

АИБ – администратор информационной безопасности.

АРМ – автоматизированное рабочее место.

АС – автоматизированная система.

АСО – активное сетевое оборудование.

АЭД – архив эталонных дистрибутивов.

ИБ – информационная безопасность.

ИС – информационная система.

ИТ (IT) – информационные технологии.

КИ – конфиденциальная информация.

КИС – корпоративная информационная система.

ЛВС – локальная вычислительная сеть.

НЖМД – накопитель на жёстких магнитных дисках.

НСД – несанкционированный доступ.

ПК – персональный компьютер.

ПО – программное обеспечение.

ПЭВМ – персональная электронная вычислительная машина.

СБ – служба безопасности.

СВТ – средства вычислительной техники.

СЗИ – средства защиты информации.

СУБД – система управления базами данных.

ТО – техническое обслуживание.

ФСТЭК – Федеральная служба по техническому и экспортному контролю.

ЭД– эксплуатационная документация.

Администратор информационной безопасности – сотрудник Администрации Зонального района Алтайского края, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Общие положения

2.1. Настоящий Порядок регламентирует взаимодействие сотрудников Администрации Зонального района Алтайского края (далее – Администрация Зонального района) по вопросам обеспечения безопасности в информационных систем общего пользования, государственных информационных систем, информационных систем персональных данных, информационных систем, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к объектам критической информационной инфраструктуры (далее по тексту – ИС, защищаемые информационные ресурсы) при проведении модификаций ПО, технического обслуживания СВТ и при возникновении нештатных ситуаций в работе ИС.

2.2. Под техническим обслуживанием в данном документе понимается комплекс операций по поддержанию работоспособности или исправности оборудования при использовании по назначению, ожидании, хранении и транспортировке.

2.3. ТО СВТ направлено на обеспечение постоянной готовности оборудования к использованию Пользователем по прямому назначению, рациональной загрузки Пользователем оборудования и предотвращение преждевременного выхода его из строя в связи с нарушениями Пользователем правил технической эксплуатации.

2.4. Обновление ПО, в результате которого в самом ПО не возникает значительных изменений (новые модули, изменяется версия программного продукта и т.п.), в данном документе не рассматривается как модификация.

Виды технического обслуживания

3.1. В Администрации Зонального района проводится техническое обслуживание следующих видов:

 плановое – производимое по «Плану технического обслуживания средств вычислительной техники. Периодичность планового ТО СВТ не менее 1 раз в год, если иное не указано в сопроводительной документации на СВТ;

 внеочередное ТО СВТ, производимое по заявкам Пользователя при сбоях или отказах оборудования, а также в других случаях, требующих вмешательства заместителя главы Зонального района Алтайского края Администрации Зонального района.



Организация работ

4.1. ТО СВТ проводится только на оборудовании, находящегося на балансе Администрации Зонального района.

4.2. График проведения планового ТО СВТ утверждается после согласования главой Зонального района Алтайского края и предоставляется пользователю не менее чем за неделю до начала производства работ.

4.3. Факт проведения ТО СВТ фиксируется в «Журнал проверки исправности и технического обслуживания».

4.4. Если для выполнения внеочередного ТО СВТ необходимо произвести работы, входящие в плановое ТО СВТ, то плановое ТО считается в данный период выполненным, и дата следующего планового ТО СВТ сдвигается на соответствующий периодический срок.

4.5. Внеочередное ТО СВТ производится на основании «Заявки», которая заверяется подписями руководителя структурного подразделения (начальника отдела) и Пользователя. В заявке обязательно указывается текущая дата, тип или модель средства вычислительной техники, серийный (или заводской) номер, местонахождение оборудования, характер и обстоятельства возникновения возможной неисправности. Учет заявок фиксируются в «Журнал проверки исправности и технического обслуживания». Заместитель главы Администрации Зонального района Алтайского края, обязан отреагировать на заявку не более, чем через 8 рабочих часов после получения заявки.

4.6. Заключение о технической возможности осуществления затребованных изменений выдается Специалистом администратора информационных систем (на основании формуляров соответствующих АРМ или серверов).

4.7. Заключение о возможности совмещения решения новых задач (обработки информации) на указанных в заявке АРМ или серверах в соответствии с требованиями по безопасности выдается АИБом, которому заявка передается на согласование (одновременно с этим производится определение новых категорий защищенности указанных АРМ или серверов).

4.8. После этого заявка передается Специалистам администратора информационных систем для непосредственного исполнения работ по внесению изменений в конфигурацию АРМ или серверов ИС.

4.9. В заявках могут быть указаны следующие изменения в составе аппаратных и программных средств АРМ и серверов подразделения:

 установка в подразделении новой ПЭВМ (развертывание новой АРМ или сервера);

 замена ПЭВМ (АРМ или сервера подразделения);

 изъятие ПЭВМ (АРМ или сервера подразделения);

 добавление устройства (узла, блока) в состав конкретного АРМ или сервера подразделения;

 замена устройства (узла, блока) в составе конкретного АРМ или сервера подразделения;

 изъятие устройства (узла, блока) из состава конкретного АРМ или сервера;

 обновление (восстановление) системного ПО;

 установка (развертывание) на конкретное АРМ или сервера программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данном АРМ или сервере), за исключением офисного ПО.

4.10. Пользователь обязан обеспечить специалистам администратора информационных систем доступ к оборудованию, включенному в заявку, или организовать транспортировку неисправного оборудования для проведения восстановительных работ.

4.11. Если работы были связаны с заменой комплектующих изделий, то этот факт оформляется соответствующим актом. Неисправные комплектующие утилизируются администратором информационных систем в целях предотвращения вторичного оборота или повторного появления неисправности. Оформление акта является основанием для списания комплектующих изделий, использованных для замены.

4.12. При наличии у Пользователя формуляра на СВТ в нем делается соответствующая отметка о проведении ТО СВТ.

4.13. В случае выявления дефектов СВТ, которые не могут быть устранены собственными силами, СВТ должно быть передано для ремонта в сторонние сертифицированные организации, после принятия решения главой Зонального района Алтайского края.

4.14. Пользователь обязан обеспечить строгое соблюдение правил технической эксплуатации и нормы загрузки оборудования, рекомендованные фирмой-изготовителем, ежедневную очистку от пыли и грязи внешних поверхностей оборудования, а также использование оборудования исключительно для решения заявленных производственных задач.

4.15. Пользователь не должен допускать случаев привлечения к ТО СВТ третьих лиц либо самостоятельного выполнения таких работ, как установка и настройка системного программного обеспечения, замена комплектующих и материалов, входящих в состав системного оборудования, любые виды работ по системному, сетевому администрированию, а также администрированию систем телекоммуникаций.

Перечень работ, входящих в плановое ТО

5.1. Компьютеры (сервера, рабочие станции, персональные компьютеры):

5.1.1 Программное обеспечение :

5.1.1.1 Проверка установки критически важных обновлений системного программного обеспечения.

5.1.1.2 Проверка работоспособности обновленного системного программного обеспечения.

5.1.1.3 Проверка наличия обновления антивирусного программного обеспечения, наличия вирусов или вредного программного обеспечения и удаления их.

5.1.1.4 Создание архива обновленного системного программного обеспечения.

5.1.1.5 Создание архива данных Пользователя по его просьбе.

5.1.1.6. При невозможности проведения любого из пунктов 5.1.1.1-5.1.1.5 полная переустановка системного программного обеспечения из первоначальных дистрибутивов или предыдущих архивов с дальнейшим прохождением этих пунктов.

5.1.2 Аппаратное обеспечение:

5.1.2.1 Очистка от пыли внутренних объемов системных устройств. Внешняя чистка системных устройств.

5.1.2.2 Проверка теплового режима системных устройств, в том числе его комплектующих. Комплексная проверка полностью собранного устройства на работоспособность при максимально допустимой внутренней паспортной температуре без основных носителей информации. При необходимости замена термоинтерфейсов.

5.1.2.3 Проверка системы вентиляции на число оборотов и допустимого шума, в том числе системы вентиляции блока питания. При необходимости замена системы вентиляции.

5.1.2.4 Проверка блока питания под нагрузкой на специальном стенде. При необходимости произведение ремонта или замена блока питания.

5.1.2.5 Проверка работоспособности устройств со съемными носителями, в том числе на запись, при необходимости чистка специальными носителями или инструментом, ремонт или замена съемного носителя.

5.1.2.6 Проверка используемых портов на работоспособность. При необходимости ремонт или замена используемых портов.

5.1.2.7 Приемо-сдаточная проверка на включение, загрузку, выключение и выборочная проверка по требованию Пользователя.

5.2. Принтер:

5.2.1 Приемная проверка работоспособности встроенным тестом печати.

5.2.2 Приемная проверка работоспособности с тестовым сервером печати или компьютером.

5.2.3 Разборка, чистка от пыли, чистка и смазка механизма подачи бумаги, включая термическую часть, чистка печатающей головки / лазерной оптики / чернильных сопел, внутренняя и наружная чистка корпуса; сборка, при необходимости замена изношенных комплектующих и материалов.

5.2.4 Приемо-сдаточная проверка на работоспособность с тестовым сервером печати или компьютером.

5.3. Сканер:

5.3.1 Приемная проверка работоспособности с компьютером.

5.3.2 Разборка, чистка от пыли, чистка и смазка механизма считывания, чистка оптики, внутренняя и наружная чистка корпуса; сборка, при необходимости замена изношенных комплектующих и материалов.

5.3.3 Приемо-сдаточная проверка на работоспособность с компьютером.

5.4. Источник бесперебойного питания:

5.4.1 Приемная проверка работоспособности с компьютером.

5.4.2 Проверка работоспособности источника с батареями под нагрузкой в течение заданного времени.

5.4.3 Проверка процесса зарядки аккумуляторов после разрядки по предыдущему пункту.

5.4.4 Разборка, чистка от пыли, внутренняя и наружная чистка корпуса; сборка, при необходимости замена изношенных комплектующих и материалов.

5.5. Копировально-множительная техника:

5.5.1 Приемная проверка работоспособности путем копирования образца.

5.5.2 Разборка, чистка от пыли, чистка и смазка механизма подачи бумаги, включая термическую часть, чистка лазерной оптики / чернильных сопел, считывающей оптики, внутренняя и наружная чистка корпуса; сборка, при необходимости замена изношенных комплектующих и материалов.

5.5.3 Приемо-сдаточная проверка на работоспособность путем копирования образца.

5.6. Другие устройства:

5.6.1 Приемная проверка работоспособности.

5.6.2 Разборка, чистка от пыли, внутренняя и наружная чистка корпуса; сборка, при необходимости замена изношенных комплектующих и материалов.

5.6.3 Приемо-сдаточная проверка на работоспособность.

Состав работ, входящих во внеочередное ТО СВТ

6.1. Первичная установка приобретенных средств СВТ, включение их в работу на рабочих местах Пользователя.

6.2. Передача неисправной техники, находящейся на гарантии, в гарантийный ремонт, получение ее с гарантийного ремонта, и установка на рабочих местах Пользователя.

6.3. Техническое обслуживание СВТ, не находящихся на гарантийном обслуживании, по заявке Пользователя с целью восстановления работоспособности СВТ, устранения последствий его сбоев или отказов.

Порядок внесения изменений в конфигурации технических и программных средств ИС Администрации Зонального района Алтайского края

7.1. Права и обязанности специалистов Администрации Зонального района.

7.1.1. Все изменения должны производиться только на основании Заявок (п. 4.2, 4.7). Перечень изменений, на которые требуется оформление заявки, приведен в пункте 4.9 настоящего Порядка.

7.1.2. Право внесения изменений в конфигурацию аппаратно-программных средств рабочих станций и серверов ИС, предоставляется администратору информационных систем.

7.1.3. Изменение конфигурации аппаратно-программных средств рабочих станций и серверов кем-либо, кроме администратора информационных систем, запрещено.

7.2. Ответственные за выполнение разных видов работ

7.2.1. Допускается внесение изменений в состав аппаратных средств и программного обеспечения только при наличии оформленной и согласованной заявки на осуществление данных изменений.

7.2.2. Установка, изменение (обновление) и удаление системных и прикладных программных средств производится администратором информационных систем. Установка, снятие, и внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов (при их использовании) на АРМ также осуществляется администратором информационных систем в присутствии АИБа. В случае необходимости работы производятся в присутствии пользователя данного АРМ.

7.2.3. Подготовка модификаций программного обеспечения защищенных серверов и АРМ, тестирование, стендовые испытания и передача исходных текстов, документации и дистрибутивных носителей программ в архив эталонных дистрибутивов и другие необходимые действия производятся администратором информационных систем, согласно утвержденным инструкциям.

7.2.4. Установка или обновление подсистем ИС, должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.

7.2.5.              Установка и обновление общего ПО (системного, тестового и т.п.) на рабочие станции и сервера производится с оригинальных лицензионных дистрибутивных носителей (компакт дисков и т.п.), полученных в установленном порядке, а прикладного ПО – с эталонных копий программных средств (при реализации сетевого архива эталонных дистрибутивов программ – из него). При необходимости (в случае установки части компонент на дисках сетевых серверов) к работам привлекается АИБ.

Все добавляемые программные и аппаратные компоненты должны быть в установленном порядке предварительно проверены на работоспособность.

7.2.6.              После установки (обновления) ПО администратор информационных систем должен произвести настройку СЗИ от НСД, проверить работоспособность ПО и правильность настройки средств защиты.

После завершения работ по внесению изменений в состав аппаратных средств защищаемой АРМ ее системный блок должен быть опечатан (опломбирован, защищен специальной наклейкой) АИБом.

7.2.7. Исполнители работ должны сделать соответствующую запись в формуляре АРМ, отметку о выполнении (на обратной стороне заявки).

7.2.8. Изъятие АРМ из состава рабочих станций подразделения при ее передаче на склад, в ремонт или в другое подразделение осуществляется только после того, как администратор информационных систем снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для удаления защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью АИБа. В случае поломки жесткого диска при передаче его в организацию для осуществления ремонта, в договоре должна быть предусмотрена ответственность сторонней организации о неразглашении информации, содержащейся на передаваемом диске.

7.2.9. Оригиналы заявок (документов), на основании которых производились изменения в составе технических или программных средств АРМ с отметками о внесении изменений в состав аппаратно-программных средств, должны храниться у АИБа. Они могут использоваться в следующих случаях:

 для восстановления конфигурации АРМ после аварий;

 для контроля правомерности установки на конкретной АРМ средств для решения соответствующих задач при разборе конфликтных ситуаций;

 для проверки правильности установки и настройки средств защиты АРМ.

7.2.10.              Плановое и внеочередное ТО должно отражаться в «Журнале проверки исправности и технического обслуживания».

Экстренная модификация (обстоятельства форс-мажор)

8.1. В исключительных случаях (сбой ПО, не позволяющий продолжить работу), требующих безотлагательного изменения ПО, допускается корректировка программ непосредственно на рабочей станции. В данной ситуации АИБ ставит в известность специалистов администратора информационных систем о необходимости такого изменения.

8.2. Факт внесения изменений в ПО АРМ оформляется актом за подписями пользователя данного АРМ, администратора информационных систем, проводившего работы по восстановлению ПО, АИБа. В акте указывается причина модификации, перечисляются файлы, подвергшиеся изменению, и указывается лицо(а), осуществившее изменения. При необходимости проводится изменение ПО загрузочного раздела сервера. Если это необходимо, специалисты администратора информационных систем вносят необходимые корректировки в настройки системы контроля целостности ПО АРМ и сервера (при их использовании). Факт модификации ПО и корректировок настроек системы защиты фиксируется на АРМ (сервере).

8.3. В течение следующего дня после составления акта, АИБ при участии сотрудников специалистов администратора информационных систем выясняют причины и состав проведенных экстренных изменений и принимают решение о необходимости подготовки исправительной модификации ПО или восстановления ПО АРМ (сервера).

8.4. Необходимость участия в данном административном расследовании сотрудника подразделения определяется главой Зонального района Алтайского края. Результат расследования оформляется в виде согласованного решения и хранится у АИБа.

Порядок технического обслуживания и ремонта технических средств АРМ (серверов) ИСПДн

9.1. Техническое обслуживание и ремонтные работы на технических средствах АРМ должны осуществляться только специалистами администратора информационных систем. Их вызов осуществляется АИБом при возникновении нештатных ситуаций после сообщения ему специалистом подразделения Администрации Зонального района, эксплуатирующего АРМ о наличии внештатной ситуации.

9.2. К нештатным ситуациям относятся:

 выход из строя или неустойчивое функционирование узлов ПЭВМ или периферийных устройств (например, дисковода, принтера) АРМ;

 выход из строя системы электроснабжения АРМ.

9.3. Техническое обслуживание и регламентные работы могут проводиться в плановом порядке. В этом случае работы проводятся на основании утвержденных начальниками структурных подразделений заявок.

9.4. Специалисты администратора информационных систем имеют право доступа к АРМ для разбора нештатных ситуаций без участия АИБа при обнаружении сбоев в их работе только для тестирования ПЭВМ с использованием установленных на АРМ (в сети) тестовых средств.

9.5. Ответственность за соблюдение требований по обеспечению безопасности информации при проведении технического обслуживания и ремонтных работ на ПЭВМ возлагается на АИБа.

9.6. При необходимости осуществления изменений аппаратно-программной конфигурации АРМ соответствующие работы выполняются с соблюдением требований данного Порядка.

Порядок проверки работоспособности системы защиты после установки (обновления) программных средств внесения изменений в списки пользователей

10.1. После установки (обновления) программных средств АРМ или внесения изменений в списки пользователей системы специалисты администратора информационных систем обязаны проверить работоспособность АРМ и правильность настройки средств защиты, установленных на компьютере в соответствии с инструкциями на конкретные СЗИ.

10.2. После осуществления данных действий необходимо проверить корректность функционирования системы защиты.

Приложение 16

к Постановлению

от 28.09.2020 №347

ПЛАН

технического обслуживания средств вычислительной техники

Администрации Зонального района Алтайского края

№ п/п

Планируемое действие

Дата

Ответственный

1

2

3

4

1

Мероприятия по плановому техническому обслуживанию

Ежеквартально

Сидоренко А.П. – начальник отдела программного обеспечения

2

Проверка установки критически важных обновлений системного программного обеспечения.

Ежеквартально

Сидоренко А.П. – начальник отдела программного обеспечения

3

Проверка наличия обновления антивирусного программного обеспечения, наличия вирусов
или вредного программного обеспечения и удаления их.

Ежеквартально

Сидоренко А.П. – начальник отдела программного обеспечения

4

Проверка работоспособности обновленного системного программного обеспечения

Ежеквартально

Сидоренко А.П. – начальник отдела программного обеспечения

5

Проверка работоспособности устройств со съемными носителями, в том числе на запись, при необходимости чистка специальными носителями или инструментом, ремонт или замена съемного носителя

Ежеквартально

Сидоренко А.П. – начальник отдела программного обеспечения

Приложение 17

к Постановлению

от 28.09.2020 № 347

ФОРМА

заявки на внесение изменений в состав аппаратно-программных средств информационных систем Администрации Зонального района Алтайского края

Резолюция

Администратору информационных систем

«___» _____________ 202_ г.

ЗАЯВКА

на внесение изменений в состав аппаратно-программных

средств ИС

Прошу произвести следующие изменения конфигурации аппаратно-программных средств ПЭВМ____________________________________________________________________________________________________________________________________________________________________

(наименование)

(развернуть новую рабочую станцию и установить на (обновить на/снять с) нее _________________ компоненты), необходимые для решения следующих задач: ___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

______________________________________________________

(фамилия и инициалы, должность сотрудника)

«___» _____________ 202_ г.

_________________________

(подпись)

____________________

(фамилия и инициалы руководителя подразделения)

Согласовано

. Администратор информационной безопасности .

«___» _____________ 202_ г.

_________________________

(подпись)

____________________

(фамилия и инициалы)

Обратная сторона заявки

Отметка о выполнении

(о внесении изменений в состав аппаратно-программных средств ИС)

В соответствии с «Порядком технического обслуживания, ремонта, модернизации технических средств, входящих в состав информационных систем Администрации Зонального района Алтайского края» рабочей группой в составе:

Администратор информационных систем

_____________________________________________________________________________

Администратор информационной безопасности _____________________________________________________________________________

указанные в заявке изменения внесены (не внесены по следующей причине). _____________________________________________________________________________ краткое пояснение причины
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Администратор информационных систем

______________________________________

(подпись, фамилия)

«___» ______________ 202_ года

Администратор информационной

безопасности

______________________________________

(подпись, фамилия)

«___» ______________ 202_ года

Приложение 18

к Постановлению

от 28.09.2020 № 347

ФОРМА

акта об удалении информации (остаточной), хранившейся на диске компьютера Администрации Зонального района Алтайского края

АКТ

об удалении информации (остаточной), хранившейся на диске компьютера

Все файлы, содержащие подлежащую защите информацию, находившиеся на НЖМД №_________, передаваемого ________________________________________

                                                                                    (с какой целью)

________________________________________________________________________

(Кому: должность, Ф.И.О.)

системного блока ПЭВМ марки _________________ серийный №________________

уничтожены (затерты) посредством программы _______________________________.

Исполнитель:

(Администратор информационных систем)

____________________________

(подпись)

_________________________

(фамилия и инициалы)

Контроль осуществил:

(администратор информационной безопасности)

____________________________

(подпись)

_________________________

(фамилия и инициалы)

Приложение 19

к Постановлению

от 28.09.2020 № 347

ФОРМА

акта установки оборудования Администрации Зонального района Алтайского края

АКТ №___ установки оборудования

Настоящий акт составлен о том, что

1. Должность ФИО установил по адресу (адрес Объекта) следующее оборудование

№ п/п

Наименование, производитель и серийный номер оборудования

Количество

Итого:

и выполнил работы по его настройке.

2. Должность ФИО специалиста претензий к качеству установленного оборудования и выполненных работ по его настройке не имеет.

3. Должность ФИО специалиста с момента подписания настоящего Акта принимает на себя ответственность за сохранность оборудования.

От Исполнителя ____________________________________________________________

ФИО (полностью)___________________________________________________________

Должность ________________________________________________________________

Дата______________________________________________________________________

Подпись ___________________________________________________________________

От Пользователя ____________________________________________________________

Название учреждения________________________________________________________

ФИО (полностью)___________________________________________________________

Должность ________________________________________________________________

Дата______________________________________________________________________

Подпись ___________________________________________________________________

Приложение 20

к Постановлению

от 28.09.2020 №347

ФОРМА

Журнала проверки исправности и технического

обслуживания в Администрации Зонального района Алтайского края

Начат «____» _____________ 202_ г.

Окончен «____» ___________ 202_ г.

На __________ листах

№ п/п

Наименование средства

Плановая дата проверки исправности

Вид работ

Дата проведения работ

Результаты работ

Отметка об исправности

ФИО лица, производившего работы, должность

ФИО контролирующего лица, должность

Подпись

лица, производившего работы

контролирующего лица

1

2

3

4

5

6

7

8

9

10

11

Приложение 21

к Постановлению

от 28.09.2020 №3 47

Порядок

проведения антивирусного контроля в информационных системах Администрации Зонального района Алтайского края

Перечень используемых определений, обозначений и сокращений

АИБ – администратор информационной безопасности.

АРМ – автоматизированное рабочее место.

ИС – информационная система.

НСД – несанкционированный доступ.

ПО – программное обеспечение.

Администратор информационной безопасности – сотрудик Администрации Зонального района Алтайского края, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Общие положения

2.1. Настоящий Порядок определяет требования к организации защиты в информационных системах общего пользования, государственных информационных системах, информационных системах персональных данных, информационных системах, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к объектам критической информационной инфраструктуры (далее по тексту – ИС, защищаемые информационные ресурсы) Администрации Зонального района Алтайского края (далее – Администрация Зонального района), от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и специалистов подразделений, эксплуатирующих и сопровождающих ИС за их выполнение.

2.2. К использованию в Администрации Зонального района допускаются только лицензионные и сертифицированные антивирусные средства.

2.3. Изменение используемого антивирусного средства необходимо согласовать с АИБом. Установка средств антивирусного контроля на рабочих станциях и серверах ИС осуществляется администратором информационных систем при непосредственном контроле АИБа в соответствии с «Порядком о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав информационных систем Администрации Зонального района Алтайского края». Настройка параметров средств антивирусного контроля осуществляется администратором информационных систем в соответствии руководствами по применению конкретных антивирусных средств.

Применение средств антивирусного контроля

3.1. Ежедневно в начале работы при загрузке компьютера в автоматическом режиме должно проводиться обновление антивирусных баз любым доступным способом.

3.2. На всех включенных рабочих станциях должен работать в фоновом режиме Антивирус монитор.

3.3. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема. Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

3.4. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов на серверах должны проводиться не реже одного раза в месяц.

3.5. Устанавливаемое (изменяемое) ПО должно быть предварительно проверено на отсутствие программ вирусов и других вредоносных модулей. Непосредственно после установки (изменения) ПО рабочих станций и серверов ИС должна быть выполнена антивирусная проверка:

 на защищаемых серверах и АРМ – администратором информационных систем;

 на других серверах и АРМ ИС, не требующих защиты, - лицом, установившим (изменившим) программное обеспечение.

3.6. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) специалист самостоятельно должен провести антивирусный контроль своей рабочей станции антивирусным сканером. При необходимости – привлечь АИБа и администратора информационных систем для определения ими факта наличия или отсутствия компьютерного вируса.

3.7. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов специалисты обязаны:

 приостановить работу;

 немедленно поставить в известность о факте обнаружения зараженных вирусом файлов АИБа, владельца зараженных файлов, а также специалистов Администрации Зонального района, использующих эти файлы в работе;

 совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;

 провести лечение или уничтожение зараженных файлов.



Ответственность

4.1. Ответственность за организацию антивирусного контроля в подразделении, эксплуатирующем ИС, в соответствии с требованиями настоящего Порядка возлагается на АИБа.

4.2. Ответственность за проведение мероприятий антивирусного контроля и соблюдение требований настоящего Порядка возлагается на всех специалистов Администрации Зонального района, являющихся пользователями ИС.

4.3. Периодический контроль за состоянием антивирусной защиты в ИС Администрации Зонального района, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящего Порядка специалистами Администрации Зонального района осуществляется АИБом.

Приложение 22

к Постановлению

от 28.09.2020 № 2020

Описание

технологического процесса обработки информации в информационных системах Администрации Зонального района Алтайского края

Перечень используемых определений, обозначений и сокращений

АИБ – администратор информационной безопасности.

АИС – автоматизированная информационная система.

АРМ – автоматизированное рабочее место.

ГМД – гибкий магнитный диск.

ИСПДн – информационная система персональных данных.

КИ – конфиденциальная информация.

ЛВС – локальная вычислительная сеть.

МНИ – отчуждаемые машинные носители информации.

МЭ – межсетевой экран.

НСД – несанкционированный доступ.

ОИ – объект информатизации.

ОС – операционная система.

ПДн – персональные данные

ПО – программное обеспечение.

ПЭВМ – персональная электронно-вычислительная машина.

СЗИ – средство защиты информации.

ЭВМ – электронно-вычислительная машина.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор сети – сотрудник или группа сотрудников, который выполняет функции администратора информационной безопасности, осуществляющие непосредственную организацию и выполнение работ по созданию (модернизации), техническому обслуживанию и управлению (администрированию) информационной управляющей ЛВС, включая технические аспекты информационной безопасности.

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.

Идентификатор доступа – уникальный признак субъекта или объекта доступа.

Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Администратор информационной безопасности – специалист или группа специалистов, осуществляющие контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Информационная безопасность – состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в организации.

Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения различных задач подразделений. В организации используются различные типы информационных систем для решения различных задач.

Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий, используемая в процессах организации.

Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Локальная вычислительная сеть (ЛВС) – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

Межсетевой экран (МЭ) – программный или программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав корпоративной сети, а также между корпоративной сетью и внешними сетями (сетью Интернет).

Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Операционная система – системная программа, осуществляющая взаимодействие пользователя и прикладных программ с аппаратной частью ЭВМ.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПДн, а также определяющие цели и содержание обработки ПДн;

Пароль – идентификатор субъекта доступа, который является его (субъекта) секретом.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Пользователь ЛВС – сотрудник Администрации Зонального района Алтайского края (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в корпоративной сети в установленном порядке и получивший права на доступ к ресурсам корпоративной сети в соответствии со своими функциональными обязанностями.

Программное обеспечение – совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

Сервер – выделенный компьютер, имеющий разделяемые ресурсы, выполняющий определенный перечень задач и предоставляющий пользователям ЛВС ряд сервисов.

Структурное подразделение – структурное подразделение Администрации Зонального района Алтайского края с самостоятельными функциями, задачами и ответственностью.

Общие положения

2.1. Описание технологического процесса обработки информации в информационных системах Администрации Зонального района Алтайского края (далее – Администрация Зонального района) разработано в соответствии с федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Назначение. Решаемые задачи

3.1. ИС Администрации Зонального района предназначена для разработки, распечатки, хранения в электронном виде КИ, в том числе ПДн.

3.2. С документами, содержащими сведения ограниченного распространения, работают специалисты Администрации Зонального района, имеющие соответствующую форму допуска и доступ к ресурсам ИС, в том числе ИСПДн.

3.3. Технологический процесс обработки информации в ИС включает в себя:

– внесение КИ, в том числе ПДн в базы данных, просмотр и редактирование необходимой информации, печать документов на бумажном носителе, обмен файлами на МНИ по каналам связи;

– обеспечение необходимого уровня безопасности обработки, хранения и передачи КИ, в том числе ПДн.

3.4. Основными задачами применения ИС, в том числе ИСПДн являются:

– работа с базами данных КИ, в том числе ПДн, внесение в них изменений, их хранение и уничтожение;

– работа с файлами конфиденциальных документов;

– подготовка и работа с МНИ для передачи их по каналам связи;

– распечатка документов, содержащих КИ, в том числе ПДн;

– размножение необходимого числа экземпляров документов на принтере;

– обеспечение необходимого уровня безопасности обработки, хранения КИ, в том числе ПДн;

– обеспечение в ИС разграничения доступа к КИ, в том числе ПДн;

– антивирусная защита программной среды и данных;

– регистрация пользователей СЗИ от НСД перед началом сеанса работы на ПЭВМ, входящей в состав ИС назначение им прав доступа к защищаемым ресурсам;

– резервное копирование информации на МНИ, учтенные в установленном порядке в соответствии с требованиями инструкции по обращению с носителями КИ, в том числе ПДн;

– восстановление информации, поврежденной или стертой при сбоях в работе ПЭВМ с резервных копий.

–

Расположение ОИ. Организация охраны и контроля доступа

4.1. ИС, обрабатывающая КИ, расположена в здании по адресу: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13. Помещения Администрации Зонального района оборудованы техническими средствами защиты (сигнализация), ведется видеонаблюдение помещений.

4.2. Доступ специалистов и других лиц в помещения Администрации Зонального района, в которых осуществляется обработка КИ, осуществляется в соответствии с утвержденным списком лиц, имеющих доступ к КИ.

Состав ИС, обрабатывающей КИ, и ИСПДн

5.1. В состав ИС Администрации Зонального района, обрабатывающей КИ, входят АРМ, которые функционируют в рамках локальной сети, и имеют подключение к сети Интернет.

5.2. В состав ИСПДн Администрации Зонального района входят АРМ, которые функционируют в рамках локальной сети, и имеют подключение к сети Интернет.

Источники данных

6.1. Источниками данных для ИС Администрации Зонального района являются:

– данные на бумажных носителях;

– данные на МНИ-файлы, подготовленные в другой ИС;

– вводимые пользователями данные – сведения, вводимые с клавиатуры операторами (пользователями).

6.2. Источниками данных для ИСПДн Администрации Зонального района являются:

– данные на бумажных носителях;

– данные на МНИ-файлы, подготовленные в другой ИСПДн;

– вводимые пользователями данные – сведения, вводимые с клавиатуры операторами (пользователями).

6.3. Питание автоматизированных рабочих мест и периферии обеспечивается от сети электропитания 220В.

Трансформаторная подстанция по адресу: 659400, Алтайский край, Зональный район, с. Зональное, ул. Ленина 13 находится в пределах контролируемой зоны.

Входные данные

7.1. Входными данными является информация, поступающая в ИС на различных носителях: данные на бумажных носителях, данные на МНИ, данные, вводимые операторами (пользователями) с клавиатуры.

7.2. Исходные данные поступают в ИС Администрации Зонального района от специалистов, сторонних организаций и граждан РФ, обращающихся в Администрацию Зонального района.

7.3. Все носители информации регистрируются, хранятся и передаются в соответствии с требованиями инструкции по обращению с носителями КИ, в том числе ПДн.

Выходные данные ИС

8.1. Выходными данными являются подготовленные и распечатанные в ИС и ИСПДн конфиденциальные и не конфиденциальные текстовые документы, файлы, содержащие КИ, в том числе ПДн, передаваемые по каналам связи.

Используемые программные средства

9.1. На ПЭВМ Администрации Зонального района установлены Wi№dows 7, Wi№dows 10; дистрибутивы ОС хранятся у администратора информационных систем.

9.2. Функции, права и обязанности ответственных за эксплуатацию объекта информатизации регламентируются порядком технического обслуживания, ремонта, модернизации технических средств, входящих в состав ИС, в том числе ИСПДн.

9.3. Разрешенное к использованию ПО указывается в перечне разрешенного к использованию в ИС ПО, который разрабатывается АИБом совместно с системным администратором. Пользователям запрещено приносить и устанавливать на рабочие станции ИС ПО без согласования с АИБом.

Ресурсы информационной системы, обрабатывающей конфиденциальную информацию

10.1. К ресурсам ИС Администрации Зонального района относятся файлы, каталоги, тома, диски, устройства вывода информации (СD-RW, COM и LPT порты, порты USB, ГМД).

10.2. Информационные ресурсы, предназначенные для хранения и обработки КИ, в том числе ПДн, перечислены в утвержденном перечне защищаемых информационных ресурсов.

10.3. Разграничение доступа пользователей к портам ввода-вывода информации в ИС Администрации Зонального района реализовано в разрешительной системе доступа.

10.4. Если доступ пользователя к конкретному информационному ресурсу не определен, то доступа к нему они не имеют.

10.5. Запрещается хранить КИ, в том числе ПДн, на ресурсах, отличных от перечисленных в утвержденном перечне защищаемых ресурсов.

Антивирусная защита

11.1. Антивирусная защита осуществляется с применением разрешенных программных средств в соответствии с инструкцией по проведению антивирусного контроля.

Обеспечение безопасности информации

12.1. Администрация Зонального района должен обеспечивать надлежащие условия защиты КИ, в том числе ПДн, хранящихся в используемых ИС от несанкционированного доступа, использования, распространения, искажения и уничтожения. Специалисты, уполномоченные осуществлять обработку ПДн, несут ответственность за защиту КИ, в том числе ПДн в порядке, предусмотренном действующим законодательством Российской Федерации.

12.2. Настройку СЗИ от НСД для конкретных пользователей, контроль её работы, обновление антивирусных баз, диагностику и устранение неисправностей или сбоев в работе программного или аппаратного обеспечения осуществляет АИБ с привлечением администратора информационных систем и обязательным подписанием совместного протокола об установке ПО с указанием даты установки, фамилии, имени, отчества, должности получателя - ответственного лица Администрации Зонального района.

12.3. Функции, права, обязанности АИБа, а также порядок ремонта и модернизации регламентируются специально разработанными инструкцией о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав ИСПДн и должностной инструкцией АИБа.

12.4. Повседневный контроль защищенности ИС от НСД проводится АИБом. Контроль осуществляется с помощью штатных средств СЗИ от НСД. Основным средством контроля является анализ системного журнала.

12.5. Доступ пользователей к работе в ИС осуществляется в строгом соответствии со списком постоянных пользователей ИС разрабатываемым АИБом и системным администратором.

12.6. Допускается наличие только пользователей, указанных в списке постоянных пользователей ИС имеющих доступ к КИ, в том числе ПДн.

12.7. При необходимости исполнителям может быть выдан персональный электронный идентификатор СЗИ, предназначенный для идентификации при входе в систему.

12.8. Программирование, учет выдачи персональных электронных идентификаторов от СЗИ и контроль за их наличием возлагается на АИБа.

12.9. Права доступа пользователей к программам, каталогам, файлам определены в списке постоянных пользователей ИС (матрица доступа к защищаемым ресурсам).

12.10. Порядок работы пользователя определены в инструкции по работе пользователя в ИС Администрации Зонального района.

Пользователи

13.1. Пользователями ИС являются специалисты Администрации Зонального района в строгом соответствии со списком постоянных пользователей ИСПДн, имеющими соответствующие права допуска. В рамках управления доступом пользователей ИС к ресурсам ИС и в соответствии с решаемыми задачами выделены следующие категории пользователей:

 администратор информационной безопасности – организует и контролирует работу ИС объектов информатизации, других пользователей;

 системные администраторы – администраторы информационных систем, обладают всей полнотой доступа к ресурсам ИС;

 пользователи – имеющие доступ к АРМ объектов информатизации на основании приказа о допуске к АРМ.

13.2. Системные администраторы осуществляют: настройку систем защиты от НСД, контроль их работы, обновление антивирусных баз, диагностику и устранение неисправностей или сбоев в работе программного или аппаратного обеспечения, также в их обязанности входит выполнение резервного копирования и восстановления информации.

13.3. Функции, права и обязанности системного администратора (программиста) и АИБа регламентируются должностными инструкциями.

13.4. Пользователи ИС (операторы, специалисты) непосредственно осуществляют подготовку, ввод, обработку, хранение и удаление информации в ИС. В зависимости от выполняемых в ИС задач и для реализации правил разграничения доступа к ресурсам ИС могут выделяться группы пользователей. Группы пользователей и права доступа различных групп к информационным ресурсам назначаются в соответствии с разрешительной системой доступа. Функции, права и обязанности пользователя ИС регламентируются специально разработанной инструкцией по работе пользователя в ИС.

Задачи ИС

14.1. Технологический процесс обработки информации в ИС Администрации Зонального района включает в себя:

– задачу получения исходных данных, их подготовка, оформление, регистрация и выдача пользователям ИС Администрации Зонального района;

– задачу оформления, регистрации и передачи выходных данных;

– задачу ввода, подготовки, обработки, хранения и вывода информации в ИС;

– регистрации созданных текстовых файлов.

14.2. Задача получения исходных данных, их подготовка, оформление, регистрация и выдача пользователям ИС состоит из следующих этапов:

– получение ПДн на бумажных носителях и в электронном виде от сторонних организаций, граждан РФ, и выдача пользователям ИС Администрации Зонального района;

– распечатка электронных файлов документов, содержащих ПДн на принтере ИС;

– передача сведений на бумажных носителях и в электронном виде, обработанных пользователями ИС Администрации Зонального района в сторонние организации по каналам передачи данных.

14.3. Полученные МНИ регистрируются, ставятся на учет и хранятся в соответствии с требованиями инструкции по обращению с носителями КИ, а затем используются специалистами Администрации Зонального района.

14.4. Задачи оформления, регистрации и передачи выходных данных выполняются специалистами ответственными за ведение конфиденциального делопроизводства в подразделениях. Они регистрируют МНИ в соответствии с требованиями инструкции по обращению с носителями конфиденциальной информации. В соответствии с указанной инструкцией происходит оформление МНИ.

14.5. Задачи ввода, подготовки, обработки, хранения и вывода информации в ИС выполняются специалистами, ответственными за ведение конфиденциального делопроизводства в подразделениях. Задачи выполняются с помощью, установленного на рабочей станции ИС ПО, указанного в утвержденном перечне разрешенного к использованию в ПО. Все файлы, содержащие ПДн, хранятся и обрабатываются только в специальных каталогах, входящих в утвержденный перечень защищаемых информационных ресурсов. Права доступа назначаются АИБом в соответствии с разрешительной системой доступа.

14.6. Копирование файлов с МНИ в специальные каталоги на жестком диске ПЭВМ, а также (в случае необходимости) предварительное изменение скопированных файлов. Файлы содержат текстовую информацию (техническую документацию, электронные документы и т.д.).

14.7. Создание специалистами, ответственными за ведение конфиденциального делопроизводства в подразделениях, конфиденциальных документов, их редактирование, уничтожение, хранение в специальных каталогах на жестком диске ПЭВМ или учтенных МНИ.

14.8. Запись созданных текстовых файлов на учтенные МНИ осуществляется специалистами в соответствии с его функциональными обязанностями и разрешительной системой доступа.

14.9. Задача регистрации созданных текстовых файлов выполняется пользователями ИС вручную сразу после подготовки конфиденциальных файлов и сохранения их на жесткий диск ПЭВМ, копирования конфиденциальных файлов на МНИ.

14.10. Удаление файлов с жестких магнитных дисков или МНИ осуществляется специальными средствами удаления информации, несколькими циклами затирания информации. В случае если МНИ выводится из обращения он подлежит физическому уничтожению в соответствии с требованиями инструкции по обращению с носителями КИ.

14.11. Настройку, управление и техническое сопровождение СЗИ.

14.12. Настройка, управление и техническое сопровождение СЗИ проводится АИБом и включает следующие операции:

– установка и настройка безопасной операционной среды для пользователей ИС. На этом этапе производится: установка и настройка операционной системы рабочих станций, подключение и конфигурирование устройств ввода-вывода информации в/из ИС, установка и настройка СЗИ, регистрация в СЗИ пользовательских учетных записей и настройка прав доступа для каждого пользователя в соответствии с его функциональными обязанностями (в том числе программирование, регистрация и выдача пользователям ИС персональных идентификаторов, а также учет и контроль за наличием их у пользователей), создание, предварительное наполнение информацией (не содержащей сведения, составляющие государственную тайну) и конфигурирование ресурсов ИС, реализация правил разграничения доступа к этим ресурсам в соответствии с разрешительной системой доступа, настройка парольной политики, политики затирания данных и т.д. Права доступа пользователей к программам, каталогам, файлам определены в разрешительной системе доступа к защищаемым ресурсам ИС Администрации Зонального района;

– непрерывный мониторинг безопасности в ИС с целью выявления нарушений правил разграничения доступа пользователями ИС, диагностики и последующего устранения выявленных неисправностей или ошибок в работе программно-аппаратного обеспечения операционной среды ИС. Данная задача выполняется администратором информационных систем путем регулярного анализа системных журналов операционной системы и СЗИ от НСД, регулярных проверок соответствия, реализованных в ИС правил разграничения доступа к ресурсам, требованиям разрешительной политики доступа, и АИБом путем регулярных проверок правильности соблюдения пользователями требований по защите информации;

– регулярное сопровождение подсистемы безопасности с целью обеспечения эффективности работы пользователей ИС и обеспечения защиты информации. Данная задача выполняется АИБом и ответственным за эксплуатацию ПЭВМ (в части касающейся организационных мероприятий по защите информации) регулярно (по расписанию) или при обнаружении внештатных ситуаций и регламентируется инструкцией о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав ИС. Задача включает следующие операции: регулярное проведение инструктажа пользователей по безопасной работе в ИС устранение выявленных неисправностей и ошибок (осуществляется АИБом), регулярные обновление прикладного ПО и обеспечение его целостности.

Этапы технологического процесса

15.1. Доступ пользователей к работе в ИС

15.1.1. Доступ пользователей к информационным ресурсам определяется на основании списка постоянных пользователей ИС и перечня защищаемых информационных ресурсов, утверждённого главой Зонального района Алтайского края.

Права доступа к информационным ресурсам назначаются каждому пользователю на основании разрешительной системы доступа, разрабатываемой АИБом.

15.1.2. Разграничение прав доступа пользователей к информационным ресурсам и установление полномочий этим пользователям реализуется средствами ОС и дополнительными средствами СЗИ от НСД.

15.1.3. Вход в систему осуществляется по персональному имени (персональному идентификатору) и паролю конкретного пользователя. При успешном входе в систему пользователь получает права доступа к устройствам, каталогам, файлам и программам, установленные АИБом.

15.1.4. При увольнении пользователя или переходе в другое подразделение, системным администратором на основании приказа, в последний день работы пользователя (или иной день, указанный в приказе), производится удаление учетной записи пользователя и всех его ресурсов (за исключением необходимых для работы других пользователей).

15.2. Начало сеанса работы

15.2.1. Перед началом сеанса работы пользователь включает свою рабочую станцию и проходит процедуру аутентификации.

15.2.2. В процессе аутентификации пользователь использует свои личные логин и пароль. Смена личного пароля производится не реже 1 раза в три месяца.

15.3. Регистрация пользователей и назначение прав доступа

15.3.1. Регистрация пользователей и назначение прав доступа производится системным администратором на основании заявления «На создание (продление) учетной записи пользователя».

15.3.2. Зарегистрированный пользователь устанавливает свой личный пароль.

15.3.3. Права доступа устанавливаются пользователю средствами ОС или СЗИ в соответствии с разрешительной системой доступа.

15.3.4. Удаление пользователя выполняется однократно при необходимости выведения специалиста из числа пользователей ИС Администрации Зонального района.

15.4. Работа с файлами документов, внесение изменений, хранение

15.4.1. Файлы документов разрабатываются на рабочем месте пользователем, зарегистрированным в ИС Администрации Зонального района.

15.4.2. Работа пользователя при подготовке файла документа возможна только после успешного прохождения процедуры аутентификации в ИС.

15.4.3. Пользователи имеют право постоянного хранения файлов с конфиденциальными и не конфиденциальными данными, ПДн на жестком магнитном диске только в специально выделенных системным администратором каталогах.

15.4.4. Разработка и подготовка к печати документов производится с применением, установленных на рабочей станции, текстовых и табличных редакторов.

15.4.5. Распечатка документов производится на принтере, размещенном на ОИ и включенном в технический паспорт на этот ОИ.

15.4.6. По окончании сеанса подготовки документа производится его сохранение в виде файла в разрешенном каталоге или на закрепленный за пользователем МНИ, соответствующим образом зарегистрированный.

15.4.7. В случае отсутствия необходимости дальнейшей работы с документом, впервые набранным с клавиатуры, пользователь может отказаться от сохранения его в виде файла.

15.4.8. Также пользователь может отказаться от сохранения внесенных в файл изменений.

15.5. Уничтожение файлов, содержащих конфиденциальные данные

15.5.1. Удаление данных (файлов) и временных файлов производится штатными средствами ОС при включенном режиме затирания данных или СЗИ от НСД (в том числе автоматическое обнуление файла подкачки).

15.5.2. Уничтожение файла может быть произведено без распечатки документа, если в документе отпала необходимость.

15.5.3. При установке операционной системы должна быть отключена функция удаления файлов через «корзину».

15.5.4. При установке СЗИ от НСД в ней должна быть активирована функция затирания данных с применением не менее 1го цикла затирания.

15.5.5. Факт удаления КИ, в том числе ПДн, с МНИ регистрируется в специальном журнале. Запись в журнал производит пользователь, уничтоживший эту информацию.

15.6. Работа с МНИ

15.6.1. Для разработки и хранения файлов с КИ, в том числе ПДн, могут использоваться МНИ, учтенные в установленном порядке в соответствии с требованиями инструкции по обращению с носителями КИ.

15.6.2. В качестве МНИ в ИС Администрации Зонального района могут использоваться (разрешены к использованию) следующие накопители информации:

– гибкие магнитные диски;

– оптические (лазерные) диски;

– USB flash накопители (накопители информации, подключаемые к USB порту ввода–вывода ПЭВМ).

USB flash накопители учитываются в установленном порядке в соответствии с требованиями инструкции по обращению с носителями конфиденциальной информации.

15.6.3. МНИ при необходимости выдаются каждому пользователю из числа специалистов, обрабатывающих конфиденциальные сведения и ПДн. Выданный носитель предназначен только для хранения файлов подготовленных документов. Операции с МНИ для КИ, в том числе ПДн, могут проводиться только на ПЭВМ, входящей в состав ИС предназначенных для работы с информацией соответствующей категории.

15.7. Подготовка МНИ. Выведение из обращения МНИ

15.7.1. При необходимости создания нового МНИ, пользователь регистрирует его в соответствии с требованиями инструкции по обращению с КИ.

15.7.2. При необходимости пользователь сдает зарегистрированный МНИ АИБу с целью его подготовки для дальнейшего использования на ПЭВМ, входящей в состав ИС.

15.7.3. Выведение МНИ из обращения производится путем его физического уничтожения, при этом составляется акт соответствующей формы, предусмотренной инструкцией по обращению с носителями КИ.

15.8. Создание файлов на МНИ

15.8.1. Условиями, необходимыми для выполнения данной процедуры, являются:

– пользователю разрешено самостоятельно копировать файлы на МНИ и обратно;

– наличие у пользователя подготовленного и зарегистрированного соответствующим образом МНИ.

15.9. Хранение МНИ пользователя

15.9.1. Хранение МНИ пользователя должно осуществляться в соответствии с требованиями инструкции по обращению с носителями КИ, в том числе ПДн.

15.9.2. Распечатка документов на печатающем устройстве компьютера (принтере)

15.9.3. Условием, необходимым для распечатки документов, является наличие у пользователя:

– прав доступа к защищаемым ресурсам ИС;

– подготовленных и зарегистрированных соответствующим образом листов.

15.9.4. Регистрация листов, используемых для распечатки конфиденциальных документов, осуществляется пользователем в соответствии с требованиями инструкции по обращению с носителями КИ.

15.9.5. Пользователь, распечатавший конфиденциальный документ, немедленно регистрирует его у специалиста, ответственного за ведение конфиденциального делопроизводства.

15.9.6. Оформление, распечатка, учёт и уничтожение документов производится в соответствии с требованиями настоящего технологического процесса, инструкцией по работе пользователя в ИС, инструкции по обращению с носителями КИ.

15.9.7. Контроль за распечаткой документов возлагается на АИБа.

15.10. Резервное копирование

15.10.1. Резервное копирование информационных ресурсов производится системным администратором в соответствии с правами доступа на МНИ, учтенные в порядке, установленным инструкцией по резервному копированию.

15.11. Передача информации

15.11.1. Передача файлов КИ, в том числе ПДн, на МНИ в другие подразделения Администрации Зонального района, а также организации иной ведомственной подчинённости, производится по каналам связи, в соответствии с требованиями законодательства РФ по обеспечению защиты КИ и инструкции по обращению с носителями КИ.

15.12. Завершение сеанса работы

15.12.1. По завершении работы пользователь выполняет штатную процедуру завершения работы, выключает рабочую станцию и сдаёт имеющиеся МНИ специалисту, ответственному за работу пользователей с МНИ.

Заключительные положения

16.1. Всем специалистам, допущенным к работе с КИ, в том числе ПДн, разъясняется ответственность за нарушение правил получения, обработки, защиты КИ и ПДн.

16.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн субъектов ПДн, несут ответственность в соответствии с действующим законодательством.