Регламент информационной безопасности МАОУДОД «СДЮШОР по ЗВС» 1. Введение Необходимость регламента информационной безопасности МАОУДОД «СДЮШОР по ЗВС» обусловлена высоким уровнем компьютеризации учреждения, создания и хранения информации в электронном виде, широким использованием средств электронной коммуникации и информационных каналов, а также Согласно принятому в июле 2006 г. Федеральному закону N149-ФЗ «Об информации, информационных технологиях и защите информации», одной из задач, которая должна быть решена для обеспечения безопасности информационных систем, является «предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации». 2. Цель данного регламента Цель данного регламента – обеспечение нормального производственного процесса с использованием компьютерной техники при условии обеспечения безопасности хранения и использования информации, обеспечение максимально возможного уровня защиты (на программном и аппаратном уровне) от неквалифицированных или неумышленных действий пользователей, способных привести к потере информации, выходу из строя оборудования, нарушения работы сети и т.п. В данный регламент входит установление стандартов для: - ПК учреждения, в том числе: - операционной системы - программного обеспечения, - аппаратной архитектуры - обеспечения защиты от вирусных атак - предоставления учетной записи, по которой могут быть предоставлены разрешения и права для работы на компьютере, а также разрешения и права доступа к сетевым ресурсам - хранения информации на локальных дисках ПК общества - хранения информации на сетевых ресурсах общества - работы с информационным ресурсом «Интернет» - работы с почтовым ресурсом 3. Область применения Данный регламент применяется ко всем сотрудникам, имеющим любую форму доступа к любым электронным информационным ресурсам учреждения. 4. Регламент 4.1 Учетная запись. Учетная запись формируется при подготовке персонального компьютера к работе. Предусмотрено 2 типа основных учетных записей. Тип 1: учетная запись локального Администратора системы. Предназначена для настройки, конфигурации и сопровождения системы с правами администратора. Тип 2: учетная запись Пользователя системы. Предназначена для нормальной работы пользователя на ПК, имеет ограничения в части управления, настройки и изменения операционной системы, установки удаления программ, использования определенных интерфейсов. Наименование учетной записи Тип 2 и ее пароль передается пользователю ПК в момент передачи в эксплуатацию. Пользователь вправе потребовать изменение пароля к его учетной записи в процессе эксплуатации ПК при обращении к системному администратору. При применении специальных программ, использующих собственную систему предоставления доступа, дополнительно предусматривается аналогичные Типу 2 учетные записи, независимых от основных учетных записей. Действия несанкционированного использования учетных записей и их паролей, а равно действия, направленные на несанкционированное получение учетных записей и их паролей, несанкционированная передача сторонним лицам, приравниваются к нарушению регламента информационной безопасности. 4.2 Хранение информации на локальных дисках ПК На локальных жестких дисках персональных компьютеров разрешается хранить информацию в виде файлов и/или программных продуктов, необходимую для выполнения должностных обязанностей пользователем ПК и не представляющую угрозу для нормального функционирования ПК в соответствии с п. «Персональные компьютеры учреждения» и п. «Учетные записи». Любая информация в виде файлов и/или программных продуктов, затрудняющая нормальную работу ПК, может быть идентифицирована как представляющая угрозу, закрыта для доступа и удалена За сохранность информации на локальных дисках несет ответственность пользователь (пользователи) соответствующего ПК. 4.3 Работа с информационным ресурсом «Интернет» Информационный ресурс «Интернет» является одним из сетевых ресурсов. В связи со спецификой его работы на данный ресурс налагаются дополнительные правила и ограничения работы. Информационный ресурс «Интернет» предоставлен провайдером услуг Интернет в соответствии с договором. В связи с этим: - предоставление ресурса осуществляется по специальному списку на существующие учетные записи. - необходимость в предоставлении информационного ресурса «Интернет» определяет руководитель структурного подразделения. - предоставление информационного ресурса «Интернет» на определенную учетную запись, и программно осуществляется непрерывная запись в специальный лог-файл отметок о работе каждой учетной записи с информационным ресурсом «Интернет». Использование данного сетевого ресурса в непроизводственных целях не допускается. Использование данного сетевого ресурса для несанкционированной передачи коммерческой информации не допускается. Предоставление доступа к информационному ресурсу «Интернет» каждой учетной записи может быть прекращено в любой момент в случае угрозы нарушения безопасности и раскрытия коммерческой тайны. Предоставление доступа к информационному ресурсу «Интернет» каждой учетной записи может быть прекращено в любой момент в случаях зафиксированного использования ресурса в непроизводственных целях и при несанкционированной передаче коммерческой информации. 4.4 Работа с почтовым ресурсом Почтовый ресурс является одним из сетевых ресурсов. В связи со спецификой его работы на данный ресурс налагаются дополнительные правила и ограничения. В настоящий момент почтовый ресурс состоит из почтового ресурса, ограниченного информационным пространством учреждения и почтового ресурса, имеющего выход в сеть Интернет и использующего в своей работе информационный ресурс «Интернет». Почтовый ресурс МАОУДОД «СДЮШОР по ЗВС» предоставляется каждой учетной записи при работе в сети учреждения. Во избежание перегрузки серверов и падения скорости работы сети, для поддержания нормальной работы программного обеспечения для всех пользователей почтовой системы учреждения действуют следующие ограничения,: - ограничение работы почтового ящика (запрет отправки и получения любых сообщений) - при достижении общего объема почтового ящика в 200 мегабайт. - максимальный размер одного входящего письма - 15 мегабайт. - максимальный размер одного исходящего письма - 15 мегабайт. - максимальное количество вложений в одном письме – 10 вложений. Во избежание ситуации запрета отправки и получения сообщений рекомендуется периодически очищать все папки соответствующего почтового ящика, с переносом необходимой информации на локальный жесткий диск. Почтовый ресурс, имеющий выход в сеть Интернет, в своей работе использует информационный ресурс «Интернет». В связи с этим: - почтовый, имеющий выход в сеть Интернет, предоставляется к учетной записи при работе в сети учреждения по специальному списку. - необходимость в предоставлении почтового ресурса, имеющего выход в сеть Интернет, определяет руководитель структурного подразделения. Использование данного сетевого ресурса в непроизводственных целях не допускается. Использование данного сетевого ресурса для несанкционированной передачи коммерческой информации не допускается. Предоставление почтового ресурса Интернет к каждой учетной записи может быть прекращено в любой момент в случаях зафиксированного использования ресурса в непроизводственных целях и несанкционированной передачи коммерческой информации, Обмен информацией с адресатами электронной почты интернет предусмотрен через официальный ящик электронной почты учреждения - mail@zvs-nv.ru. В связи с особенностями работы сети Интернет и почтовыми серверами, использующими сеть Интернет, возможность доставки – получения корреспонденции может быть не в компетенции администраторов ЛВС. 4.5 Антивирусная защита. Антивирусная программная защита предусматривается индивидуально на все ПК, имеющие возможность непосредственно принимать информацию со следующих типов носителей: Антивирусная программная защита предусматривается на все серверы общества, работающие с обменом информацией на файловом уровне, почтовом сервере, сервере предоставления доступа к сети Интернет. Любые действия с носителем не прошедшим антивирусную проверку не допускаются, и их последствия могут быть расценены как преднамеренные действия по выводу из строя оборудования, программ, нарушению функционирования сети. 5. Ответственность Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления, несет ответственность в соответствии с законодательством Российской Федерации, в том числе увольнение по ст. 81 п. «в» «разглашение охраняемой законом тайны, государственной, коммерческой, служебной и иной, ставшей известной работнику в связи с исполнением трудовых обязанностей, в том числе разглашение персональных данных другого работника». Ответственность работника, прекратившего трудовые отношения с работодателем, определяется действующим гражданским законодательством РФ. Если в результате разглашения работником, прекратившим трудовые отношения с работодателем, сведений, относящихся к коммерческой тайне, учреждению был причинён ущерб, то работодатель имеет право взыскать с бывшего работника сумму ущерба в полном объёме, в порядке, предусмотренном действующим гражданским законодательством РФ.