Инструкция по организации безопасной работы с информационной системой и копировальным оборудованием

1.1 Инструкция по организации безопасной работы с информационной системой и копировальным оборудованием (далее - инструкция) разработана на основании требований инструкций по эксплуатации технических и программных средств от производителя, Федерального закона «Об информации, информационных технологиях и о защите информации», Гигиенических требований к персональным электронно-вычислительным машинам и организации работы (СанПиН 2.2.2/2.4.1340-03), Гигиенических требований к организации работы на копировально-множительной технике (СанПиН 2.2.2.1332-03), Уголовного кодекса Российской Федерации.

1.2 Настоящая инструкция распространяется на все виды работ на персональных электронно-вычислительных машинах (далее - ПЭВМ или компьютер), копировальном оборудовании, регламентирует правила использования защищаемой информации баз данных, порядок допуска пользователей ПЭВМ к работе в составе локальной вычислительной сети (ЛВС).

1.3 Положения инструкции обязательны для исполнения всеми пользователями ПЭВМ, ЛВС, копировального оборудования ВАША ОРГАНИЗАЦИЯ (далее - Организация).

1.4 Ответственность за выполнение требований настоящей инструкции возлагается на руководителей подразделений.

2.1 Санитарно-эпидемиологические правила и нормативы (далее - Санитарные правила) действуют на всей территории Российской Федерации и устанавливают санитарно-эпидемиологические требования к персональным электронно-вычислительным машинам, копировальным аппаратам и условиям труда.

2.2 Требования Санитарных правил направлены на предотвращение неблагоприятного воздействия на здоровье человека вредных факторов производственной среды и трудового процесса при работе с ПЭВМ и на копировально-множительных аппаратах.

2.3 Требования Санитарных правил распространяются:

• на условия и организацию работы с ПЭВМ и копировально-множительным оборудованием;
• на вычислительные электронные цифровые машины персональные, портативные; периферийные устройства вычислительных комплексов (принтеры, сканеры, клавиатуры, модемы внешние, электрические компьютерные сетевые устройства, устройства хранения информации, блоки бесперебойного питания и пр.), устройства отображения информации (видеодисплейные терминалы всех типов) и копировально-множительное оборудование.

2.4 Контроль выполнения Санитарных правил осуществляется органами и учреждениями Государственного санитарно-эпидемиологического надзора Российской Федерации в соответствии с Федеральным законом «О санитарно-эпидемиологическом благополучии населения».

3.1 Технические средства включают аппаратные и программные средства. Аппаратные средства - это материальные объекты. В данной инструкции рассматриваются ПЭВМ, серверное и коммуникационное оборудование компьютерной сети, печатное и копировальное оборудование. Программные средства - это системное программное обеспечение прикладные программы, а также средства экранного и печатного представления - пользовательский интерфейс. Это не материальные объекты.

3.2 Технические средства предоставляют различный уровень защиты от несанкционированного доступа и случайных сбоев и обладают различными возможностями. Регламентирование работы с техническими средствами это установление правил, обеспечивающих эффективность работы, необходимую безопасность и защиту информации с учетом этих факторов.

3.3 Персонал отдела технического обслуживания информационных систем производит установку только лицензионного программного обеспечения (ПО), предоставленного заказчиком.

3.4 На всех серверах Организации используются операционные системы (ОС) Windows 2000 Advanced server или Windows Server 2003 standard. На серверах, выполняющих специфические задачи, не позволяющие использовать указанные ОС, допускается установка других ОС. Необходимость установки ОС отличной от указанной определяет администратор ЛВС и согласовывает с руководителем подразделения информационных систем.

3.5 На всех рабочих станциях и мобильных компьютерах используются ОС Windows 2000 или Windows ХР professional. Установка других операционных систем допускается в следующих случаях:

• аппаратная конфигурация рабочей станции не отвечает минимальным требованиям операционной системы Windows 2000 или Windows ХР professional;
• программное обеспечение, необходимое пользователю для выполнения должностных обязанностей не совместимо с операционной системой Windows 2000 или Windows ХР professional. В этом случае решение об установке иной версии операционной системы определяет администратор ЛВС и согласовывает с руководителем подразделения информационных систем.

3.6 Первоначальная установка оборудования, установка дополнительных устройств, ремонт, техническое обслуживание и первоначальное конфигурирование операционной системы рабочей станции компьютерной сети Организации производится сотрудником подразделения обслуживающим информационную систему. Установка, переустановка, изменение ключевых параметров операционной системы пользователем недопустима.

3.7 Установка и первоначальное конфигурирование операционной системы на сервере производится системным администратором подразделения обслуживающим информационные системы Организации. Установка и изменение параметров сервера другими сотрудниками Организации недопустима.

3.8 Установка и запуск в эксплуатацию копировального оборудования производится инженером поставщика или инженером подразделения обслуживающим информационные системы Организации в присутствии представителя поставщика.

3.9 Выполнение копировальных работ производится специально выделенным и обученным персоналом. Недопустимо использование копировального аппарата в режиме коллективного пользования. В виде исключения возможна индивидуальная эксплуатация копировальных аппаратов настольного типа.

3.10 Настройка принтеров, копировальных аппаратов с функцией принтера для коллективного пользования в компьютерной сети производится сотрудником подразделения обслуживающим информационную систему по заявке руководителя подразделения.

3.11 Пользователи и обслуживающий персонал при работе с аппаратными средствами обязаны соблюдать инструкции по охране труда.

4.1 С целью соблюдения персональной ответственности за свои действия каждому пользователю ПЭВМ, допущенному к работе в ЛВС, присвоено персональное уникальное имя (учетная запись пользователя), под которым он регистрируется и работает в сети. Использование несколькими сотрудниками при работе в ЛВС одного и того же имени пользователя («группового имени») запрещается.

4.2 Процедура регистрации пользователя для сотрудника Организации и предоставления ему (или изменения его) прав доступа к ресурсам информационной системы инициируется заявкой руководителя подразделения, в которой работает данный сотрудник.

4.3 В заявке указывается: содержание запрашиваемых изменений (регистрация нового пользователя, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам информационной системы ранее зарегистрированного пользователя, использование сетевого принтера для печати документов);

• должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;
• полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях компьютерной сети);
• срок начала и окончания действия доступа.

4.4 Заявку визирует вышестоящий руководитель Организации утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных задач ресурсам информационной системы.

4.5 Начальник отдела информационных систем обслуживающей организации рассматривает представленную заявку и подписывает задание администратору сети, серверов, баз данных на внесение необходимых изменений в списки пользователей соответствующих подсистем.

4.6 На основании заявки (задания) администратор сети производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ЛВС, включению его в соответствующие задачам группы пользователей и другие необходимые действия.

4.7 По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписью администратора сети.

4.8 Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя, выдается начальное значение пароля, которое он обязан сменить при первом же входе в систему.

4.9 Подключение пользователей к сети Интернет производится по заявке руководителя структурного подразделения, подписанной исполнительным директором Организации.

4.10 Исполненные заявки хранятся у руководителя подразделения информационных систем и могут впоследствии использоваться для восстановления учетных записей и полномочий пользователей после аварий, контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам информационной системы при разборе конфликтных ситуаций.

5 Правила организации парольной защиты информационной системы Организации

5.1 Личные пароли выбираются пользователями компьютерной сети самостоятельно с учетом следующих требований:

• длина пароля должна быть не менее 8 символов;
• среди символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы;
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
• личный пароль пользователь не имеет права сообщать никому;
• смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц.

5.2 Внеплановая смена личного пароля или удаление учетной записи пользователя компьютерной сети в случае прекращения его полномочий (увольнение, переход на другую работу внутри территориального органа Организации и т.п.) должна производиться администратором сети после окончания последнего сеанса работы данного пользователя с системой, по заявке руководителя подразделения.

5.3 Внеплановая смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри территориального органа Организации и другие обстоятельства) администраторов сети и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой информационной системы.

5.4 В случае компрометации личного пароля пользователя информационной системы должны быть немедленно предприняты меры в соответствии с п.5.2 или п.5.3 настоящей Инструкции, в зависимости от полномочий владельца скомпрометированного пароля.

5.5 Хранение пользователями ПЭВМ значений своих действующих паролей на бумажном носителе допускается только в опечатанном владельцем пароля сейфе, либо (для случаев возникновения нештатных ситуаций и необходимости из-за этого использования имен и паролей некоторых пользователей в их отсутствие, обязательно) в сейфе руководителя подразделения, в опечатанном владельцем пароля пенале или запечатанном конверте.

5.6 Повседневный контроль при работе пользователей информационной системы с паролями, соблюдением порядка их смены хранения и использования возлагается на руководителей подразделений, периодический контроль возлагается на администратора компьютерной сети.

6.1 К использованию в информационной системе Организации допускаются только лицензионные антивирусные средства, централизованно закупленные Организацией и рекомендованные к применению отделом обслуживания информационных систем.

6.2 Установка средств антивирусного контроля на компьютерах, серверах ЛВС Организации осуществляется специалистами отдела обслуживания информационных систем в соответствии с руководствами по применению конкретных антивирусных средств.

6.3 В начале работы при включении ПЭВМ (для серверов ЛВС - при перезапуске), а также при первом доступе к файлам в автоматическом режиме проводится их антивирусный контроль. Один раз в неделю, в автоматическом режиме производится полная проверка дисков ПЭВМ, подключенных к ЛВС, на наличие вирусов.

6.4 Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, CD-ROM и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на выделенном автономном компьютере.

6.5 Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель). Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.

6.6 Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено отделом прикладного программирования на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети), должна быть выполнена антивирусная проверка системным администратором.

6.7 При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщение с системных ошибках и т.п.), пользователь ПЭВМ самостоятельно, или вместе со специалистом отдела обслуживания информационных систем, должен провести внеочередной антивирусный контроль своей рабочей станции для определения факта наличия или отсутствия компьютерного вируса.

6.8 В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь ПЭВМ обязан:

• приостановить работу;
• немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя подразделения, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
• совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
• провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь специалистов отдела технического обслуживания информационных систем);
• в случае обнаружения нового вируса, не распознанного установленными антивирусными средствами, привлечь специалистов отдела технического обслуживания информационных систем.

6.9 Периодический контроль состояния антивирусной защиты в компьютерной сети, соблюдения установленного порядка антивирусного контроля и выполнения требований настоящей инструкции пользователями ПЭВМ подразделений Организации, осуществляется отделом обслуживания информационных систем.

7.1 Потеря информационных ресурсов при технических сбоях, проникновении в компьютерную сеть вредоносных или разрушительных программ может повлечь нарушения в работе Организации.

7.2 Для сокращения времени на восстановление информационной системы из-за утраты данных по техническим причинам, вирусных атак или неверных действий персонала производится резервное копирование программных файлов, баз данных, каталогов.

7.3 Резервное копирование данных информационной системы осуществляется системным администратором ЛВС в соответствии с регламентом резервного копирования.

8.1 Пользователи ПЭВМ и компьютерной сети за нарушение положений настоящей инструкции несут административную и уголовную ответственность в соответствии с действующим законодательством.