АДМИНИСТРАЦИЯ ГОРОДА ИЖЕВСКА
РАСПОРЯЖЕНИЕ
от 10 июля 2009 г. № 248
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
АДМИНИСТРАЦИИ ГОРОДА ИЖЕВСКА
В соответствии с Федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", руководствуясь Уставом
г. Ижевска:
1. Утвердить прилагаемое Положение
об обработке и о защите конфиденциальной информации в автоматизированных информационных системах Администрации города Ижевска (далее - Положение).
2. Заместителям главы Администрации г. Ижевска, Руководителю аппарата Администрации г. Ижевска, руководителям территориальных и отраслевых (функциональных) органов - структурных подразделений Администрации г. Ижевска (далее - структурные подразделения) принять меры к исполнению требований Положения
.
3. Руководителям структурных подразделений, осуществляющим на момент утверждения настоящего Положения
автоматизированную обработку конфиденциальной информации (в том числе персональных данных), в срок до 01.09.2009 внести проекты распоряжений Администрации г. Ижевска об обработке конфиденциальной информации в автоматизированных информационных системах в соответствии с п. 6.1
Положения.
4. Контроль за исполнением распоряжения возложить на заместителя главы Администрации г. Ижевска Лагунову Т.П.
И.о. Главы Администрации г. Ижевска
М.Ю.УШНУРЦЕВ
Утверждено
распоряжением
Администрации города Ижевска
от 10 июля 2009 г. № 248
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И О ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
АДМИНИСТРАЦИИ ГОРОДА ИЖЕВСКА
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27 июля 2006 г. № 152-ФЗ "О персональных данных", национальным стандартом Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 г. № 282.
1.2. Настоящее Положение определяет порядок наделения полномочиями по обработке конфиденциальной информации (далее - ОКИ), организационную систему обработки и защиты конфиденциальной информации (далее - ЗКИ), в том числе персональных данных в автоматизированных информационных системах (далее - АИС) Администрации города Ижевска (далее - Администрация города), территориальных органов - администраций районов города и отраслевых (функциональных) органов - структурных подразделений Администрации г. Ижевска, наделенных статусом юридического лица, отраслевых (функциональных) органов - структурных подразделений Администрации г. Ижевска, не наделенных статусом юридического лица (далее - Структурные подразделения, при необходимости выделения особенностей, соответственно, Структурные подразделения, наделенные статусом юридического лица, Структурные подразделения, не наделенные статусом юридического лица), основные направления и методы ЗКИ в АИС Администрации города и ее Структурных подразделений (далее - АИС Администрации), обязанности и ответственность пользователей и должностных лиц при ОКИ в АИС Администрации.
1.3. Настоящее Положение не распространяется на вопросы защиты информации, содержащей государственную тайну.
1.4. В Положении используются термины и определения, установленные в актах, указанных в п. 1.1
настоящего документа.
1.5. В дополнение к установленным в актах, указанных в п. 1.1
настоящего документа, для целей настоящего Положения используются следующие термины и определения:
обработка конфиденциальной информации - действия (операции) с конфиденциальной информацией, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание (персональных данных), блокирование, уничтожение;
оператор обработки конфиденциальной информации - Администрация г. Ижевска, Структурное подразделение, наделенное статусом юридического лица, организующие и (или) осуществляющие обработку конфиденциальной информации, а также определяющие цели и содержание обработки конфиденциальной информации.
2. Цели обработки и защиты конфиденциальной информации
2.1. Основной целью ОКИ в АИС Администрации является повышение эффективности исполнения Администрацией города, ее Структурными подразделениями установленных законодательством полномочий.
2.2. Основными целями ЗКИ в АИС Администрации являются:
предотвращение неконтролируемого распространения конфиденциальной информации в результате ее разглашения сотрудниками или получения несанкционированного доступа к информации (далее - НСД);
предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в АИС Администрации;
предотвращение утрат, несанкционированного уничтожения или сбоев функционирования машинных носителей информации, обеспечение полноты, целостности, достоверности информации в АИС Администрации;
соблюдение правового режима использования АИС Администрации;
обеспечение возможности обработки и использования конфиденциальной информации сотрудниками Администрации города, ее Структурных подразделений, имеющими соответствующие полномочия.
3. Организационная система обработки
и защиты конфиденциальной информации
3.1. Операторами ОКИ в АИС Администрации могут являться:
Администрация города Ижевска;
Структурные подразделения, наделенные статусом юридического лица.
3.2. Структурные подразделения, не наделенные статусом юридического лица, осуществляющие обработку конфиденциальной информации, могут назначаться исполняющими функции оператора по ОКИ в порядке, устанавливаемом настоящим Положением.
3.3. Организационную систему ОКИ и ЗКИ в АИС Администрации образуют:
Глава Администрации города Ижевска - осуществляет общее руководство по вопросам ОКИ и ЗКИ в АИС Администрации;
Первый заместитель главы Администрации города - осуществляет распорядительные функции по организации работ по ОКИ и ЗКИ в АИС Администрации;
заместители главы Администрации города, Руководитель аппарата Администрации города - несут ответственность за организацию работы по ОКИ и ЗКИ в подведомственных Структурных подразделениях, осуществляют непосредственное руководство реализацией мероприятий по ЗКИ в подведомственных Структурных подразделениях, не наделенных статусом юридического лица;
руководители Структурных подразделений - операторов, исполняющих функции операторов АИС, в которых производится ОКИ, - организуют работы по ОКИ и ЗКИ в АИС Структурных подразделений, осуществляют непосредственное руководство реализацией мероприятий по ЗКИ в АИС Структурных подразделений и несут ответственность за организацию ОКИ и ЗКИ в Структурном подразделении;
сотрудники, ответственные за информационную безопасность в Структурных подразделениях (далее - Администраторы ИБ), - обеспечивают выполнение организационных мероприятий по обеспечению ЗКИ в АИС Структурных подразделений, обеспечивают исполнение работ по технической защите информации (далее - ТЗИ) в АИС Структурных подразделений (за исключением АИС Структурных подразделений, не наделенных статусом юридического лица), несут ответственность за исполнение мероприятий по ЗКИ и соблюдение требований информационной безопасности пользователями Структурных подразделений;
Управление по информатизации Администрации города (далее - Управление по информатизации) - организует работу по технической защите информации в АИС Администрации, осуществляет ведение Реестра АИС Администрации, в которых осуществляется ОКИ (далее - Реестр АИС ОКИ, Реестр), предоставление Реестра в пользование.
Управление по информатизации включает в себя Сектор безопасности информации;
Сектор безопасности информации Управления по информатизации Администрации города (далее - Сектор БИ) - обеспечивает исполнение работ по ТЗИ в АИС Структурных подразделений, не наделенных статусом юридического лица, курирует исполнение мероприятий по ТЗИ в АИС Структурных подразделений, наделенных статусом юридического лица, производит оценку эффективности применяемых мер ТЗИ в АИС Администрации;
пользователи (потребители) информации (далее - Пользователи) - сотрудники, наделенные соответствующими правами по доступу к информации и непосредственно использующие информацию для исполнения своих должностных обязанностей или выполняющие непосредственные действия по вводу, обработке и передаче информации;
технические специалисты - сотрудники Администрации города, Структурных подразделений, сотрудники сторонних организаций, привлекаемые к работам в Администрации города и Структурных подразделениях на основании договоров, осуществляющие технические действия по эксплуатации средств вычислительной техники и АИС Администрации.
3.4. Для проведения работ по ЗКИ в АИС Администрации могут привлекаться на договорной основе специализированные организации, имеющие соответствующие лицензии на право проведения работ в области защиты информации.
3.5. Обязанности за соблюдение мер по обеспечению информационной безопасности конфиденциальной информации включаются в должностные обязанности сотрудников, участвующих в ОКИ.
3.6. При наделении должностными обязанностями, предусматривающими работу с конфиденциальной информацией, сотрудники должны быть под подпись ознакомлены с требованиями нормативных и руководящих документов в области ОКИ и ЗКИ и настоящего Положения в части, их касающейся, а также с ответственностью за нарушение требований по ОКИ и ЗКИ.
4. Документационная система обработки и защиты
конфиденциальной информации
4.1. Документационную систему ОКИ и ЗКИ в Администрации города и ее Структурных подразделениях образуют:
Положение о порядке организации и проведения работ по защите конфиденциальной информации;
Перечень сведений конфиденциального характера;
Реестр АИС ОКИ Администрации, Положение о порядке ведения Реестра;
локальные перечни АИС Структурных подразделений, в которых обрабатывается конфиденциальная информация;
приказы заместителей главы Администрации города, Руководителя аппарата Администрации города, руководителей Структурных подразделений, наделенных статусом юридического лица, о разработке (приобретении), внедрении и организации эксплуатации АИС;
приказы заместителей главы Администрации города, Руководителя аппарата Администрации города, руководителей Структурных подразделений о границе контролируемой зоны, о разрешительной системе доступа в пределы контролируемой зоны;
распорядительные документы заместителей главы Администрации города, Руководителя аппарата Администрации города, руководителей Структурных подразделений о назначении лиц, ответственных за ЗКИ;
должностные инструкции лиц, ответственных за ЗКИ, отдельные положения в должностных инструкциях, определяющие полномочия по ОКИ;
эксплуатационная документация на АИС, в которых осуществляется ОКИ;
акты классификации АИС, в которых осуществляется ОКИ;
технические паспорта на АИС, в которых осуществляется ОКИ;
частные модели угроз, планы мероприятий по нейтрализации угроз для АИС, в которых осуществляется ОКИ;
аттестаты соответствия требованиям по безопасности информации на объекты информатизации;
перечни лиц, допущенных к ОКИ;
регламенты, определяющие порядок действий по отдельным аспектам ОКИ и ЗКИ;
инструкции по эксплуатации средств защиты информации;
журнал (карточки) учета средств защиты информации;
настоящее Положение.
5. Объекты защиты конфиденциальной информации
5.1. Объектами ЗКИ в АИС Администрации являются информация, ее материальные носители, программные и технические средства обработки и передачи информации (далее - Активы).
5.2. Защите подлежат следующие Активы:
информационные ресурсы, содержащие сведения, отнесенные к категории конфиденциальной информации, представленные в виде отдельных документов, информационных массивов и баз данных, зафиксированных на машинных носителях;
основные технические средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), телекоммуникационные системы, используемые для обработки и передачи информации, содержащей сведения, отнесенные к конфиденциальной информации;
вспомогательные технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к конфиденциальной информации.
6. Назначение оператора обработки
конфиденциальной информации
6.1. С целью реализации установленных законодательством полномочий Структурные подразделения, планирующие создание АИС ОКИ, вносят в установленном порядке проект распоряжения Администрации города об ОКИ в АИС Администрации, в котором определяются цель, правовые основания, содержание ОКИ, категории объектов учета (для обработки персональных данных - категории субъектов персональных данных), организационная система ОКИ (оператор, круг взаимодействующих в процессе ОКИ организаций и должностных лиц, предполагаемый круг Пользователей, субъекты контроля и ЗКИ), предполагаемый класс АИС, дата начала ОКИ, срок или условие прекращения ОКИ, перечень мероприятий по ЗКИ, регламент ОКИ. С целью обеспечения регистрации АИС ОКИ в Реестре АИС ОКИ (п. 0) в список рассылки распоряжения включается Управление по информатизации.
6.2. Должностное лицо, осуществляющее распорядительные функции в организационной системе обработки и защиты конфиденциальной информации (п. 0), распоряжением Администрации (п. 0) назначает оператора ОКИ, определяет других субъектов ОКИ и ЗКИ.
6.3. Заместители главы Администрации города, Руководитель аппарата Администрации города приказами могут назначить Структурные подразделения, не наделенные статусом юридического лица, исполняющими функции оператора ОКИ.
6.4. При создании АИС обработки персональных данных в установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" случаях заместители главы Администрации города, Руководитель аппарата Администрации города, Структурные подразделения - операторы обработки персональных данных направляют в уполномоченный орган по защите прав субъектов персональных данных уведомления об обработке персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
6.5. Сведения об АИС ОКИ регистрируются в Реестре АИС ОКИ Управлением по информатизации (п. 0) на основании распоряжения об ОКИ (п. 0).
7. Основные направления и методы ЗКИ
7.1. Основными направлениями работ по ЗКИ являются:
физическая защита помещений, в которых обрабатывается конфиденциальная информация, от проникновения посторонних лиц;
физическая защита Активов от хищения, разрушения, уничтожения;
защита от НСД к конфиденциальной информации, от несанкционированного или непреднамеренного воздействия;
защита от преднамеренных или непреднамеренных действий Пользователей, ведущих к утечке или утрате конфиденциальной информации.
7.2. Мероприятия по ЗКИ включают в себя организационно-распорядительные, технические и контрольно-корректирующие мероприятия.
7.3. Организационно-распорядительные мероприятия по ЗКИ включают в себя:
разработку организационно-распорядительных документов по ЗКИ;
ограничение числа лиц, допущенных к обработке конфиденциальной информации;
организацию контролируемой зоны, размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ, ограничение доступа лиц, не допущенных к обработке конфиденциальной информации, внутрь контролируемой зоны;
размещение дисплеев и других средств отображения, исключающее несанкционированный просмотр информации;
документальное оформление перечня сведений конфиденциального характера, локальных перечней АИС ОКИ Структурных подразделений, Реестра АИС ОКИ;
инвентаризацию, учет и надежное хранение Активов, содержащих конфиденциальную информацию или посредством которых производится обработка конфиденциальной информации;
классификацию и категорирование АИС Администрации, исходя из требований законодательства и критичности для обеспечения муниципального управления, в необходимых случаях - аттестацию АИС Администрации;
выявление угроз НСД к конфиденциальной информации, разработку мероприятий по нейтрализации угроз;
организацию и соблюдение правил парольной защиты в АИС Администрации;
повышение квалификации, совершенствование знаний и навыков Пользователей в вопросах ЗКИ;
]]>дисциплинарную практику.
7.4. Мероприятия по технической защите информации включают в себя:
организацию физической защиты помещений и технических средств обработки информации с использованием организационных мер и технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;
сегментацию локальных вычислительных сетей (далее - ЛВС) в Структурных подразделениях, применение в сегментах ЛВС, в которых обрабатывается конфиденциальная информация, технических средств защиты информации, соответствующих требуемому классу защиты;
техническую реализацию системы парольной защиты для каждой АИС Администрации, в которой обрабатывается конфиденциальная информация;
использование сертифицированных средств защиты информации в АИС Администрации при передаче информации по открытым каналам связи в соответствии с установленными законодательством требованиями;
использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
регистрацию действий Пользователей, технических специалистов, контроль несанкционированного доступа и действий Пользователей, технических специалистов и посторонних лиц;
использование защищенных каналов связи, реализацию технологии частных виртуальных сетей в корпоративной вычислительной сети Администрации;
мероприятия по антивирусной защите в АИС Администрации;
реализацию системы резервного копирования информации.
7.5. Контрольно-корректирующие мероприятия по ЗКИ включают в себя:
контроль исполнения законодательства в области ЗКИ;
контроль исполнения организационно-распорядительных документов;
контроль выполнения мероприятий по ТЗИ, оценку эффективности выполнения мероприятий по ТЗИ;
выработку корректирующих воздействий, реализуемых путем издания и последующего исполнения организационно-распорядительных документов;
применение дисциплинарных мер.
7.6. Объем принимаемых мер по ЗКИ в зависимости от возможного ущерба в случае ее утечки, разрушения или утраты определяют Руководитель аппарата Администрации города, руководители Структурных подразделений.
7.7. Порядок действий по реализации мероприятий по ЗКИ определяется инструкциями и регламентами, разрабатываемыми и утверждаемыми в соответствии с принятым в Администрации города порядком.
8. Обязанности сотрудников Администрации города
по обработке и защите информации конфиденциального
характера
8.1. Глава Администрации города Ижевска:
определяет организационную систему обработки и защиты конфиденциальной информации;
осуществляет общее руководство разработкой и исполнением мероприятий по ОКИ и ЗКИ;
взаимодействует с надзорными органами по общим вопросам обработки и защиты конфиденциальной информации в Администрации города.
8.2. Первый заместитель главы Администрации города Ижевска:
осуществляет распорядительные функции по вопросам ОКИ и ЗКИ в Администрации города, в том числе осуществляет назначение операторов ОКИ;
утверждает документы организационно-распорядительного характера, действие которых распространяется на всех субъектов ОКИ и ЗКИ в Администрации города и ее Структурных подразделениях.
8.3. Заместители главы Администрации города, Руководитель аппарата Администрации города в отношении подведомственных Структурных подразделений, не наделенных статусом юридического лица, исполняющих функции операторов ОКИ, руководители Структурных подразделений, наделенных статусом юридического лица, - операторов обработки конфиденциальной информации:
осуществляют распорядительные функции по вопросам ОКИ и ЗКИ в подведомственных (руководимых) Структурных подразделениях;
в целях реализации установленных полномочий определяют необходимость в обработке конфиденциальной информации, необходимость в ее автоматизированной обработке, вносят в установленном порядке проект распоряжения об ОКИ (п. 0), организуют разработку (приобретение) и последующую эксплуатацию АИС, определяют в соответствии с категорией обрабатываемой информации и характером обработки класс АИС;
взаимодействуют с надзорными органами по вопросам ОКИ в АИС Администрации;
направляют уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных;
принимают меры к обеспечению ЗКИ в АИС Администрации в соответствии с действующим законодательством;
организуют работы по подготовке к аттестации АИС Администрации на соответствие предъявляемым требованиям;
организуют ведение локальных перечней АИС Администрации, в которых осуществляется ОКИ, вносят предложения по включению в Реестр АИС ОКИ, изменению или исключению соответствующих сведений в Реестре АИС ОКИ;
утверждают списки сотрудников, допускаемых к работе с защищаемой информацией в эксплуатируемых АИС Администрации;
назначают Администраторов ИБ;
принимают решения о приостановлении ОКИ в случае выявления нарушений требований по ЗКИ;
принимают меры по фактам нарушений требований по ЗКИ, разглашения конфиденциальной информации или утери документов, содержащих такую информацию;
определяют порядок передачи информации конфиденциального характера другим Структурным подразделениям и сторонним организациям в соответствии с установленными требованиями;
организуют разработку и утверждают должностные инструкции, инструкции пользователей (на основе Типовых обязанностей
пользователей при обработке конфиденциальной информации в автоматизированных информационных системах Администрации города Ижевска, приложение к данному Положению), другую документацию, регламентирующую ОКИ в подведомственных (руководимых) Структурных подразделениях;
несут персональную ответственность за состояние ЗКИ в подведомственных (руководимых) Структурных подразделениях.
8.4. Администраторы ИБ:
разрабатывают локальные перечни АИС, эксплуатируемых в Структурном подразделении, и обеспечивают их актуализацию, готовят предложения по включению в Реестр АИС ОКИ, изменению или исключению соответствующих сведений в Реестре АИС ОКИ;
разрабатывают частные модели угроз для каждой из эксплуатируемых в Структурном подразделении АИС, в которой производится ОКИ, а также предложения по нейтрализации этих угроз;
разрабатывают предложения по формированию и реализации планов мероприятий по ЗКИ;
вносят предложения об организационных мерах по ЗКИ;
реализуют мероприятия по ТЗИ (за исключением Администраторов ИБ Структурных подразделений, не наделенных статусом юридического лица);
ведут учет должностных лиц, допущенных к обработке конфиденциальной информации в АИС Администрации;
организуют доведение до пользователей руководящих и методических документов по обеспечению безопасности информации с использованием сертифицированных средств криптозащиты;
ведут учет сертифицированных средств криптозащиты, эксплуатируемых в Структурном подразделении;
ведут учет машинных носителей, предназначенных для хранения конфиденциальной информации;
инструктируют Пользователей по вопросам ЗКИ;
вносят предложения по повышению квалификации и обучению Администраторов ИБ, Пользователей по вопросам ЗКИ;
контролируют уничтожение конфиденциальной информации с жестких дисков персональных компьютеров (далее - ПК) и серверов, передаваемых в ремонт или в другие Структурные подразделения;
контролируют выполнение Пользователями общих правил работы на ПК и в ЛВС, при передаче информации по каналам связи, использования сертифицированных средств криптозащиты, за организацией доступа в Интернет, соблюдение Пользователями условий хранения ключевых документов, эксплуатационной и технической документации на сертифицированные средства криптозащиты;
контролируют характер исходящей информации, направляемой пользователями по электронной почте другим адресатам и принимают оперативные меры к соблюдению установленных требований по ЗКИ.
8.5. Управление по информатизации:
организует работу по ТЗИ в АИС Администрации;
осуществляет разработку проектов планов мероприятий по организации системы защиты информации в АИС Администрации, участвует в исполнении планов мероприятий, представляет отчеты о состоянии системы защиты информации в АИС Администрации;
разрабатывает проекты распорядительных документов по вопросам ЗКИ и ТЗИ;
вносит предложения заместителям главы Администрации города, Руководителю аппарата Администрации города, руководителям Структурных подразделений, наделенных статусом юридического лица, о приостановлении ОКИ в подведомственном (руководимом) Структурном подразделении в случае выявления существенных нарушений требований по ЗКИ;
осуществляет ведение Реестра АИС ОКИ, включающее в себя регистрацию АИС в Реестре, внесение изменений при изменении каких-либо атрибутов АИС, предоставление Реестра в пользование в соответствии с регламентом и исключение АИС из Реестра при прекращении ОКИ в АИС, разрабатывает регламент ведения Реестра, осуществляет взаимодействие с заместителями главы Администрации города, Руководителем аппарата Администрации города, руководителями Структурных подразделений, наделенных статусом юридического лица, по вопросам включения в Реестр сведений об АИС, их изменения или исключения сведений об АИС из Реестра;
разрабатывает предложения по совершенствованию системы защиты информации в Администрации города.
8.6. Сектор БИ:
вносит предложения о реализации мероприятий по организации системы защиты информации в АИС Администрации, участвует в исполнении планов мероприятий, готовит отчеты о состоянии системы защиты информации в АИС Администрации;
обеспечивает исполнение работ по ТЗИ в Структурных подразделениях, не наделенных статусом юридического лица, курирует исполнение мероприятий по ТЗИ в АИС Администрации;
осуществляет контроль состояния ЗКИ в АИС Администрации, производит оценку эффективности применяемых мер ТЗИ в АИС Администрации;
информирует заместителей главы Администрации города, Руководителя аппарата Администрации города в отношении подведомственных Структурных подразделений, не наделенных статусом юридического лица, руководителей Структурных подразделений, наделенных статусом юридического лица, о выявлении существенных нарушений требований по ЗКИ в подведомственных (руководимых) Структурных подразделениях;
разрабатывает предложения по совершенствованию системы защиты информации в Администрации города.
8.7. Пользователи:
участвуют в ОКИ, осуществляют непосредственные действия по регистрации информации в АИС, ее обработке, передаче по сетям передачи данных, применению сертифицированных средств криптозащиты;
используют информацию, документы, полученные из АИС, в своей работе с целью реализации возложенных на них функций;
применяют в необходимых случаях сертифицированные средства криптозащиты.
Типовые обязанности
Пользователей приведены в приложении 1 к настоящему Положению.
9. Ответственность за разглашение
конфиденциальной информации
За разглашение информации конфиденциального характера, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение или неисполнение требований режима защиты, обработки и порядка использования этой информации сотрудник может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
Приложение
к Положению
об обработке и защите
конфиденциальной информации
в автоматизированных
информационных системах
Администрации города Ижевска
ТИПОВЫЕ ОБЯЗАННОСТИ
ПОЛЬЗОВАТЕЛЕЙ ПРИ ОБРАБОТКЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
АДМИНИСТРАЦИИ ГОРОДА ИЖЕВСКА
1. При обработке конфиденциальной информации в автоматизированных информационных системах (далее - АИС) Администрации города Ижевска пользователи обязаны:
знать и соблюдать ограничения, связанные с обработкой конфиденциальной информации (далее - ОКИ);
знать и соблюдать правила работы с персональными компьютерами (далее - ПК) и другими средствами вычислительной техники, правила работы в локальной и корпоративной вычислительных сетях;
знать и соблюдать меры по защите конфиденциальной информации (далее - ЗКИ) в АИС;
знать и исполнять требования эксплуатационной документации на АИС;
при работе с АИС выполнять только служебные задания, только в рабочее время;
при работе с машинными носителями использовать только учтенные в установленном порядке машинные носители (дискеты, флэш-карты и т.п.);
перед началом работы на ПК проверить свои рабочие папки на жестком магнитном диске, рабочие съемные машинные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности ПК. При необходимости использования съемных машинных носителей, поступивших из других Структурных подразделений, сторонних организаций, прежде всего провести проверку этих носителей на отсутствие вирусов. При сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить Администратору информационной безопасности (далее - Администратор ИБ) и своему непосредственному руководителю;
выполнять предписания Администратора ИБ;
представлять для контроля свой ПК Администратору ИБ, специалисту Сектора безопасности информации (далее - Сектор БИ) Управления по информатизации Администрации города при осуществлении ими действий по контролю за выполнением правил по ЗКИ;
сохранять в тайне свой индивидуальный пароль, периодически изменять его и не сообщать другим лицам. Вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
располагать дисплей таким образом, чтобы исключить несанкционированное ознакомление лиц, не допущенных к обработке конфиденциальной информации, с отображаемыми сведениями;
учет, размножение, обращение печатных материалов, содержащих сведения конфиденциального характера и имеющих гриф "Для служебного пользования", проводить в соответствии с требованиями Положения о порядке обращения со служебной информацией ограниченного распространения;
при обнаружении различных неисправностей в работе компьютерной техники или локальной вычислительной сети, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствии номеров на аппаратных средствах сообщить непосредственному руководителю и Администратору ИБ.
2. Пользователю при работе запрещается:
предоставлять свой ПК в пользование другим сотрудникам, посторонним лицам, кроме случаев, связанных с техническим обслуживанием техническими специалистами, осуществляющими эксплуатацию средств информатизации, или осуществлением контрольных функций Администратором ИБ или сотрудниками Сектора БИ;
передавать другим лицам персональные пароли;
самостоятельно устанавливать компьютерные программы на свой ПК;
перенастраивать программное обеспечение ПК;
самостоятельно вскрывать ПК и другие средства вычислительной техники;
запускать на своем ПК любые системные или прикладные программы, кроме установленных техническими специалистами, осуществляющими эксплуатацию средств информатизации;
изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
оставлять включенным без присмотра свой ПК, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было в доступном для других лиц месте свое персональное устройство идентификации (при наличии), машинные носители и распечатки, содержащие конфиденциальную информацию;
производить копирование защищаемой информации на неучтенные носители;
отсылать по электронной почте информацию, не связанную с исполнением служебных обязанностей, а также информацию по просьбе третьих лиц без согласования с руководителем структурного подразделения;
запрашивать и получать из сети "Интернет" материалы развлекательного характера (игры, клипы и т.д.), кроме случаев их использования в служебных целях (только по согласованию с руководителем структурного подразделения);
запрашивать и получать из сети "Интернет" программные продукты, базы данных, обновления программных продуктов и баз данных, кроме случаев, связанных с исполнением служебных обязанностей;
входить в другие компьютерные системы через локальную вычислительную сеть, корпоративную вычислительную сеть Администрации города без разрешения операторов этих систем и предоставления допуска в установленном порядке;
использовать в личных целях сведения конфиденциального характера, ставшие известными вследствие выполнения служебных обязанностей.
