Законы и бизнес в России

Постановление Губернатора Хабаровского края от 05.03.2002 N 131 (ред. от 11.09.2009) “О сохранности и защите электронных информационных ресурсов“

ГУБЕРНАТОР ХАБАРОВСКОГО КРАЯ

ПОСТАНОВЛЕНИЕ

от 05 марта 2002 г. N 131

О СОХРАННОСТИ И ЗАЩИТЕ

ЭЛЕКТРОННЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ

(в ред. постановлений Губернатора Хабаровского края

от 10.12.2003 N 310, от 11.09.2009 N 130)

В целях определения единых требований для проведения организационно-технических мероприятий по обеспечению сохранности и защите конфиденциальных и открытых информационных ресурсов, обрабатываемых на персональных компьютерах, постановляю:

1. Утвердить прилагаемое Положение по обеспечению сохранности и защите электронных информационных ресурсов в органах исполнительной власти Хабаровского края.

(п. 1 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

2 - 3. Утратили силу. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.


4. Признать утратившим силу постановление главы администрации края от 13 января 1999 г. N 18 “О мерах по обеспечению сохранности и защите электронных информационных ресурсов“.

5. Методическое руководство и контроль за выполнением настоящего постановления возложить на заместителя Председателя Правительства края - руководителя аппарата Губернатора и Правительства края Кондратова Г.А.

(п. 5 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

6. Утратил силу. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

Губернатор края


В.И.Ишаев

УТВЕРЖДЕНО

Постановление

Губернатора края

от 05 марта 2002 г. N 131


ПОЛОЖЕНИЕ

ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ И ЗАЩИТЕ ЭЛЕКТРОННЫХ

ИНФОРМАЦИОННЫХ РЕСУРСОВ В ОРГАНАХ ИСПОЛНИТЕЛЬНОЙ

ВЛАСТИ ХАБАРОВСКОГО КРАЯ

(в ред. постановлений Губернатора Хабаровского края


от 10.12.2003 N 310, от 11.09.2009 N 130)

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации“, Доктриной информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 09 сентября 2000 г. N Пр-1895, другими нормативными и методическими документами в области использования и защиты информационных ресурсов.

(п. 1.1 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

1.2. Положение предназначено для государственных гражданских служащих органов исполнительной власти Хабаровского края (далее - край), выполнение должностных обязанностей которых связано с использованием персональных компьютеров, и определяет их полномочия, обязанности и ответственность по обеспечению сохранности и защите электронных информационных ресурсов, не содержащих сведения ограниченного доступа.


Защита электронных информационных ресурсов, содержащих сведения ограниченного доступа, обеспечивается в соответствии с действующими нормативными и методическими документами в области защиты информации ограниченного доступа.

(п. 1.2 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

1.3. Положение является обязательным для выполнения всеми государственными гражданскими служащими органов исполнительной власти края в части, их касающейся.

(п. 1.3 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

1.4. В Положении используются следующие сокращения и основные понятия:

- ПК - персональный компьютер (сервер, рабочая станция, другие специализированные компьютеры на любых аппаратно-программных платформах);

- ЛВС - локальная вычислительная сеть или аналогичная информационная система любого уровня сложности и назначения;

- локальный ПК - персональный компьютер, работающий вне локальной вычислительной сети;

- электронные информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов, базы данных, другие виды информационного обеспечения в информационных системах, использующих ПК (далее - информационные ресурсы);

- абзацы шестой - седьмой исключены. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130;


- пользователь - государственный гражданский служащий органа исполнительной власти края, вне зависимости от замещаемой им государственной должности государственной службы, выполнение должностных обязанностей которого связано с обработкой информации на ПК;

(в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

- администратор - государственный гражданский служащий органа исполнительной власти края, ответственный за выполнение требований по обеспечению сохранности и защите информационных ресурсов локальных ПК и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС другого структурного подразделения (в собственности которого находится сервер ЛВС), и (или) ПК, объединенных в ЛВС информационного или структурного подразделения на базе собственного сервера этой ЛВС;

(в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

- сохранность информационных ресурсов - способность локального ПК или ЛВС обеспечивать неизменность информационных ресурсов в условиях случайного и (или) преднамеренного искажения, разрушения, удаления, копирования, несанкционированного доступа, других аналогичных действий;

- защита информационных ресурсов - организационные, правовые, технические и технологические меры по предотвращению угроз информационной безопасности и устранению их последствий;

- обработка информационных ресурсов - сбор, подготовка, ввод, накопление, хранение, преобразование, вывод, отображение информационных ресурсов;

- несанкционированный доступ - доступ к информационным ресурсам, нарушающий правила разграничения доступа с использованием любых средств, предоставляемых ПК или ЛВС.

1.5. Администратор назначается приказом (распоряжением) руководителя органа исполнительной власти края.

(п. 1.5 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

1.6. Руководители подразделений, пользователи и администраторы обязаны знать и выполнять нормативные правовые акты, затрагивающие вопросы информатизации, защиты информации и информационной безопасности в части соблюдения требований и ограничений по использованию и защите электронных информационных ресурсов.

1.7. Руководители подразделений, пользователи и администраторы несут персональную ответственность за полноту и своевременность выполнения требований настоящего Положения. За нарушение требований настоящего Положения они могут быть привлечены к ответственности, предусмотренной законодательством.

(п. 1.7 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

1.8. Методическое руководство работой администраторов осуществляет управление информационных технологий Губернатора и Правительства края.

(п. 1.8 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

1.9. Настоящее Положение может уточняться и дополняться в установленном порядке.

2. Требования к пользователю

2.1. Данный раздел отражает полномочия и функциональные обязанности пользователя локального ПК или ПК в составе ЛВС.

2.2. Пользователь обязан знать администратора, обращаться к нему по вопросам использования аппаратно-программного обеспечения своего ПК, выполнять его устные распоряжения или письменные указания в соответствии с настоящим Положением.

2.3. Пользователь обязан уметь правильно использовать то аппаратно-программное обеспечение, которое установлено на его ПК, включая средства защиты информационных ресурсов.

2.4. Пользователю запрещается самостоятельно устанавливать новое или модифицировать имеющееся прикладное, операционное, сетевое и другие виды программного обеспечения, если эта работа не входит в его должностные обязанности. Необходимость замены (модификации, новой установки и т.п.) программного обеспечения определяется руководителем информационного подразделения и (или) администратором и проводится ими самостоятельно или с привлечением работников информационного подразделения по указанию его руководителя.

2.5. Для исключения или существенного затруднения несанкционированного доступа к информационным ресурсам загрузка операционной системы на ПК пользователя может осуществляться посредством использования пароля. В таком случае пользователь обязан сообщить установленный им пароль своему непосредственному руководителю и администратору.

Пользователю запрещается записывать пароли на любой носитель информации, если доступ к нему других лиц невозможно проконтролировать.

Пользователю запрещается передавать используемые им пароли другому лицу, если у последнего нет на то полномочий, определенных его должностными обязанностями или другими распорядительными, предписывающими документами.

2.6. Пользователь обязан корректно задавать свой идентификатор в ЛВС и пароли, не пытаться работать от имени другого пользователя, не пытаться осуществлять несанкционированный доступ к информационным ресурсам, ему не предназначенным, не предпринимать других действий, приводящих к незаконному просмотру, копированию, модификации или удалению информационных ресурсов.

2.7. Пользователь обязан определить (самостоятельно или с помощью администратора) информационные ресурсы, функционально им используемые или актуализируемые, требующие регулярного резервного сохранения (архивирования). Конкретный вид, периодичность и порядок архивирования определяется пользователем самостоятельно или с помощью администратора.

Ответственность за проведение архивирования информационных ресурсов, расположенных на ПК, возлагается на пользователя этого ПК.

Абзац исключен. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

Пользователю рекомендуется также убедиться в возможности восстановления информационных ресурсов с архивных копий.

2.8. Пользователь обязан знать и уметь пользоваться тем антивирусным программным обеспечением, которое находится на его ПК. Перед проведением любых операций с внешним носителем информации (дискета, компакт-диск, винчестер и т.п.) - считывание, запись, модификация, удаление информации и т.д. - пользователь обязан произвести антивирусную проверку внешнего носителя информации. Антивирусная проверка также проводится пользователем при получении файлов электронной почты.

Абзац исключен. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

В случае невозможности излечения (очистки) внешнего носителя информации или файлов электронной почты от вируса пользователь ставит об этом в известность администратора, который производит соответствующие данной ситуации действия.

Пользователю категорически запрещается производить какие-либо действия с информацией зараженного вирусом внешнего носителя или файлами электронной почты.

2.9. Пользователям рекомендуется осуществлять обмен данными, расположенными на ПК или на сервере ЛВС, используя сетевые средства обмена информацией, а не внешние носители информации.

2.10. Пользователь обязан использовать предоставленное ему дисковое пространство сервера ЛВС только для хранения информационных ресурсов, необходимых для осуществления своих должностных обязанностей.

2.11. Пользователь обязан информировать администратора и своего непосредственного руководителя о любых нарушениях сохранности информационных ресурсов в соответствии с настоящим Положением, другими нормативными правовыми документами или возникшими нештатными ситуациями, а также о возможности появления таких нарушений, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС в целом.

3. Требования к администратору

3.1. Данный раздел отражает полномочия и функциональные обязанности администратора, в части его касающейся, в зависимости от наличия в структурном подразделении только локальных ПК и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС другого структурного подразделения (в собственности которого находится сервер ЛВС), и (или) ПК, объединенных в ЛВС информационного или структурного подразделения администратора на базе собственного сервера этой ЛВС.

Следует различать два вида администраторов: администратор информационных ресурсов и администратор ЛВС.

Администратор информационных ресурсов структурного подразделения несет ответственность за выполнение требований по обеспечению сохранности и защите информационных ресурсов локальных ПК, и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС другого структурного подразделения (в собственности которого находится сервер ЛВС).

Администратор ЛВС структурного подразделения несет ответственность как за выполнение требований по обеспечению сохранности и защите информационных ресурсов всех ПК своего структурного подразделения (локальных и объединенных в ЛВС), так и собственно за администрирование ЛВС своего структурного подразделения, имеющего сервер ЛВС.

Администратор ЛВС является главным по отношению к администратору информационных ресурсов. Все его требования и указания являются обязательными для выполнения администратором информационных ресурсов. Администратор ЛВС по согласованию с руководителем своего структурного подразделения может делегировать часть своих полномочий по администрированию ЛВС администратору информационных ресурсов.

При наличии в структурном подразделении ЛВС на базе собственного сервера ЛВС назначается только администратор ЛВС структурного подразделения без назначения администратора информационных ресурсов этого подразделения.

Примечание.

В настоящем Положении под термином “администратор“ следует понимать как “администратор ЛВС“, так и “администратор информационных ресурсов“, в зависимости от контекста и полномочий, возлагаемых на администратора, по выполнению требований организационно-технических мероприятий согласно данному пункту настоящего Положения.

3.2. Администратором назначается один из работников информационного подразделения, на которого возлагаются дополнительные полномочия и обязанности по обеспечению сохранности и защите информационных ресурсов в соответствии с его должностной инструкцией и настоящим Положением. В зависимости от количества ПК и (или) объемов (сегментов) и типа ЛВС могут быть назначены несколько администраторов.

При отсутствии в составе структурного подразделения информационного подразделения или обслуживающего его информационного подразделения администратором назначается один из наиболее квалифицированных работников в области использования (эксплуатации) ПК.

Администратор может часть своих функций и полномочий, отраженных в настоящем Положении, возложить на других работников информационного подразделения с согласия его руководителя.

3.3. К администратору предъявляются те же требования, что и к пользователю в соответствии с настоящим Положением.

3.4. Администратор оказывает методическую помощь пользователям по вопросам, входящим в его компетенцию, в соответствии с настоящим Положением. Устные или письменные указания администратора, не противоречащие его должностной инструкции и требованиям настоящего Положения, являются обязательными для исполнения пользователями.

3.5. Администратор определяет необходимость источника бесперебойного питания для локального ПК и (или) ПК в составе ЛВС. Наличие источника бесперебойного питания для серверов ЛВС является обязательным.

3.6. Администратор определяет необходимость замены (модификации, новой установки и т.п.) прикладного, операционного, сетевого и других видов программного обеспечения и проводит ее самостоятельно или с привлечением работников информационного подразделения, в функциональные обязанности которых входит данная работа.

3.7. Для уменьшения вероятности получения ущерба от случайных или преднамеренных действий пользователей администратор обязан определить и предоставить пользователям ЛВС только те права доступа к информационным ресурсам, которые необходимы им для выполнения своих должностных обязанностей.

3.8. Для исключения или существенного затруднения несанкционированного доступа к информационным ресурсам администратор может по своему усмотрению или по желанию пользователя обеспечить загрузку операционной системы на ПК пользователя посредством использования пароля.

Пароль не должен состоять из простых общеизвестных слов, имен, фамилий и т.п. Желательно использование в пароле цифр, символов пунктуации, других редко используемых символов. Длина пароля не должна быть меньше шести символов. Периодичность смены пароля определяется администратором и (или) руководителем подразделения пользователя. Запрещается назначение одного и того же пароля или его несущественных модификаций на разных ПК.

(в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

Администратору запрещается передавать список паролей или каждый в отдельности другому лицу, если у последнего нет на то полномочий, определенных его должностными обязанностями или другими распорядительными, предписывающими документами.

3.9. При назначении пароля каждому пользователю для его регистрации вхождения в ЛВС и соблюдении мер по его неразглашению администратор должен руководствоваться правилом, изложенным в пункте 3.8 настоящего Положения.

Запрещается использование одного и того же пароля для загрузки операционной системы на ПК пользователя и для регистрации вхождения последнего в ЛВС.

3.10. При увольнении пользователя администратор обязан сменить пароль загрузки операционной системы в используемом этим пользователем ПК, удалить идентификатор пользователя в ЛВС, сменить криптографические ключи, если пользователем использовались средства шифрования информации, провести другие аналогичные организационно-технические мероприятия, уменьшающие возможность несанкционированного доступа к информационным ресурсам.

Не допускается назначение идентификатора уволившегося пользователя новому (другому) пользователю ЛВС.

3.11. Администратор обязан совместно с руководителем подразделения пользователя определить информационные ресурсы общего пользования, требующие регулярного резервного сохранения (архивирования), и принять меры для обеспечения данного архивирования пользователями и (или) проводить эту процедуру самостоятельно. Администратор также при необходимости, совместно с пользователем, определяет периодичность (составляет график) архивирования соответствующих информационных ресурсов.

Абзац исключен. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

Администратору рекомендуется также убедиться в возможности восстановления информационных ресурсов с архивных копий.

3.12. Для предотвращения программно-математических воздействий (вирусов), вызывающих модификацию, разрушение, удаление информационных ресурсов и (или) сбои в работе ПК и (или) ЛВС в целом, администратор обязан предусмотреть наличие антивирусного программного обеспечения на локальном ПК, на ПК в составе ЛВС и на сервере ЛВС. Конкретный вид антивирусного программного обеспечения зависит как от технических характеристик ПК, так и от используемого операционного и (или) сетевого программного обеспечения и определяется администратором.

Администратор обязан предусмотреть возможность обновления (получения новых версий) антивирусного программного обеспечения.

Администратор обязан настроить интерфейс ПК пользователя таким образом, чтобы последний в удобной форме смог произвести антивирусную проверку любого внешнего носителя информации (дискета, компакт-диск, винчестер и т.п.), а также файлов электронной почты.

Абзац исключен. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

3.13. Администратор обязан предусмотреть выделение необходимых сетевых ресурсов, доступных всем пользователям ЛВС, для ограничения обмена данными посредством внешнего носителя информации между пользователями ЛВС.

3.14. Исключен. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

3.15. Администратор обязан анализировать регистрационную информацию, относящуюся к функционированию ЛВС, на предмет отслеживания попыток несанкционированного доступа к информационным ресурсам, других действий пользователей, которые могут привести к модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС, если это позволяет сетевое операционное программное обеспечение.

Перечень регистрационных показателей, фиксирующих действительное состояние ЛВС и (или) любые ненормальные ситуации в ее работе, зависит от конкретного вида сетевого операционного программного обеспечения.

Абзац исключен. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

Необходимость применения дополнительных систем управления информационными ресурсами, контроля, защищенности, разграничения доступа и других средств мониторинга, защиты информации и безопасности функционирования ЛВС (сетевых анализаторов, сканеров безопасности, межсетевых экранов, драйверов сетевой защиты, различных фильтров и т.п.) определяется администратором.

3.16. Администратор должен знать и правильно использовать те аппаратно-программные средства защиты информационных ресурсов, которые установлены на ПК и (или) ЛВС и обеспечивать сохранность информационных ресурсов посредством этих средств.

3.17. Администратор обязан иметь структурную схему ЛВС с указанием схемы соединения всех входящих в нее средств обработки информации: серверов, ПК, коммутаторов, модемов, сетевых принтеров, других аналогичных конструктивных элементов ЛВС с указанием мест их расположения.

(п. 3.17 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

3.18. Администратор обязан информировать своего непосредственного начальника о любых нарушениях требований по обеспечению сохранности и защите информационных ресурсов, а также о возможности появления таких нарушений, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС.

(п. 3.18 в ред. постановления Губернатора Хабаровского края от 11.09.2009 N 130)

3.19. Исключен. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

3.20. Подключение ПК к сети Интернет может осуществляться только через соединение, защищенное сертифицированными по требованиям безопасности информации средствами межсетевого экранирования.

(п. 3.20 введен постановлением Губернатора Хабаровского края от 11.09.2009 N 130)

4. Общие требования по защите электронных

информационных ресурсов

Исключен. - Постановление Губернатора Хабаровского края от 11.09.2009 N 130.

Приложение

к Положению

по обеспечению сохранности

и защите электронных

информационных ресурсов

в структурных подразделениях

Правительства Хабаровского края

Форма 1

--------------T--------------T-------------T-------------T-------¬

¦ Дата ¦Информационный¦ Вид и место ¦ Ф.И.О. ¦Подпись¦

¦ проведения ¦ресурс (банки ¦архивирования¦ сотрудника, ¦ ¦

¦архивирования¦ данных, ¦ ¦проводившего ¦ ¦

¦ ¦ электронные ¦ ¦архивирование¦ ¦

¦ ¦ таблицы, ¦ ¦ ¦ ¦

¦ ¦тексты и т.п.)¦ ¦ ¦ ¦

L-------------+--------------+-------------+-------------+--------

Форма 2

-----T---------------T---------------T------------T--------------¬

¦ N ¦ Тип внешнего ¦ Откуда ¦ Дата ¦ Примечание ¦

¦п/п ¦ носителя ¦ получено ¦ проведения ¦ ¦

¦ ¦ информации ¦ ¦антивирусной¦ ¦

¦ ¦ или файлы ¦ ¦ проверки ¦ ¦

¦ ¦ электронной ¦ ¦ ¦ ¦

¦ ¦ почты ¦ ¦ ¦ ¦

L----+---------------+---------------+------------+---------------

Форма 3

-------------T--------------T----------T-------------T-----------¬

¦ Тип ПК, ¦ Антивирусная ¦ Дата ¦ Должность, ¦Примечание ¦

¦инвентарный ¦ проверка ¦проведения¦ Ф.И.О. ¦(результат ¦

¦ номер ¦(указать каким¦ проверки ¦ сотрудника, ¦ проверки, ¦

¦ ¦ средством, ¦ ¦проводившего ¦ выводы, ¦

¦ ¦ версия) или ¦ ¦ проверку ¦ действия ¦

¦ ¦ проверка ¦ ¦ ¦ и т.д.) ¦

¦ ¦ целостности ¦ ¦ ¦ ¦

¦ ¦(указать каким¦ ¦ ¦ ¦

¦ ¦ средством) ¦ ¦ ¦ ¦

L------------+--------------+----------+-------------+------------