Инструкция пользователя в части обеспечения безопасности информации
-
Назначение и область действия документа
-
В настоящем документе определяются права, обязанности, а также ответственность пользователей государственной информационной системы Камчатского края "Сетевой город" (сегмент 100) (далее – ГИС) МБОУ «Лицей № 46» (далее – Учреждение) в части обеспечения безопасности информации.
-
Все пользователи, допущенные к работе в ГИС, должны быть ознакомлены с настоящей инструкцией под роспись.
-
Методическое руководство работой пользователя осуществляется лицом, ответственным за организацию обработки персональных данных в ГИС.
-
Обязанности и права пользователей
-
Пользователь обязан:
-
Соблюдать правила «чистого стола»:
-
На рабочем столе персонального компьютера (далее - ПК) должны находиться только те документы (на материальных носителях), которые необходимы для выполнения пользователем должностных обязанностей в настоящий момент времени;
-
Документы, содержащие информацию ограниченного доступа, по завершению работы с ними и в нерабочее время должны быть убраны в надежно запираемый шкаф (хранилище) или сейф;
-
При выходе из-за рабочего места рабочий стол ПК пользователя должен быть заблокирован (комбинация клавиш + или ++ и выбрать опцию <Блокировка>);
-
Размещать экран монитора таким образом, чтобы исключить несанкционированный просмотр информации с него.
-
Использовать в работе «сложные» пароли. С использованием:
-
Верхнего и нижнего регистров;
-
Комбинации букв и цифр;
-
Пароля длиной не менее 6 символов;
-
Пароля, не имеющего смысловую нагрузку (например: пароль – «Lj,hj1» в русской раскладке «Добро1»), или не являющимся общераспространенной комбинацией клавиш (например, Qwerty1234, Asdasd123 и т.п.);
-
При обнаружении вируса или подозрении на вирусное заражение:
-
Приостановить работу на своем компьютере;
-
Сообщить администратору информационной безопасности (далее – Администратор ИБ) информацию об обнаружении вируса или подозрении на вирусное заражение и источнике, откуда был получен зараженный файл (владелец).
-
Возобновить работу только после удаления вирусной программы и нейтрализации последствий вирусного заражения.
-
Своевременно сообщать Администратору ИБ о выявленных фактах нарушений установленных настоящей инструкцией требований по обеспечению безопасности информации;
-
Обеспечивать сохранность выданных ему средств вычислительной техники, машинных носителей информации, персональных идентификаторов (token, смарт-карты, ibutton и т.п.);
-
Обеспечивать конфиденциальность информации, хранимой на выданных им машинных носителях информации;
-
Использовать выданные средства вычислительной техники и машинные носители информации исключительно в целях выполнения своих должностных обязанностей;
-
Контролировать действия в рабочем кабинете лиц, не имеющих право самостоятельного доступа в них.
-
Пользователь должен ознакомиться с положением о персональных данных, обрабатываемых в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100).
-
Пользователь имеет право:
-
Вносить предложения по развитию и совершенствованию системы защиты информации при работе со средствами вычислительной техники;
-
Обращаться к Администратору ИБ за консультациями по вопросам обеспечения безопасности информации.
-
Пользователю категорически запрещается:
-
Вводить аутентификационную информацию в случае, если существует возможность наблюдения за вводом со стороны посетителей или посторонних лиц;
-
Записывать аутентификационную и идентификационную информацию (логин, пароль) на бумажных носителях и оставлять или хранить на рабочем месте.
-
Разглашать ставшую известной в ходе выполнения своих обязанностей информацию ограниченного доступа третьим лицам;
-
Копировать информацию ограниченного доступа на внешние носители непредусмотренные для обработки ПДн в случаях, не предусмотренных должностными обязанностями;
-
Использовать компоненты программного и аппаратного обеспечения АРМ в неслужебных целях;
-
Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
-
Несанкционированно открывать общий доступ к папкам на АРМ;
-
Умышленно использовать ошибки в программном обеспечении или в настройках АРМ (в том числе средств защиты), которые могут привести к возникновению кризисных ситуаций. Об обнаружении такого рода ошибок ставить в известность лицо, ответственное за организацию обработки персональных данных, либо Администратора ИБ;
-
Подключать к АРМ личные внешние носители и мобильные устройства;
-
Отключать (блокировать) средства защиты информации;
-
Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ГИС;
-
Привлекать посторонних лиц для производства ремонта или настройки АРМ без согласования с Администратором ИБ;
-
Применять для обработки ПДн технологии беспроводного доступа и мобильные технические средства.
-
Ответственность.
-
Пользователь несет персональную ответственность за нарушение требований настоящей инструкции в соответствии действующим законодательством Российской Федерации.
заместитель директора по УВР
|
__________________
подпись
|
Колгина Н.В.
|
Лист ознакомления с инструкцией пользователя в части обеспечения безопасности информации
№
|
ФИО
|
Дата
|
Подпись
|
1
|
2
|
3
|
4
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДАЮ
Директор МБОУ «Лицей № 46»
________ Углицких Т.И.
"__" _____________2016 г.
Инструкция по работе с СКЗИ, сертификатами ключей подписи, открытыми и закрытыми ключами электронной подписи
-
Назначение и область действия документа
-
В настоящем документе регламентируется порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств защиты информации (далее – СКЗИ) конфиденциальной информации в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100) (далее – ГИС) МБОУ «Лицей № 46» (далее – Учреждение).
-
В настоящем документе рассматриваются также права, обязанности и ответственность пользователей СКЗИ.
-
Все пользователи, допущенные к работе с СКЗИ должен быть ознакомлены с настоящей инструкцией под роспись.
-
Понятия, использующиеся в документе
-
Пользователи СКЗИ - физические лица, непосредственно допущенные к работе с СКЗИ.
-
Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
-
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
-
Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
-
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
-
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
-
Автоматизированное рабочее место (АРМ) - это программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида.
-
Права и обязанности пользователя при работе с СКЗИ
-
Сертификат ключа подписи, закрытый и открытый ключи электронной подписи (далее - ЭП) должны хранится в надежном металлическом хранилище (в сейфе владельца или администратора информационной безопасности (далее - Администратор ИБ).
-
Сейф должен быть оборудован надежными запирающими устройствами с двумя экземплярами ключей: один у пользователя, второй – у Администратора ИБ.
-
При использовании ЭП, последняя должна храниться на съемном носителе (USB-токены).
-
В случае хранения ЭП на жестком диске компьютера, доступ к компьютеру должен быть ограничен.
-
При использовании ЭП необходимо использовать сложные PIN пароли для защиты ключевой информации отвечающие требованиям парольной политики в ГИС.
-
Пользователю СКЗИ запрещается:
-
Отвечать на письма, с требованиями (просьбами, предложениями) зайти на сайт, прислать секретный ключ или пароль доступа к СКЗИ. О данных попытках необходимо незамедлительно оповестить Администратора ИБ;
-
Разглашать конфиденциальную информацию, к которой допущен, рубежи ее защиты, в том числе сведения о криптоключах;
-
Отлучаться от компьютера, пока в нем находится съемный носитель, содержащий секретный ключ ЭП;
-
Снимать несанкционированные копии с ключевых носителей;
-
Использовать сертификат ключа подписи без согласия законного владельца;
-
Использовать ключ ЭП в случае его компрометации;
-
Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным;
-
Выводить секретные ключи на дисплей (монитор) компьютера или принтер;
-
Устанавливать ключевой носитель в считывающее устройство (дисковод) компьютера, не предусмотренное функционированием системы, а также в другие компьютера.
-
Пользователь СКЗИ, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ, обязан сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным приказом Федерального агентства правительственной связи и информации при Президенте РФ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"
-
Пользователь СКЗИ обязан немедленно уведомлять Администратора ИБ о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
-
Пользователь СКЗИ обязан извлекать из компьютера съемный носитель, содержащий секретный ключ, сразу после завершения работы.
-
В случае увольнения, по любой причине, работника Учреждения, на имя которого Удостоверяющим центром выдан сертификат ключа подписи, следует немедленно обратиться в Удостоверяющий центр с заявлением на аннулирование сертификата ключа подписи.
-
Администратор ИБ обязан не реже одного раза в квартал проверять исполнение настоящей инструкции путем:
-
Визуального осмотра рабочих мест пользователя;
-
Проверки соответствия закрытого ключа ЭП данным пользователя СКЗИ.
-
Актуализации перечня лиц, допущенных к СКЗИ.
-
Действия при компрометации криптографических ключей
-
К событиям, связанным с компрометацией ключей относятся, включая, но не ограничиваясь, следующие:
-
Потеря ключевых носителей;
-
Потеря ключевых носителей с их последующим обнаружением;
-
Увольнение сотрудников, имевших доступ к ключевой информации;
-
Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа;
-
Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
-
Нарушение печати на сейфе с ключевыми носителями;
-
Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).
-
В случае возникновения обстоятельств, указанных в п. 4.1 настоящей Инструкции, пользователь обязан немедленно прекратить обмен электронными документами с использованием скомпрометированных закрытых криптографических ключей и сообщить о факте компрометации Ответственному за эксплуатацию СКЗИ.
-
Использование СКЗИ может быть возобновлено только после ввода в действие другого криптографического ключа взамен скомпрометированного.
-
Скомпрометированные ключи подлежат уничтожению в соответствии с порядком, установленным в Учреждение
-
Ответственность пользователя при работе с СКЗИ
-
Сертификат ключа подписи, открытый и закрытый ключи электронной подписи относится к конфиденциальной информации - служебной тайне или служебной информации.
-
Пользователь должен соблюдать требования по охране средств ЭП и СКЗИ в пределах своих полномочий;
-
Пользователь должен извещать Администратора ИБ обо всех случаях нарушения режима охраны тайны закрытого ключа ЭП и СКЗИ;
-
Пользователь несёт ответственность за нарушение режима охраны тайны СКЗИ, закрытого ключа ЭП, в том числе вплоть до возмещения ущерба;
-
За невыполнение или ненадлежащее выполнение обязательств по настоящей инструкции пользователь несёт ответственность в соответствии с законодательством Российской Федерации.
-
Порядок внесения изменений
-
Внесение изменений в настоящую инструкцию осуществляется при изменении технологии работы с СКЗИ, сертификатами ключей подписи, от-крытыми и закрытыми ключами электронной цифровой подписи.
заместитель директора по УВР
|
__________________
подпись
|
Колгина Н.В.
|
Лист ознакомления с инструкцией по работе с СКЗИ, сертификатами ключей подписи, открытыми и закрытыми ключами электронной подписи
№
|
ФИО
|
Дата
|
Подпись
|
1
|
2
|
3
|
4
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
УТВЕРЖДАЮ
Директор МБОУ «Лицей № 46»
________ Углицких Т.И.
"__" _____________2016 г.
Поделитесь с Вашими друзьями: |