ПРАВИТЕЛЬСТВО
ТВЕРСКОЙ ОБЛАСТИ
Р А С П О Р Я ЖЕ Н И Е
12.10.2017 | | № 345-рп |
| г. Тверь | |
Об утверждении Политики информационной
безопасности исполнительных органов
государственной власти Тверской области,
государственных учреждений Тверской области
и государственных унитарных предприятий Тверской области
В целях обеспечения защиты информации,обрабатываемой в информационных системах исполнительных органов государственнойвласти Тверской области, государственных учреждений Тверской области игосударственных унитарных предприятий Тверской области:
1. УтвердитьПолитику информационной безопасности исполнительных органов государственнойвласти Тверской области, государственных учреждений Тверской области игосударственных унитарных предприятий Тверской области (далее – Политика)(прилагается).
2. Руководителюаппарата Правительства Тверской области в срок до 1 декабря 2017 года утвердитьприказом политику информационной безопасности аппарата Правительства Тверскойобласти.
3. Руководителямобластных исполнительных органов государственной власти Тверской области в срокдо 1 декабря 2017 года обеспечить подготовку и принятие правовых актов,утверждающих политику информационной безопасности соответствующего областногоисполнительного органа государственной власти Тверской области иподведомственных ему государственных учреждений Тверской области игосударственных унитарных предприятий Тверской области, в соответствии сПолитикой.
4. Рекомендовать органам местного самоуправлениямуниципальных образований Тверской области подготовить и утвердить политикуинформационной безопасности соответствующего органа местного самоуправлениямуниципального образования Тверской области в соответствии с Политикой.
5. Ответственность за выполнение положений Политикив аппарате Правительства Тверской области, областных исполнительных органахгосударственной власти Тверской области, государственных учреждениях Тверскойобласти, государственных унитарных предприятиях Тверской области возложить,соответственно, на руководителя аппарата Правительства Тверской области,руководителей областных исполнительных органов государственной власти Тверскойобласти, руководителей государственных учреждений Тверской области игосударственных унитарных предприятий Тверской области.
6. Контроль за исполнением настоящего распоряжениявозложить на начальника Главного управления региональной безопасности Тверскойобласти.
Отчет об исполнении распоряжения представить в срокдо 31 января 2018 года.
7. Настоящее распоряжение вступает в силу со дняего подписания.
Губернатор
Тверскойобласти И.М. Руденя
Приложение
краспоряжению Правительства
Тверскойобласти
от12.10.2017 № 345-рп
Политика
информационнойбезопасности исполнительных органов
государственной власти Тверской области, государственныхучреждений Тверской области и государственных унитарных предприятий
Тверской области
Раздел I
Общие положения
1. Политика информационной безопасностиисполнительных органов государственной власти Тверской области, государственных учреждений Тверской области и государственных унитарныхпредприятий Тверской области, подведомственных исполнительным органамгосударственной власти Тверской области (далее– Политика), представляет собой совокупность правил, процедур, практическихприемов и общих принципов защиты информации, определяющих особенностиэксплуатации информационных систем исполнительных органов государственнойвласти Тверской области, государственных учреждений Тверской области игосударственных унитарных предприятий Тверской области (далее – информационныесистемы), которыми руководствуются исполнительные органыгосударственной власти Тверской области (далее – ИОГВ Тверской области),государственные учреждения Тверской области и государственные унитарныепредприятия Тверской области (далее – государственные учреждения, унитарныепредприятия Тверской области) присоздании и эксплуатации информационных систем.
2. Целями реализации Политики являются минимизацияущерба от реализации угроз безопасности информации, повышение деловой репутациии корпоративной культуры сотрудников ИОГВ Тверской области, государственныхучреждений, унитарных предприятий Тверской области при использовании имиинформационных технологий.
3. В ходе реализации Политики ИОГВ Тверскойобласти, государственные учреждения, унитарные предприятия Тверской областируководствуются следующими принципами:
а) принцип законности, в соответствии с которым всеорганизационные мероприятия должны соответствовать федеральномузаконодательству и законодательству Тверской области в сфере защиты информации;
б) принцип комплексного подхода к обеспечениюинформационной безопасности, при котором обеспечить ее необходимый уровеньвозможно только путем совокупности организационных мероприятий и техническихмер, включающих в себя физическую охрану носителей информации, использованиекатегорий информации для обозначения уровня конфиденциальности документов,подбор и подготовку кадров в сфере информационной безопасности, использованиетехнических средств защиты информации, обучение сотрудников, расследованиеинцидентов информационной безопасности;
в) принцип непрерывности, в соответствии с которымобеспечение информационной безопасности является постоянным процессом, которыйсостоит из регулярных проверок актуальности угроз информационной безопасности,проверок адекватности мер защиты существующим угрозам информационнойбезопасности, регулярной модернизации средств защиты информации, своевременногоповышения квалификации специалистов, иных мероприятий;
г) принцип специализации, который подразумеваетвозможность привлекать для проектирования и внедрения специальных программных итехнических средств защиты специалистов, имеющих соответствующий опыт, илиорганизации, имеющие лицензию на соответствующий вид деятельности;
д) принцип экономической целесообразности, всоответствии с которым при реализации мероприятий по обеспечению информационнойбезопасности расходы областного бюджета Тверской области на эти целисоизмеряются с вероятным ущербом от реализации угроз информационнойбезопасности;
е) принцип своевременности, подразумевающийупреждающий характер мероприятий по обеспечению информационной безопасности,прогнозирование появления угроз информационной безопасности на этапепроектирования информационных систем Тверской области и осуществлениемодернизации средств защиты информации при внесении изменений в существующиеинформационные системы Тверской области;
ж) принцип взаимодействия, предполагающийвзаимодействие и распределение зон ответственности между ИОГВ Тверской области,государственными учреждениями, унитарными предприятиями Тверской области приобеспечении информационной безопасности, а также организацию сотрудничества вэтой сфере со сторонними экспертами и организациями – лицензиатами, а также федеральным органом исполнительной власти , уполномоченным в области обеспечения безопасности и федеральным органомисполнительной власти, уполномоченным в области противодействия техническимразведкам и технической защиты информации .
4. В целях реализации требований Политики в ИОГВТверской области, государственных учреждениях, унитарных предприятиях Тверскойобласти назначается администратор информационной безопасности из числасотрудников ИОГВ Тверской области (государственного учреждения, унитарногопредприятия Тверской области) или создается подразделение по информационной безопасности ИОГВ Тверской области(государственн ого учреждения,унитарн ого предприятияТверской области) (далее –подразделение по информационной безопасности ) . В составподразделения по информационной безопасности рекомендуется включить сотрудников ИОГВ Тверскойобласти (государственн ого учреждения,унитарн ого предприятияТверской области) , ответственных запринятие организационных мер по защите информации, и сотрудников ИОГВ Тверскойобласти (государственн ого учреждения,унитарн ого предприятияТверской области) , ответственных запринятие технических мер по защите информации.
5. Для целей Политики применяются следующиетермины:
а) администратор информационнойбезопасности – должностное лицо ИОГВ Тверской области ( государственного учреждения, унитарного предприятияТверской области ), ответственное засоблюдение требований законодательства в сфере защиты информации;
б) вредоносная программа – программа,предназначенная для осуществления несанкционированного доступа к информации и(или) воздействия на информацию или ресурсы информационной системы;
в) инцидент информационнойбезопасности – любое непредвиденное или нежелательное событие, которое можетнарушить деятельность или информационную безопасность ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области) (утратауслуг, оборудования или устройств, системные сбои или перегрузки, ошибкипользователей, несоблюдение политики информационной безопасности, нарушениефизических мер защиты, неконтролируемые изменения информационных систем, сбоипрограммного обеспечения и отказы технических средств, нарушение правилдоступа);
г) лицензионное программное средство –программное средство, использование одной или нескольких копий которогоосуществляется на основе лицензии – правового инструмента, определяющегоиспользование и распространение программного средства, защищенного авторскимправом;
д) масштаб информационной системы:
федеральный – если информационная система функционирует натерритории Российской Федерации (в пределах федерального округа) и имеетсегменты (технические средства информационных систем) в субъектах РоссийскойФедерации, муниципальных образованиях и (или) организациях;
региональный (межведомственный) – если информационная системафункционирует на территории Тверской области и имеет сегменты (техническиесредства информационных систем) в одном или нескольких муниципальныхобразованиях Тверской области и (или) подведомственных и иных организацияхТверской области;
объектовый– если информационная система функционирует на объектах одного федеральногооргана исполнительной власти, ИОГВ Тверской области ( государственногоучреждения, унитарного предприятия Тверской области) ,муниципального образования Тверской области и (или) организации и не имеетсегментов (технических средств информационных систем) в территориальныхорганах, представительствах, филиалах, подведомственных и иных организациях;
е) несанкционированный доступ к информации– доступ к информации, нарушающий установленные правила ее получения;
ж) пользователь информационной системы(средства вычислительной техники) – лицо, участвующее в функционированииинформационной системы (средства вычислительной техники) или использующеерезультаты ее функционирования;
з) программное обеспечение – совокупностьпрограммных средств и программных продуктов;
и) программное средство – объект, состоящийиз программ, процедур, правил, а также, если предусмотрено, сопутствующих имдокументов и данных, относящихся к функционированию информационной системы;
к) программный продукт – программноесредство, предназначенное для поставки, передачи, продажи пользователю;
л) средство криптографической защитыинформации (далее также – СКЗИ) – аппаратные, программно-аппаратные ипрограммные средства, осуществляющее криптографическое преобразованиеинформации для обеспечения ее безопасности;
м) средство вычислительной техники –совокупность программных и технических элементов систем обработки данных,способных функционировать самостоятельно или в составе других систем;
н) сервер – компьютер, выделенный из группы персональных компьютеров длявыполнения какой-либо сервисной задачи без непосредственного участиячеловека;
о) спам – телематическое электронноесообщение, предназначенное неопределенному кругу лиц, доставленное абоненту и(или) пользователю без их предварительного согласия и не позволяющее определитьотправителя этого сообщения, в том числе ввиду указания в нем несуществующегоили фальсифицированного адреса отправителя;
п) учетная запись «Администратор» – учетнаязапись пользователя информационной системы, позволяющая вносить изменения внастройки информационной системы, затрагивающие всех пользователей информационной системы ( изменение параметров безопасности,установка программного обеспечения, работа с любыми файлами в информационной системе , изменение параметров учетных записейдругих пользователей).
Раздел II
Классификация информационных систем ИОГВ Тверскойобласти, государственных учреждений, унитарных предприятий Тверской области
6. Информационные системы ИОГВ Тверской области,государственных учреждений, унитарных предприятий Тверской области могут содержатьобщедоступную информацию и информацию ограниченного доступа.
7. В зависимости от категории информации,содержащейся в информационных системах, информационные системы подразделяютсяна следующие типы:
а) информационные системы, содержащие сведения,представляющие общедоступную информацию;
б) информационные системы, содержащие сведения,составляющие государственную тайну;
в) информационные системы, содержащие служебныесведения ограниченного доступа;
г) информационные системы персональных данных.
Раздел III
Инвентаризация информационных систем ИОГВ Тверскойобласти, государственных учреждений, унитарных предприятий Тверской области
8. Инвентаризацияинформационных систем (далее – инвентаризация) проводится в каждом ИОГВТверской области, государственном учреждении, унитарном предприятии Тверскойобласти по указанию руководителя ИОГВ Тверской области (государственного учреждения, унитарного предприятия Тверскойобласти) не реже одного раза в год.
Целью инвентаризацииявляется получение полной и достоверной информации об объеме и составеинформационных систем и их технических средств для обеспечения безопасностиинформации при их эксплуатации.
В перечень информационныхсистем, подлежащих инвентаризации, могут быть включены любые информационныесистемы, указанные в пункте 7 раздела II Политики, независимо отих местонахождения.
Основанием для проведенияинвентаризации является приказ ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области).
9. Для проведенияинвентаризации в ИОГВ Тверской области (государственном учреждении, унитарномпредприятии Тверской области) приказом ИОГВ Тверской области (государственногоучреждения, унитарного предприятия Тверской области) создаетсяинвентаризационная комиссия. В приказе о создании инвентаризационной комиссииустанавливаются сроки проведения инвентаризации, утверждаются руководитель, атакже персональный состав инвентаризационной комиссии, в который могут бытьвключены:
а) заместительруководителя ИОГВ Тверской области (государственного учреждения, унитарногопредприятия Тверской области), ответственный за организацию защиты информации;
б) работник,осуществляющий бухгалтерский (бюджетный) учет;
в) администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности .
10. Инвентаризациявключает следующие мероприятия:
а) описание информационнойсистемы, в котором отражаются границы информационной системы, размещение еетехнических средств и поддерживающей инфраструктуры применительно к организационнойструктуре ИОГВ Тверской области (государственного учреждения, унитарногопредприятия Тверской области), определяется масштаб информационной системы;
б) определение типаинформационной системы в зависимости от категории, обрабатываемой в нейинформации;
в) группировка поотдельным признакам (например, по тематикам) файлов, созданных пользователями,не отнесенных ни к одной из информационных систем, но представляющихинформационную ценность для ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области);
г) определение порядкаиспользования информационных систем, в ходе которого уточняется эксплуатируетсяли указанная информационная система только в интересах данного ИОГВ Тверскойобласти (государственного учреждения, унитарного предприятия Тверской области) или же используетсясовместно с пользователями других ИОГВ Тверской области (государственныхучреждений, унитарных предприятий Тверской области), указывается количествопользователей информационной системы, а также определяется должностное лицо,ответственное за ее эксплуатацию;
д) уточнение комплексамероприятий по поддержанию, развитию, совершенствованию и защите информационныхсистем.
11. На основе данных,полученных по итогам инвентаризации, администратор информационной безопасностии/или сотрудник подразделения по информационной безопасности составляет переченьинформационных систем ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) в соответствии с приложением 1 кПолитике, а также составляет или уточняет перечень данных, подлежащих резервномукопированию и хранению в ИОГВ Тверской области (государственном учреждении,унитарном предприятии Тверской области) в соответствии с приложением 2 к Политике. Перечниинформационных систем ИОГВ Тверской области, государственных учреждений,унитарных предприятий Тверской области передаются в исполнительный орган властиТверской области, уполномоченный в сфере информационных технологий, длязанесения в реестр информационных систем Тверской области.
Раздел I V
Управление доступом к информационным системам ИОГВТверской области, государственных учреждений, унитарных предприятий Тверскойобласти
12. Основные правила иметоды защиты информационных систем от несанкционированного доступа:
а) для управления доступом к информационнымсистемам в ИОГВ Тверской области, государственных учреждениях, унитарныхпредприятиях Тверской области вводится разрешительная системадопуска пользователей (обслуживающего персонала) к информационным системам и связанным с их использованием работам и документам;
б) для входа в информационную систему используетсяпарольная аутентификация, при необходимости – другие способы аутентификации;
в) при любом оставлении сотрудником рабочего местасредство вычислительной техники информационной системы должно блокироваться итребовать аутентификации для дальнейшего продолжения работы;
г) каждому сотруднику ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области), имеющему право доступа к информационнойсистеме, присваивается отличная от других учетная запись пользователя;
д) каждый сотрудник при получении переданного емупароля доступа к информационной системе или иных средств аутентификацииинформируется, что он предупрежден о необходимости сохранять полученный парольв тайне, не передавать вверенный ему пароль или иные средства аутентификации третьимлицам, в том числе другим сотрудникам ИОГВ Тверской области (государственногоучреждения, унитарногопредприятия Тверской области).
13. Разрешительная система допуска пользователей(обслуживающего персонала) к информационным системам и связаннымс их использованием работам и документам подразумевает:
а) вход в информационные системы с помощью учетнойзаписи, относящейся к типу «Администратор», разрешен только лицам,уполномоченным на выполнение административных функций в информационныхсистемах;
б) вход в информационные системы остальнымпользователям разрешен только с использованием ограниченной учетной записи,позволяющей им обрабатывать информацию в данных информационных системахисключительно в рамках их компетенции для исполнения своих должностныхобязанностей;
в) сотрудникам разрешено использовать только теучетные записи, которые присвоены им в порядке, определенном Политикой;
г) учетные записи уволенных сотрудников, а такжелюбого сотрудника, который не осуществлял доступ к информационной системе втечение трех месяцев, должны быть заблокированы и/или удалены из информационнойсистемы. Для возобновления доступа данный сотрудник должен вновь пройтипроцедуру получения прав доступа к информационной системе.
14. Настройки средств вычислительной техникиинформационных систем в штатном режиме должны предусматривать загрузкуоперационных систем только с жестких дисков и исключать загрузку операционныхсистем с других носителей.
15. Допуск всех сотрудников к работе синформационными системами осуществляется только после их ознакомления сПолитикой.
16. О выявленных попытках несанкционированногодоступа к информационным системам администратор информационной безопасностии/или сотрудник подразделенияпо информационной безопасности незамедлительно сообщает руководителю ИОГВ Тверской области (государственногоучреждения, унитарногопредприятия Тверской области) служебнойзапиской.
Руководителем ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области) по факту попыткинесанкционированного доступа к информационным системам назначается служебнаяпроверка.
Раздел V
Основные правила и методыпредотвращения неавторизованного доступа
к информации ИОГВ Тверской области,государственных учреждений, унитарных предприятий Тверской области сиспользованием
парольной аутентификации
17. Пароли подразделяютсяна пароли пользователей информационной системы и пароли администраторовинформационной безопасности и относятся к служебным сведениям ограниченного доступа.
18. П рипервоначальном предоставлении пользователю доступа к информационной системе илив случае утери пароля пользователем, администратор информационной безопасностии/или сотрудник подразделения по информационной безопасности выдает временныйпароль, который требуется сменить при первом входе в информационную систему.
19. Пароли администратораинформационной безопасности подлежат хранению в сейфе у администратораинформационной безопасности в запечатанном конверте с указанием наименованияинформационной системы, должности, фамилии, инициалов должностного лица,ответственного за эксплуатацию информационной системы.
20. Порядок хранения ииспользования паролей определяет администратор информационной безопасности.
21. Пароль пользователя информационнойсистемы должен отвечать следующим требованиям:
а)длина пароля должна быть не менее 8 символов ;
б) парольне должен содержать в себе имя учетной записи пользователя информационнойсистемы;
в)в числе символов пароля обязательно должны присутствовать буквы в верхнем инижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
г)при смене пароля новое значение должно отличаться от предыдущего не менее чем в2 позициях ;
д) парольне должен включать в себя легко вычисляемые сочетания символов(имена, фамилии, даты рождений и т.д.);
е) пароль долженизменяться не реже чем один раз в 6 месяцев;
ж) пароль должен бытьуникальным по отношению к паролям других учетных записей данного пользователя.
22. Пароль администратораинформационной безопасности должен отвечать следующим требованиям:
а) длина пароля должнабыть не менее 12 символов;
б) в числе символов пароляобязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры испециальные символы (@, #, $, &, *, % и т.п.);
в) при смене пароля новоезначение должно отличаться от предыдущего не менее чем в 4 позициях;
г) пароль не долженвключать в себя легко вычисляемые сочетания символов (имена, фамилии, датырождений и т.д.);
д) пароль долженизменяться не реже чем один раз в 3 месяца;
е) пароль должен бытьуникальным по отношению к паролям других учетных записей администратораинформационной безопасности.
23. Запрещаетсясообщать пароль кому-либо, в том числе при помощи почтовых сообщений, черезинформационно-телекоммуникационную сеть Интернет (далее – ИТКС Интернет),каким-либо иным способом.
24. При компрометациипароля пользователь должен сообщить об этом администраторуинформационной безопасности и/или сотруднику подразделения по информационнойбезопасности и незамедлительно сменить пароль.
Раздел VI
Основные правила и методыорганизации антивирусной защиты информационных систем ИОГВ Тверской области,
государственныхучреждений, унитарных предприятий Тверской области
25. Организацияантивирусной защиты в ИОГВ Тверской области,государственных учреждениях, унитарных предприятиях Тверской области, а также контроль за выполнениеммероприятий по антивирусной защите возлагаются наадминистраторов информационной безопасности .
26. На администратораинформационной безопасности и/или сотрудника подразделения по информационнойбезопасности возлагаются следующие функции:
а) организация выборасредств антивирусной защиты, приобретения, установки на объекты защиты,настройки и сопровождения;
б) организация ипроведение технических мероприятий по антивирусной защите;
в) разработка документов,устанавливающих правила безопасной работы со средствами вычислительной техникии регламентирующих действия пользователей в ситуациях, связанных с действиемвредоносных программ.
27. К объектамантивирусной защиты относятся информация, содержащаяся в информационнойсистеме, технические средства информационных систем (в том числе средствавычислительной техники), и предоставляемые ими сервисы (почта и т.д.), машинныеносители информации, входящие в состав информационных систем или временноподключаемые к ним, средства и системы связи и передачи данных, общесистемное,прикладное, специальное программное обеспечение, информационные технологии, атакже средства защиты информации.
28. К средствамантивирусной защиты относятся программы, предназначенные для обнаружения иуничтожения вредоносных программ, а также ликвидации последствий от ихвоздействий.
29.Для антивирусной защиты информационных систем ИОГВ Тверской области,государственных учреждений, унитарных предприятий Тверской области используютсяофициально приобретенные средстваантивирусной защиты, сведения о которых содержатся в Государственномреестре сертифицированных средств защиты информации федерального органаисполнительной власти, уполномоченного в области противодействия техническимразведкам и технической защиты информации, и (или) федерального органаисполнительной власти, уполномоченного в области обеспечения безопасности .
30. Рекомендуетсяиспользовать средства антивирусной защиты с возможностьюцентрализованного управления и автоматической установкой обновленийантивирусного программного обеспечения и баз данных признаков вредоносных программ.
31.Для периодических проверок объектов антивирусной защиты рекомендуется использоватьсредства антивирусной защиты различных производителей.
32. Не допускаетсяподключение и эксплуатация средств вычислительной техники в информационныхсистемах без установленных и надлежащим образом настроенных активных иактуальных средств антивирусной защиты.
33. Пользователяминформационных систем запрещается предпринимать попытки отключения, изменениянастроек и влияния на работу эксплуатируемых средств антивирусной защиты .
34. При возникновенииподозрения о наличии на средстве вычислительной техники вредоносных программ(нетипичная работа программного обеспечения, появление графических и звуковыхэффектов, искажений данных, исчезновение (несанкционированное уничтожение)файлов, регулярное появление сообщений о системных ошибках и т.п.) пользователиинформационных систем самостоятельно или вместе с администратороминформационной безопасности и/или сотрудником подразделения по информационнойбезопасности проводят внеочередной антивирусный контроль средства вычислительной техники.
35. В случае обнаружениявредоносных программ пользователи информационных систем обязаны:
а) приостановить работу;
б) немедленно поставить визвестность об этом администратора информационнойбезопасности и/или сотрудника подразделения по информационной безопасности , владельца зараженныхфайлов (ресурсов), а также других сотрудников, использующих эти файлы в работе;
в) совместно с владельцемзараженных файлов (ресурсов) провести анализ необходимости дальнейшего ихиспользования;
г) провести лечение илиуничтожение зараженных файлов.
36. В случае обнаружениявредоносных программ администратор информационной безопасности и/или сотрудникподразделения по информационной безопасности организует внеочередной антивирусный контроль всехсредств вычислительной техники информационной системы, в которой обнаруженавредоносная программа.
37. Все файлы, полученныеиз ИТКС Интернет посредством электронной почты, а также копируемые на средствавычислительной техники с любых внешних носителей информации подлежатобязательной проверке средствами антивирусной защиты.
Раздел VII
Основные правила и методыорганизации резервного копирования
в ИОГВ Тверской области,государственных учреждениях,
унитарных предприятияхТверской области
38. Ответственным запроведение резервного копирования, хранение резервных копий, а такжевосстановление информации является администратор информационной безопасностии/или сотрудник подразделения по информационной безопасности.
39. Администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности взависимости от функциональных особенностей эксплуатируемых информационныхсистем определяет перечень данных, подлежащих резервному копированию ихранению, в соответствии с приложением 2 к Политике, расписание резервногокопирования в соответствии с приложением3 к Политике и утверждает их у руководителя ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) .
40. Резервному копированиюподлежит информация следующих основных категорий:
персональная информацияпользователей (личные каталоги на файловых серверах);
групповая информацияпользователей (общие каталоги подразделений);
информация, необходимаядля восстановления серверов и систем управления базами данных;
персональные профили пользователейсети;
информация правовыхсправочных систем общего использования («Гарант», «Консультант+» и т.п.);
рабочие копии установочныхкомпонент программного обеспечения вычислительных средств информационных системИОГВ Тверской области (государственного учреждения, унитарного предприятияТверской области);
регистрационная информацияподсистем информационной безопасности информационных систем ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области).
41. Для организациисистемы резервного копирования используются стандартныепрограммные средства операционной системы либо специализированныелицензионные программные средства резервного копирования .
42. Средства резервногокопирования должны обеспечивать производительность, достаточную для сохранениякопируемой информации.
43. Информация сносителей, которые перестают использоваться в системе резервного копирования,стирается без возможности восстановления данных.
44. Хранение съемныхносителей с резервными копиями осуществляется в отдельных запираемых сейфах,доступ к которым имеет только администратор информационной безопасности и/или сотрудникподразделения по информационной безопасности.
45. Все процедуры позагрузке, выгрузке носителей, на которые производится резервное копирование, атакже любое перемещение съемных носителей осуществляются администратороминформационной безопасности и/илисотрудником подразделения по информационной безопасности.
46. О снованиемдля инициирования процедуры восстановления служит полная или частичная утратаинформации вследствие сбоев оборудования, программного обеспечения вкритических и кризисных ситуациях. Восстановление данных производится администратором информационной безопасности и/или сотрудникомподразделения по информационной безопасности.
47. О выявленных попыткахнесанкционированного доступа к резервируемой информации, а также иныхнарушениях информационной безопасности, произошедших в процессе резервногокопирования, администратор информационной безопасности и/или сотрудник подразделенияпо информационной безопасности сообщает руководителю ИОГВ Тверской области (государственного учреждения , унитарного предприятияТверской области) служебной запиской втечение рабочего дня после обнаружения указанного события.
48. Руководителем ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области) по фактупопытки несанкционированного доступа к резервируемой информации назначаетсяслужебная проверка.
49. Контроль результатоврезервного копирования осуществляется администратором информационнойбезопасности. В случае обнаружения ошибки резервного копирования или выходаиз строя системы резервного копирования администратор информационной безопасности и/илисотрудник подразделения по информационной безопасности выполняет повторное копирование информации вручную в максимально сжатые сроки,не нарушая технологические процессы обработки информации пользователями.
Раздел VIII
Порядок работы с электронной почтой в ИОГВ Тверской области, государственныхучреждениях, унитарных предприятиях Тверской области
50. Электронная почта в ИОГВ Тверской области, государственных учреждениях,унитарных предприятиях Тверской области должна использоваться только в служебных целях.
51. При работе сэлектронной почтой сотрудникам ИОГВТверской области, государственных учреждений, унитарных предприятий Тверской области) запрещается:
а) использовать адресслужебной электронный почты в личных целях;
б) публиковать свой адресслужебной электронный почты либо адреса других сотрудников на общедоступныхинтернет-ресурсах (форумы, конференции и т.п.) без предварительногосогласования с руководителем ИОГВТверской области (государственного учреждения, унитарного предприятия Тверской области);
в) отправлять сообщения свложенными файлами, общий размер которых превышает максимально допустимый ;
г) открывать вложенные файлы во входящих сообщенияхбез предварительной проверки антивирусными средствами;
д) осуществлять массовуюрассылку почтовых сообщений (более 10) внешним адресатам, если это необусловлено служебной необходимостью;
е) осуществлять рассылкуматериалов, содержащих вредоносные программы, или файлы, предназначенные длянарушения, уничтожения либо ограничения функциональности электронногооборудования или программного обеспечения, для осуществлениянесанкционированного доступа, а также серийные номера к коммерческимпрограммным продуктам и программное обеспечение для их генерации, логины,пароли и прочие средства для получения несанкционированного доступа к платнымресурсам в ИТКС Интернет, а также ссылки на вышеуказанную информацию;
ж) распространятьзащищаемые авторскими правами материалы, затрагивающие какой-либо патент,торговую марку, коммерческую тайну, копирайт или прочие права собственности и(или) авторские и смежные с ними права третьей стороны;
з) распространятьинформацию, содержание и направленность которой запрещены законодательствомРоссийской Федерации, включая материалы, носящие вредоносную, угрожающую,клеветническую, непристойную информацию, а также информацию, оскорбляющую честьи достоинство других лиц, материалы, способствующие разжиганию национальнойрозни, подстрекающие к насилию, призывающие к совершению противоправнойдеятельности, в том числе разъясняющие порядок применения взрывчатых веществ ииного оружия, и т.д.;
и) осуществлять отправку сообщений электронной почты счужого почтового ящика или от чужого имени;
к) распространять посредством сообщений электронной почты информацию, содержащуюперсональные данные, служебные сведения ограниченного доступа, сведения,относящиеся к государственной тайне.
Раздел I X
Порядок использования ИТКС Интернет в ИОГВ Тверскойобласти, государственных учреждениях, унитарных предприятиях Тверской области
52. Доступ к ИТКС Интернетв ИОГВ Тверской области,государственных учреждениях, унитарных предприятиях Тверской области можетпредоставляться сотрудникам в целях выполнения ими своих служебныхобязанностей.
53. Подключение средств вычислительной техники к ИТКС Интернетвыполняется администратором информационной безопасности и/или сотрудникомподразделения по информационной безопасности.
54. Средства вычислительной техники , используемые для обработки сведений, составляющих государственную тайну,не могут быть подключены к ИТКС Интернет.
55. При использовании ИТКС Интернет сотрудникам ИОГВ Тверской области, государственных учреждений, унитарных предприятийТверской области запрещено:
а) использоватьпредоставленный доступ к ИТКС Интернет в личных целях;
б) использоватьспециализированные аппаратные и программные средства, позволяющие сотрудникамполучить несанкционированный доступ к ИТКС Интернет;
в) совершать действия,направленные на нарушение функционирования элементов информационных систем;
г) публиковать, загружать и распространятьматериалы, содержащие:
информацию ограниченногодоступа;
информацию, полностью иличастично защищенную авторскими или другими правами, без разрешения владельца;
вредоносное программноеобеспечение, предназначенное для нарушения, уничтожения либо ограниченияфункциональности любых аппаратных и программных средств, для осуществлениянесанкционированного доступа, а также серийные номера к коммерческомупрограммному обеспечению и программное обеспечение для их генерации, пароли ипрочие средства для получения несанкционированного доступа к платныминтернет-ресурсам, а также ссылки на вышеуказанную информацию;
угрожающую,клеветническую, непристойную информацию, а также информацию, оскорбляющую честьи достоинство других лиц, материалы, способствующие разжиганию национальнойрозни, подстрекающие к насилию, призывающие к совершению противоправнойдеятельности и т.д.
56. При необходимости администратор информационнойбезопасности и/или сотрудник подразделения по информационной безопасностиблокирует доступ к интернет-ресурсам, содержание которых не имеет отношения кисполнению служебных обязанностей.
57. При наличиитехнической возможности администратором информационной безопасности и/илисотрудником подразделения информационной безопасности обеспечиваетсявозможность протоколирования информации о посещаемых сотрудникамиинтернет-ресурсах для последующего анализа и по требованию предоставляетсяруководителю ИОГВ Тверской области (государственного учреждения, унитарногопредприятия Тверской области) для контроля.
Раздел X
Использование программного обеспечения в информационных системах ИОГВ Тверской области,государственных учреждений,
унитарных предприятийТверской области
58. В ИОГВ Тверской области, государственных учреждениях,унитарных предприятиях Тверскойобласти для выполнения возложенных на них функций разрешено применениеограниченного перечня коммерческого и свободного программного обеспечения.
59. Перечень программногообеспечения, разрешенного к использованию в ИОГВ Тверской области(государственном учреждении, унитарном предприятии Тверской области) определяетсяадминистратором информационной безопасности и/илисотрудником подразделения по информационной безопасности . Разрешенное к использованию программное обеспечениезаносится вреестр разрешенного к использованию программного обеспечения в соответствии сприложением 4 к Политике и утверждается руководителем ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области).
60. Перечень программногообеспечения, устанавливаемого на средство вычислительной техники, определяетсяадминистратором информационной безопасности и/или сотрудником подразделения по информационнойбезопасности исходя из должностных обязанностей пользователя, а также функцийинформационной системы ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) и заносится администратороминформационной безопасности и/или сотрудником подразделения поинформационной безопасности в паспорт средства вычислительной техники всоответствии с приложением 5 к Политике.
61. Установка ииспользование программного обеспечения, не занесенного в реестр разрешенного киспользованию программного обеспечения, запрещается.
62. Все операции поустановке, сопровождению, удалению программного обеспечения выполняютсяадминистратором информационной безопасности и/или сотрудником подразделения по информационнойбезопасности, или техническими специалистами других организаций, привлекаемымина основании гражданско-правовых договоров, при непосредственном участии администратораинформационной безопасности и/илисотрудника подразделения по информационной безопасности.
63. Эксплуатацияпрограммного обеспечения состоит из следующих этапов:
а) определение потребностив программном обеспечении;
б) приобретениепрограммного обеспечения;
в) установка (внедрение)программного обеспечения;
г) поддержка исопровождение программного обеспечения;
д) удаление (вывод изэксплуатации) программного обеспечения.
64. В ходе определенияпотребности в программном обеспечении руководителем структурного подразделения ИОГВ Тверской области (государственногоучреждения, унитарногопредприятия Тверской области), в котором планируется эксплуатация данногопрограммного обеспечения, готовится заявка на установку программногообеспечения на имя руководителя ИОГВТверской области (государственного учреждения, унитарного предприятия Тверской области):
а) при необходимостиорганизации нового рабочего места, оснащенного средствами вычислительнойтехники;
б) при необходимостивыполнения сотрудниками новых (дополнительных) обязанностей, для которыхтребуются дополнительное программное обеспечение или полная замена техническихсредств информационной системы;
в) при появлениикачественно нового (альтернативного) программного обеспечения взамен ужеиспользуемых в составе информационных систем (при необходимости).
65. При наличии в ИОГВ Тверской области (государственном учреждении , унитарном предприятии Тверской области) запрошенного программногообеспечения администратор информационной безопасности и/или сотрудникподразделения по информационной безопасности выполняет работы по его установке,за средством вычислительной техники закрепляются лицензии на установленное нанем программное обеспечение.
При отсутствии в ИОГВ Тверской области (государственном учреждении , унитарном предприятии Тверской области) запрошенного программногообеспечения или вакантных лицензий на коммерческое программное обеспечение (изперечня в реестре разрешенного к использованию программного обеспечения),руководитель структурного подразделения ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) инициирует заявку на приобретение программного обеспечения.
66. При установке(внедрении) программного обеспечения администратор информационной безопасностии/или сотрудник подразделения по информационной безопасности :
а) обеспечиваетоперативный учет лицензий вводящегося в эксплуатацию программного обеспечения,организует работы по установке программного обеспечения на средствавычислительной техники;
б) готовит два экземплярапаспорта средства вычислительной техники или вносит изменения в имеющийсяпаспорт средства вычислительной техники. Один экземпляр паспорта средствавычислительной техники остается у сотрудника структурного подразделения ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) , являющегося оператором средства вычислительнойтехники, другой хранится в архиве документов администратора информационнойбезопасности.
67. Любое изменениеперечня установленного программного обеспечения отражается в паспорте средствавычислительной техники.
68. После установкипрограммного обеспечения установочные комплекты (дистрибутивы) передаютсяадминистратору информационной безопасности и/илисотруднику подразделения по информационной безопасности .
69. Должностные лица,ответственные за эксплуатацию информационной системы, должны обеспечиватьсохранность переданных им носителей с ключевой информацией, лицензионнымпрограммным обеспечением, сертификатов подлинности программного обеспечения.
70. Поддержка исопровождение программного обеспечения выполняется администратороминформационной безопасности и/илисотрудником подразделения по информационной безопасности , а при необходимости –техническими специалистами других организаций, привлекаемыми на основаниигражданско-правовых договоров.
71. Осуществлениеподдержки и сопровождения программного обеспечения предусматривает, в томчисле, выполнение следующих видов работ:
а) настройкаустановленного программного обеспечения;
б) установка обновленийпрограммного обеспечения;
в) регламентированноесоздание резервных копий (архивирование) программного обеспечения ипользовательских данных (электронных документов, баз данных);
г) устранениенеисправностей, связанных с использованием установленного программногообеспечения;
д) консультированиепользователей информационных систем.
72. Удаление (вывод из эксплуатации)программного обеспечения проводится в случаях:
а) окончания лицензионногосрока использования программного обеспечения;
б) замены используемогопрограммного обеспечения на альтернативное программное обеспечение илипрограммное обеспечение более поздних версий;
в) прекращенияиспользования программного обеспечения вследствие отсутствия необходимости,морального старения.
73. Вывод из эксплуатациивыполняется администратором информационной безопасности и/или сотрудникомподразделения по информационной безопасности , а при необходимости техническими специалистамидругих организаций, привлекаемыми на основании гражданско-правовых договоров.
74. При удалении (выводеиз эксплуатации) программного обеспечения производится:
а) аудит программногообеспечения (далее – аудит) ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) ;
б) удаление выводимого изэксплуатации программного обеспечения со всех средств вычислительной техникиинформационных систем;
в) при необходимостиподготовка и передача в структурное подразделение ИОГВ Тверской области (государственного учреждения, унитарногопредприятия Тверской области) , осуществляющеебухгалтерский учет, акта вывода из эксплуатации программного обеспечения;
г) соответствующие отметкив паспортах средств вычислительной техники.
75. При необходимости администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности организует хранение выведенного из эксплуатации программного обеспечения.
76. Аудит проводится вцелях выявления несоответствия перечней фактически установленного программногообеспечения на средствах вычислительной техники перечням, зафиксированным впаспортах средств вычислительной техники. Аудит проводит администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности .
77. При выявлениинесоответствия перечня установленного программного обеспечения текущей версиипаспорта средства вычислительной техники программное обеспечение, наименованиекоторого отсутствует в паспорте средства вычислительной техники, подлежитнемедленному удалению. Администратор информационной безопасности и/илисотрудник подразделения по информационной безопасности в этом случае вправеинициировать проведение служебной проверки для установления обстоятельствустановки программного обеспечения, не предусмотренного паспортом средствавычислительной техники, а также выявления лиц, осуществивших эти действия.
78. Аудит проводится помере необходимости, но не реже одного раза в 6 месяцев. Необходимость, время иобласть проведения аудита определяются в соответствии с настоящей Политикойзаместителем руководителя ИОГВТверской области (государственного учреждения, унитарного предприятия Тверской области) , ответственным за организациюзащиты информации.
79. При наличии в ИОГВТверской области (государственном учреждении, унитарном предприятии Тверскойобласти) подразделения по информатизации и/или защите информации порядокиспользования программного обеспечения может быть изменен.
Раздел XI
Использование беспроводных сетей в информационных системах ИОГВ Тверской области,государственных учреждений,
унитарных предприятийТверской области
80. В ИОГВ Тверскойобласти, государственных учреждениях, унитарных предприятиях Тверской областиразрешено использование «гостевых» беспроводныхсетей ,физически не пересекающихся с единой информационно-коммуникационной сетьюПравительства Тверской области и локально-вычислительнымисетями ИОГВ Тверской области, государственных учреждений, унитарных предприятийТверской области.
81. Запрещаетсяподключение беспроводных сетей, а также доступ к единойинформационно-коммуникационной сети Правительства Тверской области и локально-вычислительным сетям ИОГВ Тверской области,государственных учреждений, унитарных предприятий Тверской области с различныхустройств с использованием беспроводных сетей.
Раздел XI I
Использование мобильных устройств и носителейинформации
в информационных системах ИОГВ Тверской области,государственных учреждений, унитарных предприятий Тверской области
82. Под использованиеммобильных устройств и носителей информации в информационных системах понимаетсяих подключение к информационным системам для приема, обработки, передачиинформации между информационными системами и мобильными устройствами,носителями информации.
83. В информационныхсистемах допускается использование только учтенных мобильных устройств иносителей информации, которые являются государственной собственностью Тверскойобласти и подвергаются регулярной ревизии (контролю).
84. На учтенных мобильныхустройствах и носителях информации допускается использование коммерческогопрограммного обеспечения, входящего в реестр разрешенного к использованиюпрограммного обеспечения.
85. Установка программногообеспечения на мобильные устройства осуществляется специалистамиисполнительного органа государственной власти Тверской области, уполномоченногов сфере информационных технологий, либо администратором информационнойбезопасности и/или сотрудником подразделения по информационной безопасности.
86. Установка на мобильныеустройства программного обеспечения допускается только с интернет-ресурсов,рекомендуемых производителем мобильных устройств.
87. К учтенным мобильнымтехническим средствам информационных систем предъявляются те же требования пообеспечению информационной безопасности, что и к стационарным.
Целесообразностьдополнительных мер обеспечения информационной безопасности определяетсяадминистратором информационной безопасности.
88. С учтенных мобильныхтехнических средств информационных систем при необходимости разрешается доступк электронной почте ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области) .
89. Запрещаетсяподключение мобильных устройств к информационным системам, на которых обрабатываетсяинформация ограниченного доступа, а также хранение информации ограниченногодоступа на мобильных устройствах.
Раздел X III
Порядок регистрации должностных лиц вмежведомственных системах
ИОГВ Тверской области, государственных учреждений,
унитарных предприятий Тверской области
90. К межведомственныминформационным системам ИОГВ Тверской области,государственных учреждений, унитарных предприятий Тверской области относятся системыэлектронного документооборота, системы корпоративной электронной почты, реестргосударственных служащих Тверской области, иные территориально распределенныемежведомственные информационные системы ИОГВТверской области, государственных учреждений, унитарных предприятий Тверскойобласти (далее – межведомственныеинформационные системы) .
91. Руководитель ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) направляет в областной исполнительный орган государственной власти Тверскойобласти, уполномоченный на подключение к межведомственной информационнойсистеме, заявку на регистрацию в межведомственной информационной системедолжностных лиц, которая должна содержать:
а) наименованиемежведомственной информационной системы, в которой регистрируются должностныелица ИОГВ Тверской области (государственногоучреждения, унитарного предприятия Тверской области);
б) должности, фамилии,имена и отчества должностных лиц, регистрируемых в межведомственнойинформационной системе.
Заявка также можетсодержать другую определяемую областным исполнительным органом государственнойвласти Тверской области, уполномоченным на подключение к межведомственнойинформационной системе информацию, включаемую в идентификационные данные.
92. После получения от ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) заявки на регистрацию должностных лиц в межведомственной информационнойсистеме, ответственное должностное лицо областного исполнительного органагосударственной власти Тверской области, уполномоченногона подключение к межведомственной информационной системе, регистрируетпользователей и проводит необходимые настройки.
93. Ответственноедолжностное лицо областного исполнительного органа государственной властиТверской области, уполномоченного на подключение к межведомственнойинформационной системе, направляет необходимую ключевую информацию (ключевыефайлы) администратору информационной безопасности и/или сотруднику подразделенияпо информационной безопасности ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области), подавшего заявку.
94. При увольнении должностного лица, зарегистрированного вмежведомственной информационной системе, руководитель ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области) втрехдневный срок со дня увольнения направляет в областной исполнительный органгосударственной власти Тверской области, уполномоченный на подключение кмежведомственной информационной системе, заявку об исключении уволенногосотрудника из пользователей межведомственной информационной системы.
Раздел X I V
Порядок использования средств криптографическойзащиты информации
в ИОГВ Тверской области, государственныхучреждениях,
унитарных предприятиях Тверской области
95 . Работы по приобретению средств криптографическойзащиты информации проводятся ИОГВТверской области, государственными учреждениями, унитарными предприятиямиТверской области по согласованию с уполномоченным областным исполнительным органомгосударственной власти Тверской области в сфере защиты информации.
96. Для работы с СКЗИ привлекаются уполномоченныедолжностные лица, назначенные соответствующим приказом ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) , которые получают и используют сертификаты ключейпроверки электронной подписи и ключи электронной подписи (далее – ключеваяинформация) и несут персональную ответственность за:
а) сохранение в тайнесведений конфиденциального характера, ставших им известными в процессе работы сСКЗИ;
б) сохранение в тайнесодержания ключевой информации;
в) сохранность носителейключевой информации и других документов о ключах, выдаваемых с ключевыминосителями.
97. В ИОГВ Тверской области, государственных учреждениях,унитарных предприятиях Тверской области , участвующих в информационном обмене электроннымидокументами по телекоммуникационным каналам связи, должны быть обеспеченыусловия хранения носителей ключевойинформации и карточки отзыва ключей, исключающие возможность доступа к нимпосторонних лиц, несанкционированного использования или копирования ключевойинформации и паролей отзыва ключей.
98. На средствахвычислительной техники информационных систем, на которых установлены средствашифрования и электронной подписи, не должно быть установлено иэксплуатироваться программное обеспечение, которое может нарушитьфункционирование программных СКЗИ. При обнаружении на рабочем месте,оборудованном СКЗИ, программного обеспечения, нарушающего работу указанныхсредств, работа с СКЗИ на данном рабочем месте должна быть прекращена и должныбыть организованы мероприятия по анализу и ликвидации негативных последствийинцидента информационной безопасности.
99. При работе с СКЗИ недопускается:
а) разглашать содержимоеносителей ключевой информации или передавать сами носители лицам, к ним недопущенным, выводить ключевую информацию на дисплей и принтер;
б) вставлять ключевойноситель в интерфейс технического средства информационной системы припроведении работ, не являющихся штатными процедурами использования ключей, атакже в интерфейсы других технических средств информационной системы;
в) записывать на носителе ключевой информациипостороннюю информацию;
г) вносить какие-либоизменения в программное обеспечение средств шифрования и электронной подписи;
д) использовать бывшие вработе ключевые носители для записи новой информации без предварительногоуничтожения на них ключевой информации путем переформатирования (при наличиивозможности).
100. Посторонние лица недолжны допускаться к работе со средствами вычислительной техники, на которыхустановлены средства шифрования и электронной подписи.
101. Уполномоченныедолжностные лица ИОГВ Тверской области, государственных учреждений, унитарныхпредприятий Тверской области, привлекаемые для работы с СКЗИ, отвечают засохранность и конфиденциальность ключевойинформации. В случае компрометации ключевой информации мероприятия по розыску илокализации последствий компрометации конфиденциальной информации, переданной сиспользованием СКЗИ, организует руководитель ИОГВ Тверской области (государственного учреждения, унитарногопредприятия Тверской области) , а осуществляют уполномоченные должностные лица ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) , привлекаемые для работы с СКЗИ, и администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности .
102. При компрометацииключевой информации должностного лица ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) данное должностное лицо должно немедленно прекратить действия, связанные сиспользованием данной ключевой информации, и поставить в известностьпредставителя удостоверяющего центра о факте компрометации.
Раздел XV
Управление сетевой безопасностью при использованиисетевых ресурсов ИОГВ Тверской области, государственных учреждений,
унитарных предприятий Тверской области
103. Пользователяминформационно-телекоммуникационной сети ИОГВТверской области, государственных учреждений, унитарных предприятий Тверскойобласти запрещается:
а) осуществлять попыткинесанкционированного проникновения в чужие информационные системы;
б) производить попыткиприсвоения себе чужих сетевых атрибутов (в частности сетевых адресов, MAC-адресовсетевых карт);
в) предоставлять ресурсысвоих технических средств посторонним пользователям для несанкционированногоиспользования государственных информационных ресурсов Тверской области;
г) размещать винформационных системах коммерческие и лицензионные программные средства,мультимедийные и информационные материалы с нарушением соответствующихавторских прав;
д) распространять черезинформационно-телекоммуникационную сеть заведомо оскорбляющую честь и унижающуюдостоинство граждан информацию, материалы рекламного и коммерческого характера;
е) использовать внешниймультимедийный трафик типа интернет-видео, музыкальных сетевых радиостанций, атакже трафик пиринговых сетей, если это не связано с исполнением служебныхобязанностей. При возникновении трафика данного типа соответствующие сетевыекоммуникации должны блокироваться администратором информационной безопасностибез предупреждения пользователя.
104. На техническихсредствах информационных систем, используемых для работы винформационно-телекоммуникационной сети ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти), рекомендуется устанавливать все обновления программного обеспечения.
105. Мероприятия пообеспечению безопасности должны проводиться в отношении всех объектовинформационно-телекоммуникационной сети, в том числе и тех, которые подключены,но временно не используются.
106. При существенномпадении скорости передачи данных в информационно-телекоммуникационной сетиадминистратор информационной безопасности и/или сотрудник подразделения по информационнойбезопасности организует временную блокировку проблемного трафика до устранения самогопроблемного трафика и вызвавших его причин.
107. Администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности по согласованию с руководителем ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) сцелью защиты сетевой инфраструктуры и пользователей может блокировать спам ивирусные рассылки (как входящие, так и исходящие) вплоть до временногопрекращения всех коммуникаций с хостами, вовлеченными в эти инцидентыинформационной безопасности (спамовые рассылки,вирусные и хакерские атаки), даже если это повлечет за собой временнуюневозможность доступа пользователей к легальным ресурсам этих хостов.
108. Особо крупные сетевые скачивания(дистрибутивы, ISO-образы дисков и т.п.) рекомендуется производить только сдоверенных серверов и в нерабочее время, когда загрузка канала существенноменьше.
109. Системные часы серверов и персональных компьютеров информационно-телекоммуникационнойсети ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области) синхронизируются с точным источником времени.Информационная система ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) настраивается таким образом, чтобыизменение настроек даты и времени было доступно только администраторуинформационной безопасности и/или сотруднику подразделения информационнойбезопасности .
Раздел X VI
Обеспечение безопасности информации при ведениипереговоров
ииспользовании средств связи в ИОГВ Тверской области,
государственных учреждениях, унитарных предприятияхТверской области
110. В целях обеспеченияконфиденциальности телефонных переговоров в ИОГВТверской области, государственных учреждениях, унитарных предприятиях Тверскойобласти не рекомендуется передавать по телефону информацию, содержащую служебныесведения ограниченного доступа, персональные данные, данные о времени иместонахождении членов Правительства Тверской области, руководителей ИОГВ Тверской области, государственных учреждений,унитарных предприятий Тверской области , если это не обусловлено служебной необходимостью.
111. В случаенеобходимости проведения конфиденциальных переговоров, такие переговорыпроводятся в специально предназначенных для этого помещениях.
112. При необходимостиобеспечения конфиденциальности информации при ведении переговоров в помещенияхдля проведения данных переговоров не должны находиться приборы, оборудование итехнические средства, которые непосредственно не используются для обеспеченияхода переговоров (телефоны городской сети, вычислительные средстваинформационных систем, телевизионные и радиоприемники и др.). Все мобильныетелефоны рекомендуется оставлять за пределами помещения, где проводятся данныемероприятия.
113. Для предотвращения утечкиакустической информации целесообразно использовать внешние шумы (специальноеоборудование, работающее радио, телевизор и т.п.).
Раздел X VII
Обеспечение физической защиты информационных систем
ИОГВ Тверской области, государственных учреждений,
унитарных предприятий Тверской области
114. Физическая защитаинформационных систем ИОГВ Тверской области,государственных учреждений, унитарных предприятий Тверской области обеспечивается комплексоммер по оборудованию зданий (помещений) средствами охранной сигнализации,организации постов охраны, опечатыванию помещений, организации и соблюдениювнутриобъектового и пропускного режимов, порядка доступа в служебные помещения,хранению ключей от служебных помещений.
115. Физический доступ кинформационным системам посторонних лиц не допускается.
116. Время проходасотрудников в здания ИОГВ Тверской области,государственных учреждений, унитарных предприятий Тверской области устанавливается правиламивнутреннего служебного распорядка.
117. Пропускной режим ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) устанавливается в соответствии с порядком,утвержденным Правительством Тверской области.
118. При отсутствии впомещениях сотрудников ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) двери в эти помещения должны бытьзакрыты на ключ. Вскрытие помещений при отсутствии лиц, имеющих на это право,осуществляется с разрешения руководителя ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) вслучаях крайней необходимости.
119. В целях физическойохраны серверов, информационных систем и баз данных, расположенных навыделенных технических средствах информационных систем, такие техническиесредства (при наличии возможности) размещаются в специально выделенных для этихцелей помещениях. Доступ к таким техническим средствам ограничиваетсяфизически.
120. Двери помещенийдолжны иметь достаточную степень защиты от возможного несанкционированногопроникновения, быть исправными, хорошо подогнанными под максимально укрепленнуюдверную коробку.
Двери помещений и решеткина окнах (при их наличии) оснащаются замками и запирающими устройствами,обеспечивающими достаточную степень защиты от взлома. В качестве запирающихустройств, устанавливаемых на дверях и окнах, применяются врезные, накладныезамки, задвижки, засовы, шпингалеты и т.п. Для запирания оконных решетокдопускается применять висячие замки.
121. Окна, фрамуги ифорточки (стеклопакеты) всех помещений закрываются на надежные и исправныезапоры. Стекла надежно закрепляются в пазах. Не допускается эксплуатацияповрежденного остекления окон.
122. Ключи от замков наоконных решетках (при их наличии) и дверях запасных выходов располагаются внепосредственной близости от них, при этом принимаются меры, исключающиенесанкционированный доступ к этим ключам посторонних лиц.
123. В ИОГВ Тверской области, государственных учреждениях,унитарных предприятиях Тверской области наряду с рабочими комплектами ключей принеобходимости предусматриваются дополнительные комплекты ключей от всехпомещений, распашных металлических решеток (при их наличии), основных изапасных выходов. Запасные комплекты ключей с соответствующими бирками хранятсяв опечатанном виде в специальных пеналах у руководителя ИОГВ Тверской области (государственногоучреждения, унитарного предприятия Тверской области) либо в службе охраныздания, где размещается ИОГВ Тверской области(государственное учреждение, унитарное предприятие Тверской области) .
124. Все экземпляры ключейучитываются в журнале регистрации ключей к замкам помещений ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) . В указанный журнал вносится фамилия и должностьсотрудников, от какого из помещений получены (сданы) ключи, с личной подписьюсотрудника, получившего (сдавшего) экземпляр ключа. Наличие неучтенных ключейне допускается. В случае утраты рабочих или запасных экземпляров ключей об этом немедленно ставится в известность руководитель ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области).
125 . При необходимости опечатывания помещенийсотрудникам выдаются номерные печати ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти) (далее – номерные печати). Выдача номерных печатей оформляется приказом ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) и осуществляется под личную подпись в специальномжурнале. Сотрудники, имеющие номерные печати, несут персональнуюответственность за их сохранность. Проверки фактического наличия ключей отхранилищ и номерных печатей проводятся руководителем структурного подразделения ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области) не реже одного раза вмесяц.
126. Должностные лица ИОГВ Тверской области, государственных учреждений,унитарных предприятий Тверской области , осуществляющие сдачу помещений под охрану и ихопечатывание, проверяют:
а) работоспособностьсредств охранной сигнализации (при ее наличии);
б) выключение освещения ипотребителей электрической энергии (за исключением потребителей, питаниекоторых необходимо непрерывно);
в) закрытие окон, решеток,форточек, закрытие и опечатывание дверей запасных выходов и размещение ключейот них в опечатанном виде рядом с дверями.
127. При необходимостиопечатывания помещения печать на входную дверь в помещение проставляется натонкий слой пластилина или специальной мастики таким образом, чтобы оттискневозможно было снять и восстановить.
128. Ключи от помещенийсдаются на пост охраны здания, где размещается ИОГВ Тверской области (государственное учреждение, унитарное предприятиеТверской области) .
129. При снятии помещенийс охраны ответственные должностные лица:
а) после отключениясигнализации (при ее наличии) проверяют целостность печати на дверях и замках;
б) при обнаружениикаких-либо повреждений замков, дверей, окон, форточек, фрамуг, не вскрывая их,вызывают представителей службы охраны и сообщают руководителю ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) для составления акта осмотра и проведенияслужебной проверки.
130. Для обеспеченияэлектробезопасности информационных ресурсов Тверской области подключениеинформационных систем к электрической сети осуществляется в соответствии сгосударственными стандартами Российской Федерации, строительными нормами иправилами, а также правилами технической эксплуатации электроустановокпотребителей, утвержденными приказом Министерства энергетики РоссийскойФедерации от 13.01.2003 № 6 «Об утверждении Правил технической эксплуатацииэлектроустановок потребителей».
131. Электропитаниеподводится к оборудованию от центрального электрического щита черезавтоматические выключатели. В качестве дополнительной защиты информационныхресурсов используются устройства защитного отключения. Все автоматическиевыключатели и устройства защитного отключения монтируются в соответствии снагрузкой, потребляемой оборудованием.
Силовые ителекоммуникационные кабели защищаются от возможного несанкционированногоподключения или повреждения.
132. Все техническиесредства информационных систем подключаются к электропитанию через источникибесперебойного питания, обеспечивающие корректное выключение илипродолжительную работу.
Раздел X VIII
Обслуживание технических средств информационных систем
ИОГВ Тверской области,государственных учреждений,
унитарных предприятийТверской области
133. Еженедельноеобслуживание техническихсредств информационных систем выполняется пользователем в соответствии синструкцией по еженедельному техническому обслуживанию информационной системы(приложение 6 к Политике).
134. Другие виды работ потехническому обслуживанию информационной системы выполняются администратороминформационной безопасности, а при необходимости – техническими специалистамидругих организаций, привлекаемыми на основании гражданско-правовых договоров.
135. Ремонтные работы натехнических средствах информационных систем осуществляются толькоадминистраторами информационной безопасности и/или сотрудником подразделения по информационной безопасности или техническимиспециалистами других организаций, привлекаемыми на основаниигражданско-правовых договоров.
136. О факте выполнения работ по техническому обслуживаниюинформационных систем администратор информационной безопасности и/или сотрудникподразделения по информационной безопасности делает соответствующую отметку в журнале учетанештатных ситуаций, выполнения профилактических и ремонтных работ, установки имодификации технических средств и программного обеспечения по форме согласноприложению 7 к Политике.
Раздел X I X
Управление инцидентами информационной безопасности
в ИОГВ Тверской области, государственныхучреждениях,
унитарных предприятиях Тверской области
137. Инцидентыинформационной безопасности подразделяются на:
а) внутренний инцидент –инцидент, источником которого является нарушитель, состоящий в служебных,трудовых и иных договорных отношениях с ИОГВТверской области (государственным учреждением, унитарным предприятием Тверскойобласти) (далее – внутренний нарушитель) . К наиболее распространенным внутренним инцидентаминформационной безопасности относятся:
утечка сведенийконфиденциального характера;
неправомерный доступ кинформации;
удаление информации;
компрометация информации;
саботаж;
мошенничество винформационных системах, с участием внутреннего нарушителя;
аномальная сетеваяактивность;
аномальное поведениепрограммного обеспечения;
использование средстввычислительной техники ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области) в личных целях или вмошеннических операциях;
б) внешний инцидент –инцидент, источником которого является нарушитель, не состоящий в служебных,трудовых и иных договорных отношениях с ИОГВ Тверской области (государственнымучреждением, унитарным предприятием Тверской области) (далее– внешний нарушитель) . К наиболее распространенным внешниминцидентам относятся:
мошенничество винформационных системах с участием внешнего нарушителя;
атаки типа «отказ в обслуживании» (DoS), в том числе распределенные (DDoS);
перехват и подменатрафика;
размещениеконфиденциальной/провокационной информации в ИТКС
Интернет, касающейся ИОГВ Тверской области (государственного учреждения, унитарногопредприятия Тверской области);
взлом, попытка взлома,сканирование сайтов ИОГВ Тверской области (государственных учреждений, унитарных предприятий Тверской области);
сканирование сети, попыткавзлома сетевых узлов;
вирусные атаки;
неправомерный доступ кконфиденциальной информации;
анонимные письма (письма сугрозами).
138. Источником информацииоб инциденте информационной безопасности могут служить:
а) сообщения пользователейинформационных систем;
б) уведомлениякомпетентных органов;
в) данные, полученные наосновании анализа электронных журналов регистрации информационных систем,систем защиты.
139. При получениисообщения об инциденте информационной безопасности по электронной почте или потелефонному звонку необходимо убедиться в достоверности полученной информации(например, путем совершения «обратного» звонка по указанным в сообщениителефонам, проверки данных, указанных в подписи сообщения или названных призвонке).
140. Сотрудник, получившийинформацию об инциденте информационной безопасности, сообщает об этом администратору информационной безопасности и/или сотруднику подразделения по информационнойбезопасности, ируководителю структурного подразделения ИОГВТверской области (государственного учреждения, унитарного предприятия Тверскойобласти).
Администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности обязан принять меры по локализации инцидента информационнойбезопасности и минимизации потерь от инцидента информационной безопасности длядеятельности ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области).
141. Администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности регистрирует инцидент в журнале учета нештатных ситуаций, выполненияпрофилактических и ремонтных работ, установки и модификации технических средстви программного обеспечения.
142. Для анализаинцидентов информационной безопасности создается комиссия, в состав которойвключаются:
а) заместитель руководителя ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области), ответственный за организацию защитыинформации;
б) руководитель структурного подразделения ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области), в котором произошел инцидент;
в) администраторинформационной безопасности и/или сотрудник подразделения по информационнойбезопасности .
143. Комиссия собирает ианализирует все данные об обстоятельствах инцидента информационной безопасности(электронные письма, журналы событий информационных систем, показаниясотрудников и др.), устанавливает факт наличия (отсутствия) утечки информацииограниченного доступа и обстоятельства ей сопутствующие, определяет переченьлиц, виновных в нарушении предписанных мероприятий по защите информации, устанавливаетпричины и условия, способствовавшие нарушению.
144. По итогам работыкомиссии заместитель руководителя ИОГВ Тверской области (государственногоучреждения, унитарного предприятия Тверской области), ответственный заорганизацию защиты информации, готовит руководителю ИОГВ Тверской области (государственного учреждения,унитарного предприятия Тверской области) заключение , в котором указываютсяпричина возникновения инцидента, последствия инцидента, лица, виновные ввозникновении инцидента, предложения о наказании виновных лиц и мерах понедопущению подобных инцидентов в будущем.
Раздел XX
Политика кадровой безопасности в ИОГВ Тверской области,
государственных учреждениях, унитарных предприятияхТверской области
145. Обучение сотрудников ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области), имеющихправо доступа к информационной системе, правильному обращению с информацией(базами данных), содержащейся в информационной системе, осуществляетсядолжностным лицом, ответственным за эксплуатацию информационной системы, атакже администратором информационной безопасности и/или сотрудником подразделенияпо информационной безопасности .
146. Обучение вопросам защиты информации должнопредусматривать необходимость сохранения конфиденциальности всей информации,требующей обеспечения конфиденциальности, циркулирующей в информационнойсистеме.
147. Все сотрудники ИОГВ Тверской области(государственного учреждения, унитарного предприятия Тверской области)предупреждаются об условиях конфиденциальности информации о персональных данныхсубъектов персональных данных, содержащихся в информационных системах, способахи методах защиты информационных систем и недопустимости разглашения такойинформации.
Раздел XX I
Политика безопасности при работе с третьими лицами
в ИОГВ Тверской области, государственныхучреждениях,
унитарных предприятиях Тверской области
148. Все действия по техническому обслуживанию,ремонту, установке и замене технических средств информационных систем, прокладкекабеля, переустановке и обновлению программного обеспечения проводятсяисключительно с разрешения руководителя ИОГВ Тверской области (государственногоучреждения, унитарного предприятия Тверской области) в присутствииадминистратора информационной безопасности и/или сотрудника подразделения по информационнойбезопасности .
149. Работы, указанные в пункте 148 настоящегораздела, регистрируются администратором информационной безопасности в журналеучета нештатных ситуаций, выполнения профилактических и ремонтных работ,установки и модификации технических средств и программного обеспечения.
150. При выполнении работ, указанных в пункте 148настоящего раздела, администраторы информационной безопасности и/или сотрудники подразделенияпо информационной безопасности не должны допускать установку поставщиками в информационных системахдополнительного программного обеспечения (бэкдоров) с целью защиты, изменения иобновления своих продуктов.
151. Отчуждаемые носители информации должны пройтиполную очистку (безвозвратное стирание информации) с использованием общего илиспециального программного обеспечения.
Если произвести очистку информации невозможно, тоносители информации должны быть физически уничтожены.
152. Перед передачей оборудования другим предприятиями организациям необходимо удалить с него всю информацию, требующую обеспеченияконфиденциальности.
153. Все работы, указанные в пункте 148 настоящегораздела, проводимые сторонними организациями, осуществляются только наосновании гражданско-правовых договоров, в которых отдельным пунктом должноопределяться обязательство о неразглашении полученной третьими лицамиинформации ограниченного доступа.
Приложение1
кПолитике информационной безопасности исполнительных
органовгосударственной власти Тверской области,
государственныхучреждений Тверской области и унитарных
предприятийТверской области
Переченьинформационных систем
_________________________________________________________________________________________________
наименованиеисполнительного органа государственной власти Тверской области
(государственногоучреждения Тверской области, унитарного предприятия Тверской области)
№ п/п | Наименование информацион- ной системы | Тип информацион- ной системы в зависимости от категории информации | Масштаб информационной системы (федеральный, региональный, объектовый) | Количество пользователей информацион- ной системы | Средства вычислительной техники информационной системы | Должностное лицо, ответственное за эксплуатацию информационной системы | |
коли- чество | №№ паспортов средств вычислительной техники | ||||||
| | | | | | | |
| | | | | | | |
Руководитель _____________________________________________________________________ наименование исполнительного органа государственной власти Тверской области (государственного учреждения Тверской области, унитарного предприятия Тверской области) | ______________________ (подпись) |
Приложение2
кПолитике информационной безопасности исполнительных
органовгосударственной власти Тверской области,
государственныхучреждений Тверской области и унитарных
предприятийТверской области
Переченьданных, подлежащих резервному копированию и хранению
___________________________________________________________________________________________
наименование исполнительногооргана государственной власти Тверской области
(государственного учрежденияТверской области, унитарного предприятия Тверской области)
№ п/п | Наименование данных, подлежащих резервному копированию | Расположение резервной копии | Периодичность копирования | Объем данных, подлежащих резервному копированию (Мбайт) | Срок хранения резервной копии |
| | | | | |
| | | | | |
Руководитель _____________________________________________________________________ наименование исполнительного органа государственной власти Тверской области (государственного учреждения Тверской области, унитарного предприятия Тверской области) | ______________________ (подпись) |
Приложение3
к Политике информационной безопасности
исполнительных органов государственной властиТверской
области, государственных учреждений Тверскойобласти и
унитарных предприятий Тверской области
Расписание резервного копирования
______________________________________________________________________________________________
наименованиеисполнительного органа государственной власти Тверской области
(государственногоучреждения Тверской области, унитарного предприятия Тверской области)
Еженедельное копирование
№ п/п | Ресурс | Понедельник | Вторник | Среда | Четверг | Пятница |
1 | Файловый сервер | Инкрементная копия 1 (23.00) | Инкрементная копия 2 (23.00) | Инкрементная копия 3 (23.00) | Инкрементная копия 4 (23.00) | Полная копия (23.00) |
2 |
|
|
|
|
|
|
Ежемесячное копирование
№ п/п | Ресурс | Пятница первой недели нового месяца |
1 | Файловый сервер | Полная копия последней недели прошедшего месяца (23.00) |
2 |
|
|
Годовое копирование
№ п/п | Ресурс | Пятница первой недели первого месяца нового года |
1 | Файловый сервер | Полная копия последней недели прошедшего месяца (23.00) |
2 |
|
Руководитель __________________________________________________________________ наименование исполнительного органа государственной власти Тверской области (государственного учреждения Тверской области, унитарного предприятия Тверской области) | ______________ (подпись) |
Приложение 4
кПолитике информационной
безопасностиисполнительных органов
государственнойвласти Тверской
области,государственных учреждений
Тверскойобласти и унитарных
предприятийТверской области
Реестр
разрешенного к использованиюпрограммного обеспечения
_______________________________________________________________
наименование исполнительногооргана государственной власти Тверской области
(государственного учреждения Тверской области,унитарного предприятия Тверской области)
период действия с «___»______ 20__ г. по «___»______ 20__ г.
№ п/п | Дата включения в реестр | Производитель программного обеспечения | Название программного обеспечения | Область применения программного обеспечения | Количество лицензий на использование программного обеспечения |
1 | 2 | 3 | 4 | 5 | 6 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Руководитель __________________________________________ наименование исполнительного органа государственной власти Тверской области (государственного учреждения Тверской области, унитарного предприятия Тверской области) | (подпись) |
Приложение 5
кПолитике информационной
безопасностиисполнительных органов
государственнойвласти Тверской
области,государственных учреждений
Тверскойобласти и унитарных
предприятийТверской области
Паспорт средства вычислительной техники
Номер: ________
Наименованиеинформационной системы: __________________________________
_______________________________________________________________________
ЭВМ:
Наименование: |
| Домен: |
|
Модель: |
| Сетевой адрес: |
|
Номер: |
|
|
Периферийноеоборудование:
1. | Наименование: |
| Номер: |
|
Модель: |
| Сетевой адрес: |
| |
2. | Наименование: |
| Номер: |
|
Модель: |
| Сетевой адрес: |
| |
3. | Наименование: |
| Номер: |
|
Модель: |
| Сетевой адрес: |
|
Пользователь:
ФИО: |
| Учетная запись: |
|
Адрес электронной почты: |
| Подразделение: |
|
Группа: |
| Примечание: |
|
Телефон: |
|
|
Системноепрограммное обеспечение:
Название: | Серийный номер: |
|
|
Прикладноепрограммное обеспечение:
Издатель: | Продукт: | Серийный номер: |
|
|
|
Резервноекопирование:
Периодичность | Режим | |
|
| |
| Примечание: | |
Администратор информационной безопасности: |
| |||||
Пользователь: |
| |||||
Приложение 6
кПолитике информационной
безопасностиисполнительных органов
государственнойвласти Тверской
области,государственных учреждений
Тверскойобласти и унитарных
предприятийТверской области
Инструкцияпо еженедельному техническому обслуживанию информационной системы
1. Еженедельное техническое обслуживание технических средствинформационной системы проводится пользователем не реже1 раза в неделю в один и тот же день недели.
2. В ходе еженедельного технического обслуживаниявыполняются следующие виды работ:
а) осмотр состояния кабелей, розеток, разъемов;
б) удаление загрязнений с внешних поверхностейблоков:
клавиатуры;
манипулятора;
монитора;
принтера;
сканера;
других устройств;
в) диагностика технических средств информационной системы , в ходе которой проводятся:
проверка технических средств информационной системына наличие вирусов с помощью средств антивирусной защиты;
резервное копирование данных;
очистка диска от временных и неиспользуемых файлов с помощью встроенных средств или специальногостороннего программного обеспечения;
проверка диска на наличие ошибок;
дефрагментация диска;
проверка работоспособности клавиш клавиатуры иманипулятора;
пробная печать на принтере (при необходимости);
проверка работоспособности сетевого подключения.
3. Для удаления загрязнений в виде пыли спластмассовых и металлических поверхностей технических средств используется ткань или специальные салфетки. С поверхности мониторажирные пятна удаляются специальными салфетками. Въевшиеся отложения спластмассовых поверхностей удаляются мыльным раствором (при очистке клавишнеобходимо исключить попадание водного раствора вовнутрь клавиатуры иманипулятора). Запрещается использовать для очистки мониторов с антибликовымипокрытиями любые растворы.
4. Перед удалением загрязнений с техническихсредств информационной системы их необходимо выключить.
5. При обнаружении повреждений электрическихрозеток, кабелей, в том числе заземления, необходимо срочно вызвать электрика.
6. При проведении технического обслуживаниязапрещается:
а) использовать для очистки жесткие предметы(авторучки, карандаши, ножи, линейки и др.);
б) подключать и отключать технические средстваинформационной системы при включенном электропитании;
в) снимать (открывать) крышки системных блоков.
7. При выявлении неисправностей технических средствинформационной системы , или программного обеспеченияпользователь информационной системы должен немедленно обратиться кадминистратору информационной безопасности.
Приложение 7
к Политике информационнойбезопасности
исполнительных органовгосударственной власти Тверской
области, государственныхучреждений Тверской области и
унитарных предприятий Тверскойобласти
Журнал учета нештатных ситуаций, выполненияпрофилактических и ремонтных работ, установки
и модификации технических средств и программногообеспечения
______________________________________________________________________________________________________________________________________
наименование исполнительного органагосударственной власти Тверской области
(государственного учрежденияТверской области, унитарного предприятия Тверской области)
№ п/п | Дата | № технического средства | Краткое описание выполненной работы, нештатной ситуации | Наименование организации, выполнявшей работы, Ф.И.О. исполнителей и их подписи | Ф.И.О., подпись ответственного пользователя технического средства | Ф.И.О., подпись администратора информационной безопасности | Примечание (реквизиты и краткое содержание заявки) |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| | | | | | | |
| | | | | | | |