Положение об обеспечении безопасности объектов



Скачать 294.7 Kb.
Дата09.08.2018
Размер294.7 Kb.
#43039

Акционерное общество энергетики и электрификации «Тюменьэнерго»

Выписка из инструкции

по соблюдению правил информационной безопасности в АО «Тюменьэнерго»
В редакции приказа АО  «Тюменьэнерго»

от ___________ 2018 г. № ____

Издание официальное


г. Сургут


Оглавление

1.Назначение и область применения 3

3.Термины и определения, сокращения и обозначения 3

2.АРМ 4

3.АСУД 4

4.ДКиТАСУ 4

5.ЗГД 4

6.ИБ 4

7.ИТ 4

8.ИС 4

9.ИТКИ 4

10.ЛВС 4

11.МФУ 4

12.Общество 4

13.ОРД 4

14.ПБ 4

15.ПО 4

16.Работник 4

17.Департамент 4

18.СВТ 4

19.СКиТАСУ 4

20.СКС 4

21.СП 4

22.Филиал 4

23.ДУПиОП 4

24.ЭЦП 4

4.Общие положения 4

5.Правила информационной безопасности 5

6.Права работников 14

7.Обязанности работников 14

8.Контроль 15

Форма листа ознакомления 17



1.Назначение и область применения

    1. Настоящая Инструкция по соблюдению правил информационной безопасности в АО «Тюменьэнерго» (далее – Инструкция) разработана в целях реализации требований Политики обеспечения комплексной безопасности АО «Тюменьэнерго», регламентации использования АРМ, ЛВС и информационных ресурсов АО «Тюменьэнерго» работниками Общества и работниками организаций, оказывающими услуги/выполняющими работы по сопровождению и эксплуатации информационно-телекоммуникационной и технологической инфраструктуры Общества, созданию или модернизации информационных систем.

    2. Положения Инструкции должны применяться при работе на АРМ, ЛВС, в информационных, телекоммуникационных и технологических системах.

    3. Выполнение требований настоящей Инструкции обязательно для всех работников исполнительного аппарата и филиалов АО «Тюменьэнерго» и работников организаций, оказывающих услуги, выполняющих работы по сопровождению и эксплуатации информационно-телекоммуникационной и технологической инфраструктуры Общества, созданию или модернизации информационных систем. Каждый Работник несет персональную ответственность за свои действия.

    4. Ресурсы ИТКИ предоставляются Работникам для осуществления ими своих обязанностей, связанных с производственной деятельностью. При этом соблюдаются принципы разумной достаточности и минимальной необходимости.

  1. Термины и определения, сокращения и обозначения


В настоящем документе используются следующие термины с соответствующими определениями:

Термин

Определение

Автоматизированная система

Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций

Администратор ИС

Ответственный специалист ДКиТ АСУ/СКиТ АСУ или подразделения – владельца информационной системы, сотрудник подрядной организации, выполняющий функции управления и администрирования информационной системой

Информационные технологии

Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов

Информационная система

Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств

Туннелирование

От английского tunnelling — «прокладка туннеля» в компьютерных сетях — процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Этот способ применяется для обхода средств защиты.

Компрометация пароля

факт несанкционированного доступа к парольной информации, а также подозрение осуществления такого доступа

В настоящем документе приняты следующие сокращения:

Сокращение

Определение

2.АРМ


Автоматизированное рабочее место

3.АСУД


Автоматизированная система управленческого документооборота

4.ДКиТАСУ


Департамент корпоративных и технологических АСУ

5.ЗГД


Заместитель генерального директора АО «Тюменьэнерго»

6.ИБ


Информационная безопасность

7.ИТ


Информационные технологии

8.ИС


Информационные системы

9.ИТКИ


Информационно-телекоммуникационная инфраструктура Общества

10.ЛВС


Локальная вычислительная сеть АО «Тюменьэнерго»

11.МФУ


Многофункциональное устройство

12.Общество


Акционерное общество энергетики и электрификации «Тюменьэнерго» (АО «Тюменьэнерго»)

13.ОРД


Организационно-распорядительный документ

14.ПБ


Подразделение безопасности

15.ПО


Программное обеспечение

16.Работник


Работники АО «Тюменьэнерго» и работники организаций, оказывающих услуги/выполняющих работы по сопровождению и эксплуатации ИТКИ, созданию или модернизации ИС

17.Департамент


Департамент информационной безопасности и защиты объектов АО «Тюменьэнерго»

18.СВТ


Средства вычислительной техники

19.СКиТАСУ


Служба корпоративных и технологических АСУ филиала

20.СКС


Структурированная кабельная система

21.СП


Структурные подразделения

22.Филиал


Филиал АО «Тюменьэнерго»

23.ДУПиОП


Департамент управления персоналом и организационного проектирования АО «Тюменьэнерго»

24.ЭЦП


Электронно-цифровая подпись
  1. Общие положения





    1. Настоящая Инструкция является локальным нормативным актом, устанавливающим организационные основы, регламентирующим отношения в области обеспечения информационной безопасности в Обществе.

    2. Внесение изменений и дополнений в настоящий документ производится Департаментом информационной безопасности и защиты объектов в установленном в Обществе порядке.

    3. Информация, создаваемая, получаемая и хранящаяся в информационных системах Общества, считается собственностью Общества, если иное не оговорено соответствующими соглашениями. Общество оставляет за собой право протоколировать и контролировать действия работников при обработке информации в информационных системах.

    4. Все находящиеся в собственности Общества программные продукты и информация не могут находиться и обрабатываться на личных устройствах. Исключение составляет ПО, по лицензионному соглашению которого разрешена установка на личные устройства.

    5. Генеральный директор АО «Тюменьэнерго» – высший уровень принятия решений АО «Тюменьэнерго» по организации и управлению деятельностью, регулируемой настоящим документом.

    6. Заместитель генерального директора по безопасности АО «Тюменьэнерго» является ответственным за:

      1. Принятие решений по структуре и составу настоящего документа, содержащих требования к организации и управлению деятельностью АО «Тюменьэнерго».

      2. Контроль выполнения требований настоящего документа.

      3. Принятие мер в случае невыполнения требований настоящего документа.

      4. Назначение ответственных за организацию разработки, согласования, утверждения внедрения, контроля исполнения, сопровождения и развития настоящего документа.

    7. Начальник Департамента информационной безопасности и защиты объектов АО «Тюменьэнерго» является ответственным за организацию разработки, согласования, утверждения, внедрения, контроля исполнения, сопровождения и развития настоящего документа.

    8. Департамент формирует и актуализирует набор правил с целью пресечения деятельности, направленной на реализацию угроз ИБ как против Работников, так и против Общества.

    9. Принципами формирования требований для поведения Работников при работе в информационном поле Общества являются главенство интересов Общества в частности и Российской Федерации в целом.

    10. Требования Инструкции основываются на имеющихся ОРД, в процессе работы Департамент актуализирует и расширяет набор требований посредством выпуска ОРД.

  1. Правила информационной безопасности

    1. Общие требования.

      1. Работникам запрещено:


  • использовать АРМ, оргтехнику, программное обеспечение в личных целях;

  • осуществлять без согласования с Департаментом (в филиалах – сотрудником ПБ с дислокацией в филиале) фото- и видеосъемку экранов компьютеров, офисных помещений, мест расположения СВТ и мест прокладки СКС, имеющих значение для принципов и систем защиты информации;

  • копировать любым способом информацию ограниченного доступа за исключением служебной необходимости на зарегистрированные носители;

  • осуществлять скрытую аудиозапись совещаний и переговоров;

  • выбрасывать информацию, не являющуюся общедоступной, в печатном виде в мусорные корзины (бумажные носители должны уничтожаться с применением устройств по измельчению бумаги);

  • обсуждать сведения, относящиеся к информации ограниченного доступа или информации конфиденциального характера, по незащищенным каналам связи (телефонная связь), в присутствии других лиц или местах, где она может быть услышана другими лицами;

  • предоставлять доступ посторонним лицам к средствам радиосвязи, корпоративному мобильному аппарату (в том числе личному мобильному устройству с установленной корпоративной SIM-картой), мобильному устройству удаленного доступа к ЛВС;

  • оставлять бумажные и электронные носители с информацией в переговорных, общих сетевых принтерах и других общедоступных местах.
      1. Работники обязаны выключать АРМ по завершению рабочего дня.



    1. Требования к подразделениям, осуществляющим административные функции

      1. Учетная запись пользователя, ушедшего в длительный отпуск (более 60 дней), должна блокироваться.

      2. Информация, хранящаяся в профиле уволенного либо переведённого в другое структурное подразделение сотрудника, может передаваться руководителю подразделения после подачи заявки через техподдержку. После передачи информации с АРМ уволенного/переведенного работника, пользовательский профиль удаляется.

      3. Учетные записи уволенных пользователей должны блокироваться администраторами ИС немедленно с момента получения уведомления из подразделения кадрового учета персонала Общества. После передачи информации с АРМ уволенного работника, учетная запись удаляется.

      4. Перед сдачей в ремонт, на обслуживание или при увольнении Работника, АРМ которого внесен в список устройств, где обрабатывается информация ограниченного доступа, должна производиться процедура гарантированного уничтожения информации на жестких дисках АРМ (после передачи указанной информации работнику, осуществляющему прием дел увольняющегося или резервного копирования, выполняемого в личной сетевой папке) и полная переустановка системного и прикладного ПО. Отметка о необходимости такого вида работ ставится в примечаниях к учетной записи в AD.

      5. Запрещено выполнять настройки операционной системы или прикладного ПО на АРМ, не удовлетворяющих требованиям ИБ.

      6. Запрещено отключать без согласования с Департаментом или сотрудником блока безопасности с дислокацией в филиале антивирусные системы и иные системы обеспечения информационной безопасности.

      7. При вводе в эксплуатацию нового АРМ или сервера необходимо обязательно устанавливать и настраивать средства обеспечения информационной безопасности, в том числе антивирусной защиты и автоматического обновления. Обязательно следует настроить блокировку входа в операционную систему через 5 минут простоя АРМ. Ответственность за настройки АРМ в соответствии с требованиями ИБ несёт начальник структурного подразделения, осуществлявшего настройку.

      8. Администраторы ИС являются ответственными за работоспособность средств обеспечения информационной безопасности на своих информационных системах.

      9. Предоставление административных прав осуществляется по согласованию с Департаментом/сотрудником ПБ в филиале.

      10. При необходимости подключить МФУ, принтер, другое близкое по функционалу устройство по беспроводному каналу связи, необходимо принять меры к созданию сложного ключа длиной не менее 12 символов, понизить уровень сигнала до минимального.

      11. ДКиТАСУ должен постоянно поддерживать в актуальном состоянии список запрещенных Интернет-ресурсов и блокировать доступ к ним на различных уровнях.

      12. Служба технической поддержки ДКиТ АСУ обязана незамедлительно информировать специалистов Департамента обо всех обнаруженных инцидентах.

      13. ДКиТАСУ\СКиТ АСУ должны обеспечивать своевременное обновление внутренних настроек, прошивок, встроенных операционных систем сетевого оборудования, в обязательном порядке настраивать использование встроенных средств обеспечения безопасности. Обеспечить хранение конфигураций и настроек устройств в единой системе с возможностью контроля версий.

      14. Использование в технологических циклах работ ПО, инструментов, оборудования, не являющихся собственностью Общества, не допускается. При необходимости использования в Обществе или филиале свободного (открытого) ПО следует руководствоваться требованиями, выдаваемыми Департаментом.

    2. Требования при работе на АРМ

      1. Каждому Работнику при устройстве на работу в Общество для выполнения служебных обязанностей выделяется стационарное или мобильное АРМ с доступом в ЛВС.

      2. Работники должны обладать необходимыми навыками работы с используемым аппаратным и программным обеспечением, выполнять на АРМ только те процедуры, которые определены для него должностной инструкцией.

      3. Работник должен бережно относиться к предоставленным ему для выполнения трудовой функции техническим средствам.

      4. Работник должен использовать программное обеспечение на АРМ строго в соответствии с Регламентом по установке и конфигурации автоматизированных рабочих мест пользователей ОАО «Тюменьэнерго», настоящей Инструкцией и другими ОРД Общества.

      5. Работник обязан сообщать об изменениях фамилии, имени, отчества в подразделение кадрового учета в течение двух рабочих дней. Об изменении номера кабинета, в котором находится его рабочее место, о перемещении, сдаче или изъятии вверенных ему СВТ в техподдержку в течении 8 часов с момента изменения.

      6. Работнику запрещено использовать на рабочем месте личные СВТ для решения производственных задач.

      7. При обнаружении нестабильной или подозрительной работы АРМ или установленного ПО (повышенный шум, частая перезагрузка, аномальная загрузка ЦП, запросы от установленного ПО на доступ к ресурсам или повышения привилегий и т.п.) необходимо информировать службу технической поддержки ДКиТАСУ.

      8. При работе на АРМ запрещено:


  • осуществлять работу при отключенных или неустановленных средствах защиты, определенных в качестве обязательных соответствующими ОРД Общества;

  • использовать мобильные АРМ без средств защиты информации, определенных соответствующими ОРД Общества;

  • препятствовать работе средств защиты информации или обходить их;

  • допускать к работе на своем АРМ других лиц (кроме работников подразделений КиТАСУ и работников Департамента (в филиалах – сотрудника блока безопасности с дислокацией в филиале));

  • срывать пломбы или печати и вскрывать корпуса на СВТ, образующих АРМ;

  • хранить или передавать в открытом виде информацию, ограничения на которую распространяются законодательством Российской Федерации и ОРД Общества;

  • использовать уязвимости и недокументированные возможности установленного ПО;

  • самостоятельно разбирать, вносить изменения в аппаратную и программную конфигурации на закрепленном АРМ;

  • хранить личную, не имеющую отношения к выполнению должностных обязанностей, информацию на файловых ресурсах ИТКИ, на АРМ и носителях, принадлежащих Обществу;

  • производить загрузку АРМ с других носителей, кроме как установленного;

  • получать доступ к BIOS или UEFI АРМ;

  • использовать АРМ без установленного пароля на BIOS или UEFI;

  • использовать АРМ с локальными учетными записями, в том числе локального администратора;

  • подключать без согласования с Департаментом (в филиалах – с сотрудником ПБ) периферийные и внешние устройства (принтеры, сканеры и многофункциональные устройства; модемы и адаптеры связи; мобильные телефоны, планшеты и другие подобные устройства (в том числе для подзарядки); незарегистрированные внешние носители информации; специализированные средства негласного съема информации; устройства двойного назначения – скрывающие встроенный функционал);

  • использовать криптографические средства защиты информации, не санкционированные Департаментом;

  • оставлять компьютер незаблокированным при покидании рабочего места;

  • использовать АРМ с одновременным подключением к ЛВС и другим сетям, в том числе беспроводным.
      1. Удаленный доступ к информационным ресурсам осуществляется только с применением системы защищенного удаленного доступа.

      2. Удаленный доступ осуществляется персонифицировано с обязательным применением ключевых носителей информации/сертификатов.

      3. К АРМ, с которых осуществляется удаленный доступ к ресурсам сети, применяются все требования Инструкции.

      4. В случае осуществления удаленного или локального доступа с АРМ организаций, выполняющих работы/оказывающих услуги в интересах Общества, доступ предоставляется только при условии наличия соответствующих соглашений с указанными организациями об охране и передаче конфиденциальной информации, соглашения/условий договора о соблюдении требований Инструкции (выписки из Инструкции, размещенной на сайте АО «Тюменьэнерго» в разделе «Поставщикам\Взаимодействие с подрядными организациями») указанной организацией/работниками указанной организации/субподрядными организациями, привлекаемыми для выполнения работ/оказания услуг по договору, а также при наличии штрафных санкций в указанном соглашении/договоре за нарушение требований Инструкции. Доступ предоставляется на срок выполнения работ/оказания услуг по договору (в т.ч. на срок, необходимый для устранения недостатков выполненных работ/оказанных услуг, и гарантийное сопровождение (если необходимо и/или предусмотрено договором).

      5. При работе в ЛВС командированного состава организаций, выполняющих работы/услуги в интересах Общества, осуществляемые с личных мобильных устройств, предоставляется доступ только в общедоступную сеть Internet. При необходимости доступа к корпоративным ресурсам командированным работникам предоставляется АРМ Общества.

      6. При работе в ЛВС запрещено:


  • устанавливать удаленный доступ к АРМ и ЛВС, подключать любые устройства к ЛВС, в том числе беспроводным сегментам сети, за исключением гостевых сегментов;

  • проводить сканирование и анализ ЛВС и сетевых узлов, осуществлять перехват трафика;

  • осуществлять атаки на АРМ, ЛВС, серверы и информационные системы;

  • использовать уязвимости протоколов и конфигураций сетевого оборудования в ЛВС;

  • осуществлять доступ к ЛВС с личных устройств;

  • осуществлять сетевой доступ к другим АРМ, в том числе предоставлять сетевой доступ к папкам на АРМ, кроме специально организованных файловых ресурсов;

  • организовывать точки входа и шлюзы для внешних сетей;

  • создавать точки беспроводного доступа на территории объектов;

  • использовать самовольно установленные средства фильтрации трафика, подбора и восстановления пароля, любое нелицензионное ПО.
    1. Требования при работе в сети Интернет

      1. Доступ к ресурсам сети Интернет предоставляется пользователям
        для выполнения ими своих служебных обязанностей.

      2. Прокси-сервер обеспечивает контроль доступа и учет трафика посещения ресурсов сети Интернет по пользователям. Статистика по посещению ресурсов сети Интернет признается легитимной и может использоваться для выяснения потребленного трафика и посещенных ресурсов.

      3. При работе в сети Интернет запрещено:


  • обходить механизмы фильтрации запрещенных интернет-ресурсов с помощью специализированных интернет сервисов (анонимайзеры, прокси-серверы, VPN-серверы);

  • организовывать туннелирование внешних сетей;

  • переходить по баннерам и рекламным объявлениям;

  • переходить по подозрительным ссылкам;

  • использовать ресурсы: развлекательного характера; непристойного содержания; социальных сетей; почтовых сервисов; внешних файлообменных сервисов; облачных хранилищ; форумов и конференций (действует запрет на публикацию сообщений); сервисов коммуникаций (ICQ, Skype и т.д.), не связанных с исполнением трудовых функций работников; нарушающих требования действующего законодательства (торрент-трекеры);

  • распространять информацию, задевающую честь, достоинство и деловую репутацию юридических и физических лиц;

  • несанкционированно размещать от имени Общества любую информацию;

  • снижать установленный уровень защиты информации;

  • использовать ресурсы сети Интернет в личных целях, противоречащих законодательству Российской Федерации, положениям ОРД Общества, должностной инструкции;

  • сохранять и запускать файлы, полученные из сети Интернет, исключение – потребность в производственной деятельности, согласованная с Департаментом или сотрудником блока безопасности с дислокацией в филиале;

  • публиковать в сети Интернет корпоративные номера телефонов, за исключением общедоступных;

  • использовать сервисы вне корпоративной сети для обработки данных Общества (преобразовывать pdf-файлы, редактировать графические файлы и т.п.);

  • приобретать, хранить и распространять информацию, запрещенную законодательством, способную причинить вред имиджу Общества или нанести материальный ущерб.
    1. Требования при работе с электронной почтой

      1. Вся служебная переписка осуществляется только с использованием персонального адреса корпоративной электронной почты.

      2. Рекомендуемый размер файлов, отправляемых по электронной почте – не более 10 мегабайт.

      3. Работник должен проверять вложения в сообщениях электронной почты перед открытием на наличие исполняемых файлов (файлы с расширениями .exe, .com), при их наличии - не запускать. Рекомендуется открывать только вложения, имеющие известный формат: документы Word, Excel, PDF, ТХТ и т.д.).

      4. Необходимо перед отправкой сообщения проверять правильность введённого электронного адреса получателя, тему и текст сообщения, а также вложенные файлы, если таковые имеются.

      5. В случае отсутствия на рабочем месте на период отпуска, командировки, больничного, работником должен быть настроен автоответ на время отсутствия, возможно настроить переадресацию электронной почты на другого сотрудника, это можно сделать самостоятельно или создать заявку в техподдержку, в тексте автоответа должно быть указано, что почтовые сообщения переадресуются.

      6. Рекомендуется подтверждать отправку писем с вложениями или ссылками при помощи электронно-цифровой подписи, в отсутствии ЭЦП подтверждать отправку телефонным звонком.

      7. При работе с электронной почтой запрещено:


  • осуществлять массовую и адресную рассылку информации, не связанной со служебной необходимостью (спам);

  • предоставлять доступ другим лицам к корпоративной почте;

  • отправлять сообщения противозаконного и неэтичного содержания;

  • самостоятельно настраивать и включать автоматическую пересылку сообщений корпоративной электронной почты на внешние адреса электронной почты;

  • самостоятельно подписываться на информационную рассылку из внешних источников, не относящуюся к производственной деятельности;

  • направлять информацию ограниченного доступа без применения средств криптографической защиты информации;

  • использовать любые другие сервисы электронной почты, кроме корпоративных;

  • снижать установленный уровень защиты информации сообщений;

  • открывать вложения в письмах от неизвестных отправителей;

  • публиковать в сети Интернет корпоративные адреса электронной почты (за исключением случаев, когда это относится к мероприятиям, связанным с профессиональной деятельностью сотрудника);

  • использовать корпоративную почту в целях личной переписки;

  • использовать корпоративные электронные адреса при регистрации на сайтах Интернет и оформлять почтовые периодические подписки (за исключением случаев, когда это относится к мероприятиям, связанным с профессиональной деятельностью сотрудника).

  • переходить по ссылкам, указанным в письмах.
    1. Требования при работе с носителями информации

      1. Использование внешних носителей информации и различных внешних устройств по умолчанию запрещено.

      2. В случае необходимости использования внешнего носителя информации в техподдержку направляется соответствующая заявка. Заявка согласовывается сотрудниками Департамента (в филиалах – сотрудниками блока безопасности).

      3. После выдачи носителя проводится процедура регистрации носителя. Для этого он вставляется в usb-порт и проводятся действия в соответствии с приложением 3 к настоящей Инструкции.

      4. По решению Департамента (в филиалах – сотрудника блока безопасности) процесс выгрузки информации на внешние носители может быть организован через работника Департамента (в филиалах – сотрудника ПБ).

      5. В случае одобрения Департамента (в филиалах – сотрудника ПБ) использования указанного носителя информации на АРМ, где обрабатывается информация ограниченного доступа, вся информация на нем должна быть зашифрована. В качестве системы, обеспечивающей возможности по шифрованию носителей применяется CheсkPoint Media Encription. По умолчанию должны использоваться криптоалгоритмы, разрешенные к применению на территории Российской Федерации. В качестве шифровальных средств используетттся Oracle IRM, допускается использовать архиватор 7zip, при пересылке почтой использовать ключи ЭЦП и встроенный механизм шифрования сообщений. Департамент (в филиалах – сотрудник блока безопасности с дислокацией в филиале), с помощью специализированного программного обеспечения, ведет учет внешних носителей информации, применяемых работниками Общества.

      6. Работник должен использовать на АРМ только зарегистрированные носители.

      7. При передаче носителей информации в ремонт, с организацией, осуществляющей ремонт носителей и восстановление информации, в обязательном порядке должно быть заключено соглашение об охране и передаче коммерческой тайны. Передача указанного носителя должна быть осуществлена в строгом соответствии с установленным режимом коммерческой тайны.

      8. Резервирование информации осуществляется на сетевых ресурсах Общества, при этом:


  • информация ограниченного доступа может резервироваться только на специальных защищенных хранилищах или носителях, хранящихся в соответствии с действующими требованиями;

  • открытая информация может храниться на файловых хранилищах Общества, при наличии технической возможности должен быть обеспечен контроль целостности указанной информации сертифицированными средствами.
    1. Требования при работе с информационными ресурсами Общества

      1. Под информационными ресурсами подразумеваются ресурсы информационных, телекоммуникационных и технологических систем.

      2. Доступ к информационным ресурсам осуществляется только по заявке, согласованной руководителем СП работника - инициатором заявки, владельца информационного ресурса и Департаментом (в филиалах – сотрудником блока безопасности с дислокацией в филиале). Руководитель ДКиТ АСУ/СКиТ АСУ согласовывает техническую возможность предоставления доступа.

      3. Заявка на доступ должна содержать обоснование служебной необходимости и ссылку на описание бизнес-процесса, в котором задействована информация из указанного информационного ресурса, список с указанием полностью фамилии, имени, отчества лиц, которым необходимо предоставить право доступа к ресурсу. Для каждого указанного лица должен быть указан режим доступа к ресурсу.

    2. Требования при работе с корпоративным файловым сервисом

      1. Создание нового каталога, к которому необходимо разграничить доступ, на ресурсах корпоративного файлового сервиса осуществляется только по заявке, согласованной:


  • руководителем структурного подразделения - владельца нового каталога;

  • руководителем подразделения, осуществляющего управление файловым сервисом;

  • подразделением Департамента (в филиалах – сотрудником блока безопасности с дислокацией в филиале).
      1. Допускается создание каталогов, с разграничением доступа, только до третьего уровня вложенности относительно корневого раздела сетевого файлового ресурса.

      2. Сетевые диски корпоративного файлового сервиса АО «Тюменьэнерго» предназначены исключительно для хранения информации, относящейся к производственной деятельности и не могут быть использованы для хранения данных любой другой категории, при обнаружении посторонних файлов они подлежат удалению.

      3. Общедоступный каталог обмена информацией (T:\OBMEN) не предназначен для долговременного хранения информации. Срок, после которого любые файлы или пустые подкаталоги автоматически удаляются, составляет 10 дней, после удаления информация не может быть востановлена.

      4. При работе с информационными ресурсами запрещено:


  • использовать уязвимости и недокументированные возможности;

  • использовать (в любых целях) ошибки системы;

  • осуществлять деструктивные воздействия на программное обеспечение и данные в информационных системах;

  • осуществлять доступ под чужими учетными данными;

  • копировать и хранить в групповых каталогах любые файлы и архивы дистрибутивов ПО, а так же исполняемые файлы приложений.
    1. Требования при работе с ключевыми носителями информации

При работе с ключевыми носителями информации запрещено:


  • передавать ключевые носители другим лицам;

  • осуществлять попытки извлечения закрытых ключей любым способом;

  • оставлять ключевые носители в доступном для других лиц месте;

  • расширять сферу применения ключевых носителей за пределы, указанные в сертификате;

  • использовать чужие ключевые носители.
    1. Требования к парольной защите

      1. Парольные фразы (пароли) должны ежеквартально меняться.

      2. Личные пароли пользователей ИС должны генерироваться и распределяться централизованно подразделением – владельцем ИС либо выбираться пользователями ИС самостоятельно. Все парольные фразы пользователей должны соответствовать правилам сложности образования (создания, генерации) паролей:


  • пароли должны содержать не меньше одного спецсимвола (! @ # $ % ^ & * ( ) _ + | ~ - = \ ` { } [ ] : " ; ' < > ? . /), буквы в различном регистре и цифры;

  • длина пароля должна составлять не менее 8 символов;

  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, даты и т.д.), а также общепринятые сокращения (LAN, USER и т.п.).
      1. Личные пароли сотрудников технической поддержи и администраторов ИС должны выбираться самостоятельно, с учетом следующих требований:


  • пароли должны содержать не меньше одного спецсимвола (! @ # $ % ^ & * ( ) _ + | ~ - = \ ` { } [ ] : " ; ' < > ? . /), буквы в различном регистре и цифры;

  • длина пароля должна составлять не менее 12 символов;

  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, даты и т.д.), а также общепринятые сокращения (LAN, USER и т.п.).
      1. Хранение паролей сотрудников технической поддержки и администраторов ИС должно осуществляться руководителем подразделения, в закрываемом на ключ ящике или сейфе, в опечатанных, непрозрачных конвертах. Проверка этого требования осуществляется Департаментом (в филиалах - сотрудником блока безопасности с дислокацией в филиале).

      2. В целях обеспечения информационной безопасности и противодействия попыткам подбора пароля в ИС Общества должны учитываться правила ввода пароля:


  • символы вводимого пароля не должны отображаться на экране в явном виде;

  • должен вестись учёт всех попыток (успешных и неудачных) входа.
      1. Ввод пароля должен осуществляться непосредственно пользователем ИС (владельцем пароля).

      2. Непосредственно перед вводом пароля, для предотвращения возможности неверного ввода, пользователь должен убедиться в правильности языка ввода (раскладки клавиатуры), проверить, не является ли активной клавиша Caps Lock (если это необходимо), а также проконтролировать расположение клавиатуры (клавиатура должна располагаться таким образом, чтобы исключить возможность увидеть набираемый текст посторонними лицами).

      3. При использовании паролей пользователям ИС запрещено:


  • хранить и записывать пароли на бумаге, в том числе на предметах,
    а также в местах, доступных другим лицам;

  • хранить и записывать пароли в электронном виде без криптографической защиты;

  • передавать и сообщать кому-либо личный пароль;

  • передавать парольные фразы пользователям при помощи почтовых сообщений либо иным открытым способом через Интернет без использования парольной или криптографической защиты;

  • говорить о своем пароле или упоминать о содержимом пароля;

  • вводить свой пароль в случае, если он может быть подсмотрен случайно или намеренно другими лицами;

  • использовать чужие учетные записи и пароли;

  • использовать одни и те же пароли для разных информационных ресурсов и систем;

  • использовать функцию «Запомнить пароль» в программном обеспечении;

  • проговаривать вслух вводимые символы.
      1. В случае компрометации пароля пользователь должен немедленно сменить свой пароль и сообщить о факте и условиях, способствующих компрометации пароля, в техническую поддержку.

      2. Внеплановая смена личного пароля учетной записи пользователя ИС в случае прекращения его полномочий (перевод в другое структурное подразделение, изменение должностных обязанностей и полномочий) должна производиться администраторами ИС непосредственно после окончания последнего сеанса работы данного пользователя с ИС.

      3. Внеплановая полная смена паролей на администрируемых системах и устройствах должна производиться в случае прекращения полномочий (увольнение, перевод в другое структурное подразделение, филиал, в случае компрометации учетной записи) администраторов ИС и других сотрудников, которым по роду деятельности были предоставлены полномочия по администрированию.

      4. Сотрудники технической поддержки и администраторы ИС в течение рабочего дня после смены своих паролей должны передать их новые значения вместе с именами соответствующих учетных записей в опечатанном конверте руководителям своих структурных подразделений на хранение. При получении конверта с новыми паролями конверт со старыми паролями уничтожается.

      5. При возникновении производственной необходимости в срочном доступе к ИС временно отсутствующего пользователя разрешается по согласованию с начальником Департамента (в филиалах с сотрудником блока безопасности с дислокацией в филиале) произвести смену пароля пользователя по заявке руководителя СП.

      6. Аутентификация пользователей при необходимости может быть обеспечена с использованием специальных аппаратно-программных средств, рекомендованных к использованию Департаментом.

  1. Права работников


Работник имеет право:
    1. Подавать на рассмотрение в Департамент предложения по внесению изменений в Инструкцию, оптимизации требований и правил ИБ.

    2. При необходимости формирования исключения в требованиях Инструкции в рамках служебной необходимости направлять соответствующие заявки с полным обоснованием в службу технической поддержки Общества, в которой заявка будет рассмотрена Департаментом. При этом в случае необходимости Департаментом может быть устранено ранее установленное исключение.

    3. Обжаловать действия работников Департамента (в филиалах – сотрудника блока безопасности с дислокацией в филиале) начальнику Департамента или заместителю генерального директора по безопасности Общества.

  1. Обязанности работников

    1. Работник обязан неукоснительно соблюдать требования Инструкции
      и других ОРД Общества в области обеспечения ИБ.

    2. При выявлении фактов нарушения Инструкции Работник обязан незамедлительно уведомить Департамент об указанном факте.

    3. Работник обязан незамедлительно сообщать любыми доступными способами в техническую поддержку информацию обо всех инцидентах ИБ, в том числе:


  • подозрительная активность на АРМ;

  • вирусная активность;

  • утрата носителей информации и мобильных АРМ;

  • утрата или раскрытие парольной информации;

  • утрата ключевых носителей;

  • обнаружение бесхозных ключевых носителей, носителей информации и СВТ;

  • обнаружение неопределенных технических средств или СВТ, подключенных к АРМ, ЛВС или просто бесхозных;

  • обнаружение уязвимостей в любых элементах АРМ, ЛВС и информационных систем;

  • обнаружение ошибок в настройке и работе информационных систем, приводящих к доступу в области, не предусмотренные изначальной заявкой на доступ;

  • обнаружение в открытом доступе в любом виде учетных данных (паролей и имен пользователей);

  • несанкционированный доступ других лиц к информации или СВТ;

  • нарушение выполнения требований Инструкции другими Работниками;

  • попытки получения парольной информации;

  • прекращение работоспособности средств защиты информации.
    1. В Обществе действует горячая линия группы реагирования на инциденты информационной безопасности по адресу dib@te.ru для приема обращений Работников о фактах нарушений и другой подозрительной активности в области ИБ.

    2. В случае прекращения работы в Обществе, Работник обязан незамедлительно возвратить все документы (в том числе электронные), носители информации и другие материалы и СВТ, полученные во время работы в Обществе.

    3. Работник обязан не использовать ставшую ему известной информацию ограниченного доступа иначе, как в интересах Общества.

    4. Работник обязан выполнять требования работника Департамента (в филиалах – сотрудника блока безопасности с дислокацией в филиале), если оно подпадает под перечень полномочий, установленных Инструкцией.

    5. Работник обязан оказывать содействие работнику Департамента (в филиалах – сотруднику блока безопасности с дислокацией в филиале), не препятствовать проведению мероприятий, направленных на исполнение требований Инструкции.

    6. Работник Департамента (в филиалах – сотрудник блока безопасности с дислокацией в филиале) при выявлении нарушения со стороны Работников обязан:


  • принять все необходимые меры, препятствующие дальнейшей эскалации инцидента ИБ (включая прекращение работы пользователя на АРМ);

  • зафиксировать факт нарушения;

  • выяснить и задокументировать все обстоятельства нарушения;

  • взять объяснения со всех причастных к нарушению Работников или других лиц;

  • обработать, обобщить всю полученную информацию и подготовить представление к привлечению к ответственности при установлении виновных лиц.
  1. Контроль

    1. Контроль соблюдения Инструкции осуществляется Департамент (в филиалах – сотрудник блока безопасности с дислокацией в филиале).

    2. Департаментом должны применяться автоматизированные и автоматические средства для контроля и предотвращения утечки информации на АРМ Работников и в ЛВС, контроля доступа к информационным ресурсам (включая внешние), а также противодействия компьютерным атакам на информационные активы Общества.

    3. Работники Департамента (в филиалах – сотрудник блока безопасности с дислокацией в филиале) в рамках проверки и пресечения попыток несанкционированного доступа к информационным ресурсам могут осуществлять проверки в отношении Работников, включая доступ к информации АО «Тюменьэнерго», обрабатываемой на АРМ Работников.

    4. Работники Департамента должны производить контроль журналов регистрации событий в системах, инфраструктуре и АРМ, доступ к которым предоставляется им по умолчанию. Работники Департамента (в филиалах – сотрудник блока безопасности с дислокацией в филиале) с целью пресечения реализации угроз ИБ наделены следующими полномочиями:


  • привлекать сотрудника службы охраны в случае оказания противодействия со стороны нарушителей;

  • блокировать без предупреждения с обязательным уведомлением по e-mail в группу техподдержки ДКиТАСУ (в течение 10 минут после блокировки) доступ Работников к ЛВС, АРМ, Сети Интернет, ИТКИ, информационным ресурсам и системам;

  • приостанавливать действие сертификата ключа подписи Работника путём изъятия ключевого носителя;

  • требовать от Работников незамедлительного предоставления письменного объяснения по выявленному нарушению на имя начальника Департамента в соответствии с приложением № 1 к Инструкции, с уведомлением руководителя СП Работника;

  • требовать от Работников прекращения работы с АРМ через руководителя СП Работника;

  • требовать от Работников предоставления носителей информации и средств вычислительной техники, вверенных ему Обществом;

  • подготавливать представление для привлечения Работника к ответственности;

  • осуществлять изъятие СВТ и носителей информации, числящихся за Работником и принадлежащих Обществу.
    1. В целях совершенствования режимно-ограничительных мер, установленных Инструкцией, работники Департамента должны постоянно тестировать действие технических средств защиты информации, направленных на выявление и противодействие нарушений требований Инструкции.

    2. Работники Департамента (в филиалах – сотрудник блока безопасности с дислокацией в филиале) в случае выявления действий, противоречащих законодательству Российской Федерации, должны фиксировать их, при необходимости уведомлять правоохранительные органы, способствовать возбуждению административных и уголовных дел, оказывать всестороннее содействие органам следствия.


Приложение № 1




Форма листа ознакомления

ЛИСТ ОЗНАКОМЛЕНИЯ:


Инструкция по соблюдению правил информационной безопасности в АО «Тюменьэнерго», утвержденная приказом АО «Тюменьэнерго» от __.__.20__ № ____.


Фамилия Имя Отчество:







Структурное подразделение, филиал:







Должность:



Подтверждаю, что ознакомлен(а) с требованиями Инструкции по соблюдению правил информационной безопасности в АО «Тюменьэнерго», утвержденной приказом АО «Тюменьэнерго» от __.__.2018 № ____.


_____ ___________________20______ г.

___________________(___________________________)



подпись Ф.И.О.

Скачать 294.7 Kb.

Поделитесь с Вашими друзьями:




База данных защищена авторским правом ©vossta.ru 2022
обратиться к администрации

    Главная страница