Инструкция пользователя в части обеспечения безопасности информации

1. 
   Назначение и область действия документа
   
   1. 
      В настоящем документе определяются права, обязанности, а также ответственность пользователей государственной информационной системы Камчатского края "Сетевой город" (сегмент 100) (далее – ГИС) МБОУ «Лицей № 46» (далее – Учреждение) в части обеспечения безопасности информации.
      
   2. 
      Все пользователи, допущенные к работе в ГИС, должны быть ознакомлены с настоящей инструкцией под роспись.
      
   3. 
      Методическое руководство работой пользователя осуществляется лицом, ответственным за организацию обработки персональных данных в ГИС.
      
2. 
   Обязанности и права пользователей
   
   1. 
      Пользователь обязан:
      
      1. 
         Соблюдать правила «чистого стола»:
         
         1. 
            На рабочем столе персонального компьютера (далее - ПК) должны находиться только те документы (на материальных носителях), которые необходимы для выполнения пользователем должностных обязанностей в настоящий момент времени;
            
         2. 
            Документы, содержащие информацию ограниченного доступа, по завершению работы с ними и в нерабочее время должны быть убраны в надежно запираемый шкаф (хранилище) или сейф;
            
         3. 
            При выходе из-за рабочего места рабочий стол ПК пользователя должен быть заблокирован (комбинация клавиш + или ++ и выбрать опцию <Блокировка>);
            
         4. 
            Размещать экран монитора таким образом, чтобы исключить несанкционированный просмотр информации с него.
            
      2. 
         Использовать в работе «сложные» пароли. С использованием:
         
         1. 
            Верхнего и нижнего регистров;
            
         2. 
            Комбинации букв и цифр;
            
         3. 
            Пароля длиной не менее 6 символов;
            
         4. 
            Пароля, не имеющего смысловую нагрузку (например: пароль – «Lj,hj1» в русской раскладке «Добро1»), или не являющимся общераспространенной комбинацией клавиш (например, Qwerty1234, Asdasd123 и т.п.);
            
      3. 
         При обнаружении вируса или подозрении на вирусное заражение:
         
         1. 
            Приостановить работу на своем компьютере;
            
         2. 
            Сообщить администратору информационной безопасности (далее – Администратор ИБ) информацию об обнаружении вируса или подозрении на вирусное заражение и источнике, откуда был получен зараженный файл (владелец).
            
         3. 
            Возобновить работу только после удаления вирусной программы и нейтрализации последствий вирусного заражения.
            
      4. 
         Своевременно сообщать Администратору ИБ о выявленных фактах нарушений установленных настоящей инструкцией требований по обеспечению безопасности информации;
         
      5. 
         Обеспечивать сохранность выданных ему средств вычислительной техники, машинных носителей информации, персональных идентификаторов (token, смарт-карты, ibutton и т.п.);
         
      6. 
         Обеспечивать конфиденциальность информации, хранимой на выданных им машинных носителях информации;
         
      7. 
         Использовать выданные средства вычислительной техники и машинные носители информации исключительно в целях выполнения своих должностных обязанностей;
         
      8. 
         Контролировать действия в рабочем кабинете лиц, не имеющих право самостоятельного доступа в них.
         
   2. 
      Пользователь должен ознакомиться с положением о персональных данных, обрабатываемых в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100).
      
   3. 
      Пользователь имеет право:
      
      1. 
         Вносить предложения по развитию и совершенствованию системы защиты информации при работе со средствами вычислительной техники;
         
      2. 
         Обращаться к Администратору ИБ за консультациями по вопросам обеспечения безопасности информации.
         
   4. 
      Пользователю категорически запрещается:
      
      1. 
         Вводить аутентификационную информацию в случае, если существует возможность наблюдения за вводом со стороны посетителей или посторонних лиц;
         
      2. 
         Записывать аутентификационную и идентификационную информацию (логин, пароль) на бумажных носителях и оставлять или хранить на рабочем месте.
         
      3. 
         Разглашать ставшую известной в ходе выполнения своих обязанностей информацию ограниченного доступа третьим лицам;
         
      4. 
         Копировать информацию ограниченного доступа на внешние носители непредусмотренные для обработки ПДн в случаях, не предусмотренных должностными обязанностями;
         
      5. 
         Использовать компоненты программного и аппаратного обеспечения АРМ в неслужебных целях;
         
      6. 
         Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
         
      7. 
         Несанкционированно открывать общий доступ к папкам на АРМ;
         
      8. 
         Умышленно использовать ошибки в программном обеспечении или в настройках АРМ (в том числе средств защиты), которые могут привести к возникновению кризисных ситуаций. Об обнаружении такого рода ошибок ставить в известность лицо, ответственное за организацию обработки персональных данных, либо Администратора ИБ;
         
      9. 
         Подключать к АРМ личные внешние носители и мобильные устройства;
         
      10. 
          Отключать (блокировать) средства защиты информации;
          
      11. 
          Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ГИС;
          
      12. 
          Привлекать посторонних лиц для производства ремонта или настройки АРМ без согласования с Администратором ИБ;
          
      13. 
          Применять для обработки ПДн технологии беспроводного доступа и мобильные технические средства.
          
3. 
   Ответственность.
   
   1. 
      Пользователь несет персональную ответственность за нарушение требований настоящей инструкции в соответствии действующим законодательством Российской Федерации.
      
      
      

      заместитель директора по УВР

      __________________ ­­подпись

      Колгина Н.В.

      
      
      

УТВЕРЖДАЮ

Директор МБОУ «Лицей № 46»

________ Углицких Т.И.

1. 
   Назначение и область действия документа
   
   1. 
      В настоящем документе регламентируется порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств защиты информации (далее – СКЗИ) конфиденциальной информации в государственной информационной системе Камчатского края "Сетевой город" (сегмент 100) (далее – ГИС) МБОУ «Лицей № 46» (далее – Учреждение).
      
   2. 
      В настоящем документе рассматриваются также права, обязанности и ответственность пользователей СКЗИ.
      
   3. 
      Все пользователи, допущенные к работе с СКЗИ должен быть ознакомлены с настоящей инструкцией под роспись.
      
2. 
   Понятия, использующиеся в документе
   
   1. 
      Пользователи СКЗИ - физические лица, непосредственно допущенные к работе с СКЗИ.
      
   2. 
      Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
      
   3. 
      Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
      
   4. 
      Исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
      
   5. 
      Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию.
      
   6. 
      Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
      
   7. 
      Автоматизированное рабочее место (АРМ) - это программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида.
      
3. 
   Права и обязанности пользователя при работе с СКЗИ
   
   1. 
      Сертификат ключа подписи, закрытый и открытый ключи электронной подписи (далее - ЭП) должны хранится в надежном металлическом хранилище (в сейфе владельца или администратора информационной безопасности (далее - Администратор ИБ).
      
   2. 
      Сейф должен быть оборудован надежными запирающими устройствами с двумя экземплярами ключей: один у пользователя, второй – у Администратора ИБ.
      
   3. 
      При использовании ЭП, последняя должна храниться на съемном носителе (USB-токены).
      
   4. 
      В случае хранения ЭП на жестком диске компьютера, доступ к компьютеру должен быть ограничен.
      
   5. 
      При использовании ЭП необходимо использовать сложные PIN пароли для защиты ключевой информации отвечающие требованиям парольной политики в ГИС.
      
   6. 
      Пользователю СКЗИ запрещается:
      
      1. 
         Отвечать на письма, с требованиями (просьбами, предложениями) зайти на сайт, прислать секретный ключ или пароль доступа к СКЗИ. О данных попытках необходимо незамедлительно оповестить Администратора ИБ;
         
      2. 
         Разглашать конфиденциальную информацию, к которой допущен, рубежи ее защиты, в том числе сведения о криптоключах;
         
      3. 
         Отлучаться от компьютера, пока в нем находится съемный носитель, содержащий секретный ключ ЭП;
         
      4. 
         Снимать несанкционированные копии с ключевых носителей;
         
      5. 
         Использовать сертификат ключа подписи без согласия законного владельца;
         
      6. 
         Использовать ключ ЭП в случае его компрометации;
         
      7. 
         Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным;
         
      8. 
         Выводить секретные ключи на дисплей (монитор) компьютера или принтер;
         
      9. 
         Устанавливать ключевой носитель в считывающее устройство (дисковод) компьютера, не предусмотренное функционированием системы, а также в другие компьютера.
         
   7. 
      Пользователь СКЗИ, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ, обязан сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным приказом Федерального агентства правительственной связи и информации при Президенте РФ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"
      
   8. 
      Пользователь СКЗИ обязан немедленно уведомлять Администратора ИБ о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
      
   9. 
      Пользователь СКЗИ обязан извлекать из компьютера съемный носитель, содержащий секретный ключ, сразу после завершения работы.
      
   10. 
       В случае увольнения, по любой причине, работника Учреждения, на имя которого Удостоверяющим центром выдан сертификат ключа подписи, следует немедленно обратиться в Удостоверяющий центр с заявлением на аннулирование сертификата ключа подписи.
       
   11. 
       Администратор ИБ обязан не реже одного раза в квартал проверять исполнение настоящей инструкции путем:
       
       1. 
          Визуального осмотра рабочих мест пользователя;
          
       2. 
          Проверки соответствия закрытого ключа ЭП данным пользователя СКЗИ.
          
       3. 
          Актуализации перечня лиц, допущенных к СКЗИ.
          
4. 
   Действия при компрометации криптографических ключей
   
   1. 
      К событиям, связанным с компрометацией ключей относятся, включая, но не ограничиваясь, следующие:
      
      1. 
         Потеря ключевых носителей;
         
      2. 
         Потеря ключевых носителей с их последующим обнаружением;
         
      3. 
         Увольнение сотрудников, имевших доступ к ключевой информации;
         
      4. 
         Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа;
         
      5. 
         Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
         
      6. 
         Нарушение печати на сейфе с ключевыми носителями;
         
      7. 
         Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).
         
   2. 
      В случае возникновения обстоятельств, указанных в п. 4.1 настоящей Инструкции, пользователь обязан немедленно прекратить обмен электронными документами с использованием скомпрометированных закрытых криптографических ключей и сообщить о факте компрометации Ответственному за эксплуатацию СКЗИ.
      
   3. 
      Использование СКЗИ может быть возобновлено только после ввода в действие другого криптографического ключа взамен скомпрометированного.
      
   4. 
      Скомпрометированные ключи подлежат уничтожению в соответствии с порядком, установленным в Учреждение
      
5. 
   Ответственность пользователя при работе с СКЗИ
   
   1. 
      Сертификат ключа подписи, открытый и закрытый ключи электронной подписи относится к конфиденциальной информации - служебной тайне или служебной информации.
      
   2. 
      Пользователь должен соблюдать требования по охране средств ЭП и СКЗИ в пределах своих полномочий;
      
   3. 
      Пользователь должен извещать Администратора ИБ обо всех случаях нарушения режима охраны тайны закрытого ключа ЭП и СКЗИ;
      
   4. 
      Пользователь несёт ответственность за нарушение режима охраны тайны СКЗИ, закрытого ключа ЭП, в том числе вплоть до возмещения ущерба;
      
   5. 
      За невыполнение или ненадлежащее выполнение обязательств по настоящей инструкции пользователь несёт ответственность в соответствии с законодательством Российской Федерации.
      
6. 
   Порядок внесения изменений
   
   1. 
      Внесение изменений в настоящую инструкцию осуществляется при изменении технологии работы с СКЗИ, сертификатами ключей подписи, от-крытыми и закрытыми ключами электронной цифровой подписи.
      
   
   
   

УТВЕРЖДАЮ

Директор МБОУ «Лицей № 46»

________ Углицких Т.И.