Размер:
AAA
Кернинг:
AAAAAA
Цвет: CCC
Изображения Вкл.Выкл.
Обычная версия сайта
Войти
Поиск
Я Курган

Постановление Администрации города Кургана от 15.06.2018 № 3758 Об утверждении Политики информационной безопасности Администрации города Кургана


Тема:  120.070.000 Информационная безопасность. Защита информации и Прав субъектов в области информационных процессов и информатизации
Тип:  ПОСТАНОВЛЕНИЕ АДМИНИСТРАЦИЯ ГОРОДА КУРГАНА
Подготовлен в подразделении:  АГ ПРАВОВОЕ УПРАВЛЕНИЕ
Номер:  3758
Дата:  15.06.2018
Статус:  Действует
Дата публикации на сайте: 15.06.2018
Вносились изменения:
ПОСТАНОВЛЕНИЕ Администрация города Кургана от 31.01.2020 N 493 О внесении изменений в постановление Администрации города Кургана от 15.06.2018 г. № 3758 «Об утверждении Политики информационной безопасности Администрации города Кургана»

Скачать документ в формате Microsoft Word (страниц: 20, размер: 168.50 KB)

Российская Федерация

Курганская область

АДМИНИСТРАЦИЯ ГОРОДА КУРГАНА

от «_15_»_________июня 2018_________ г. N__3758___

Курган

ПОСТАНОВЛЕНИЕ

Об утверждении Политики информационной безопасности Администрации города Кургана

В соответствии с Федеральными законами от 06.10.2003 г. № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Уставом муниципального образования города Кургана Администрация города Кургана постановляет:

1. Утвердить Политику информационной безопасности Администрации города Кургана согласно приложению к настоящему постановлению.

2. Контроль за выполнением настоящего постановления возложить на первого заместителя Руководителя Администрации города Кургана Жижина А.В.

Руководитель Администрации

города Кургана

А.Ю. Потапов

Скворчевский С.Б.

42-88-24, доб. 275

Приложение

к постановлению Администрации города Кургана

от _15.06.2018_ г. № _3758_

«Об утверждении Политики информационной безопасности Администрации города Кургана»

ПОЛИТИКА

информационной безопасности Администрации города Кургана

РАЗДЕЛ I. ОБЩИЕ ПОЛОЖЕНИЯ

  1. Настоящая Политика информационной безопасности Администрации города Кургана (далее - Политика ИБ) разработана в целях установления безопасных способов обработки информации в электронном виде, в том числе в информационных системах (сайтах) Администрации города Кургана (далее - информационная система).

  2. Настоящая Политика ИБ определяет в Администрации города Кургана цели и задачи защиты информации, устанавливает методы защиты информации, которыми должны руководствоваться муниципальные служащие Администрации города Кургана, иные работники Администрации города Кургана, замещающие должности, не отнесенные к должностям муниципальной службы (далее - служащие), при обработке информации в электронном виде, в том числе в информационных системах, ответственность служащих за нарушение требований настоящей Политики ИБ.

  3. Действие настоящей Политики ИБ не применяется к отношениям, связанным с обеспечением безопасности информации, составляющей государственную тайну.

  4. Настоящая Политика ИБ применима ко всем техническим средствам (серверам, периферийному оборудованию, автоматизированным рабочим местам (далее - АРМ) и так далее), установленным в органах, структурных подразделениях Администрации города Кургана, ко всем процессам обработки информации с использованием указанных технических средств, кроме технических средств, на которых обрабатывается информация, составляющая государственную тайну (далее - объекты защиты).

  5. Действие настоящей Политики ИБ распространяется на все органы и структурные подразделения Администрации города Кургана.

  6. При осуществлении санкционированного доступа к информационным ресурсам Администрации города Кургана органами государственной власти, иными органами местного самоуправления, государственными, муниципальными учреждениями требования по безопасности информации устанавливаются в соглашении об информационном взаимодействии.

  7. Политика ИБ разработана с учетом требований нормативных правовых актов Российской Федерации, нормативных и методических документов, а также национальных стандартов, действующих в области обеспечения информационной безопасности:

    1. Конституция Российской Федерации;

    2. Гражданский кодекс Российской Федерации;

    3. Уголовный кодекс Российской Федерации;

    4. Кодекс Российской Федерации об административных правонарушениях;

    5. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    6. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

    7. Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 05.12.2016 г. № 646;

    8. Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 06.03.1997 г. № 188;

    9. Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерациипри использовании информационно-телекоммуникационных сетей международного информационного обмена»;

    10. Указ Президента Российской Федерации от 03.04.1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;

    11. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119;

    12. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687;

    13. Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденный Постановлением Правительства Российской Федерации от 21.03.2012 г. № 211;

    14. Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденные Постановление Правительства Российской Федерации от 06.07.2015 г. № 676;

    15. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17;

    16. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 г. № 21;

    17. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ России от 10.07.2014 г. № 378;

    18. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденное приказом ФСБ России от 09.02.2005 г. № 66;

    19. Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13.06.2001 г. № 152;

    20. Методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11.02.2014 г.;

    21. ГОСT P 50922-2006 Основные термины и определения;

    22. ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;

    23. ГОСТ 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении;

    24. ГОСT P 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;

    25. ГОСТ Р ИСО МЭК 17799 - 2005 «Информационная технология. Практические правила управления информационной безопасностью»;

    26. ГОСТ Р ISO/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

РАЗДЕЛ II. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

  1. В настоящей Политике ИБ используются следующие термины и определения:

    1. доступность информации - состояние информации, при котором субъекты, имеющие права доступа, могут реализовать ее беспрепятственно;

    2. защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

    3. информация - сведения (сообщения, данные) независимо от формы их представления;

    4. информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

    5. информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах: библиотеках, архивах, фондах, банках данных, других видах информационных систем;

    6. конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

    7. компьютерный инцидент - факт нарушения или прекращения функционирования объекта информационной инфраструктуры Российской Федерации и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой;

    8. несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;

    9. обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

    10. объект защиты информации - информация, носитель информации или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации;

    11. обеспечение информационной безопасности - осуществление взаимоувязанных правовых, организационных, научно-технических, информационно-аналитических, кадровых и иных мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления;

    12. политика безопасности (информации в организации) - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности;

    13. средство защиты информации - техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные для обеспечения защиты информации;

    14. угроза (безопасности информации) - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушение безопасности информации;

    15. уязвимость (информационной системы) - свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации;

    16. целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

    17. вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения;

    18. вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных;

    19. оператор информационной системы Администрации города Кургана (далее - оператор информационной системы) - орган или структурное подразделение Администрации города Кургана, определяющий цели и порядок эксплуатации информационной системы;

    20. пароль - конфиденциальная последовательность символов, связанная с субъектом и известная только ему, позволяющая его аутентифицировать, то есть подтвердить соответствие реальной сущности субъекта предъявляемому им при входе идентификатору;

    21. профиль - набор установок и конфигураций, специфичный для данного субъекта или объекта и определяющий его работу в информационной системе;

    22. системный администратор - лицо, обеспечивающее выполнение функций по обеспечению работы компьютерной техники, сети и программного обеспечения в органе или структурном подразделении Администрации города Кургана. Для органов и структурных подразделений Администрации города Кургана функции системных администраторов выполняют специалисты управления информационных технологий Администрации города Кургана (далее - УИТ);

    23. угроза безопасности информации - потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации, а также неправомерному тиражированию, которое наносит ущерб собственнику, владельцу или пользователю информации;

    24. уязвимость - свойство информационной системы, обусловливающее возможность реализации угроз безопасности, обрабатываемой в ней информации;

    25. целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими санкционированное право на изменение информации.

  2. Иные термины используются в значениях, установленных федеральными законами от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 10 сентября 2007 г. № 575 «Об утверждении Правил оказания телематических услуг связи».

РАЗДЕЛ III. ЦЕЛИ И ЗАДАЧИ ЗАЩИТЫ ИНФОРМАЦИИ В АДМИНИСТРАЦИИ ГОРОДА КУРГАНА, ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

  1. Обеспечение информационной безопасности в Администрации города Кургана (защита информации) - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и (или) непреднамеренных воздействий на защищаемую информацию, ее носители, процессы обработки.

  2. Защищаемой информацией в Администрации города Кургана является вся информация, обрабатываемая в Администрации города Кургана (органах и структурных подразделениях Администрации города Кургана) (далее - информация), независимо от ее местонахождения в информационной среде.

  3. В Администрации города Кургана обрабатывается информация различных уровней конфиденциальности:

    1. общедоступная (открытая) информация, для которой требуется обеспечение доступности и целостности;

    2. информация ограниченного распространения, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации (далее - конфиденциальная информация), и наравне с доступностью и целостностью требуется обеспечение конфиденциальности.

  4. Уровень конфиденциальности устанавливается обладателем информации.

  5. Основными задачами защиты информации в Администрации города Кургана являются:

    1. выявление и оценка потенциальных угроз информационной безопасности и уязвимостей объектов защиты;

    2. исключение либо минимизация выявленных угроз безопасности;

    3. предотвращение инцидентов информационной безопасности.

  6. Угрозы безопасности информации могут быть реализованы за счет:

    1. утечки по техническим каналам утечки информации;

    2. несанкционированного доступа с использованием соответствующего программного обеспечения.

  7. Угрозы безопасности информации могут проявляться в виде инцидентов информационной безопасности:

    1. утрата информации, оборудования или устройств;

    2. системные сбои или перегрузки;

    3. противоправные и (или) ошибочные действия служащих при работе на АРМ;

    4. нарушение правил обработки информации, в том числе разглашение паролей доступа к информационным ресурсам, которые повлекли или могли повлечь нарушение конфиденциальности, целостности и (или) доступности информации;

    5. нарушение физических мер защиты;

    6. неконтролируемые изменения систем;

    7. сбои программного обеспечения, отказы в обслуживании сервисов, средств обработки информации, оборудования;

    8. нарушение правил доступа;

    9. внедрение вредоносных программ.

  8. В качестве методов защиты информации в Администрации города Кургана применяются:

    1. регламентация доступа в служебные помещения Администрации города Кургана;

    2. разграничение доступа к техническим средствам и информационным ресурсам Администрации города Кургана;

    3. применение антивирусной защиты;

    4. применение криптографической защиты информации;

    5. применение обезличивания персональных данных;

    6. регламентация использования электронной почты;

    7. регламентация работы в сети Интернет;

    8. регламентация создания и эксплуатации информационных систем;

    9. проведение внутреннего контроля и обучение служащих.

РАЗДЕЛ IV. РЕГЛАМЕНТАЦИЯ ДОСТУПА В СЛУЖЕБНЫЕ ПОМЕЩЕНИЯ АДМИНИСТРАЦИИ ГОРОДА КУРГАНА

  1. Регламентация доступа в служебные помещения Администрации города Кургана осуществляется в целях:

    1. обеспечения физической сохранности носителей информации, оборудования;

    2. исключения возможности несанкционированного доступа в служебные помещения, в том числе, в которых ведется обработка конфиденциальной информации.

  2. Доступ служащих и посетителей в административные здания (помещения) Администрации города Кургана осуществляется в соответствии с приложением к муниципальному контракту «На оказание услуг по охране муниципальных зданий», заключаемый с охранными организациями по результатам проведения ежегодных аукционов.

  3. Доступ в помещения, в которых ведется обработка персональных данных, осуществляется в соответствии с Порядком доступа муниципальных служащих и служащих, не относящихся к должностям муниципальной службы, Администрации города Кургана, ее органов в помещения, в которых ведется обработка персональных данных, утвержденным распоряжением Администрации города Кургана от 3 июля 2015 г. № 55-р.

РАЗДЕЛ V. РАЗГРАНИЧЕНИЕ ДОСТУПА К ТЕХНИЧЕСКИМ СРЕДСТВАМ И ИНФОРМАЦИОННЫМ РЕСУРСАМ АДМИНИСТРАЦИИ ГОРОДА КУРГАНА

  1. Разграничение доступа к техническим средствам и информационным ресурсам Администрации города Кургана направлено на предотвращение получения информации, обрабатываемой в электронном виде, в том числе в информационных системах, с нарушением регламентируемых нормативными правовыми актами или владельцами информации правил, следствием которых может быть нарушение конфиденциальности, целостности и (или) доступности информации.

  2. Для работы с информационными ресурсами Администрации города Кургана служащему предоставляется АРМ.

  3. ПО АРМ устанавливается и обновляется системным администратором со специальных ресурсов или съемных носителей в соответствии с лицензионным соглашением.

  4. При передаче АРМ другому служащему производится удаление профиля пользователя АРМ.

  5. Доступ к конфиденциальной информации, в том числе персональным данным, осуществляется в соответствии с Положением о порядке обращения со служебной информацией ограниченного доступа в органах и структурных подразделениях Администрации города Кургана, утвержденным постановление Администрации города Кургана от 26.08.2016 г. № 6020.

  6. Обработка персональных данных осуществляется с особенностями, установленными Правилами обработки персональных данных в органах местного самоуправления города Кургана, утвержденным постановление Главы города Кургана от 10.03.2015 г. № 55.

  7. К работе с информационными ресурсами Администрации города Кургана допускаются служащие, ознакомленные с настоящей Политикой ИБ.

  8. Для осуществления доступа к информационным ресурсам Администрации города Кургана служащему создается учетная запись - присваивается уникальный идентификатор (имя, логин) и пароль доступа.

  9. Порядок доступа служащих к информационной системе устанавливается в соответствии с правовым актом города Кургана, определяющим порядок эксплуатации информационной системы.

  10. Для защиты своих паролей служащие обязаны:

    1. соблюдать конфиденциальность пароля - не сообщать пароль другим лицам, в том числе другим служащим, не хранить пароли в легкодоступных местах (на столе, стене, терминале и так далее);

    2. выбирать трудно угадываемый пароль - использовать в пароле строчные и прописные буквы, цифры, специальные символы, не использовать в качестве пароля свои фамилию, имя, отчество, цифровые ряды или повторяющиеся цифры (123456, 111111 и так далее);

    3. использовать в пароле не менее 6 символов;

    4. в случае компрометации пароля немедленно изменить пароль.

  11. При работе на АРМ служащие обязаны:

    1. работать только под своей учетной записью;

    2. блокировать доступ к АРМ при отсутствии на рабочем месте.

  12. Служащим запрещается самостоятельно устанавливать на АРМ дополнительные технические средства и (или) ПО.

РАЗДЕЛ VI. АНТИВИРУСНАЯ ЗАЩИТА

  1. Антивирусная защита в Администрации города Кургана применяется с целью защиты информационных ресурсов и ПО от несанкционированных действий (утраты, модификации, изменения) путем внедрения в информационную среду вирусов, вредоносных программ (далее - вирус) посредством использования специализированного ПО (далее - антивирусное ПО).

  2. Антивирусное ПО должно быть развернуто на всех технических средствах, подверженных воздействию вирусов (АРМ, серверах). Антивирусные механизмы должны быть актуальными, постоянно включенными. Должны вестись журналы протоколирования событий. Отключение антивирусного ПО или отказ от автоматического обновления антивирусных баз не допускается.

  3. Обязанность по своевременному получению и предоставлению органам и структурным подразделениям Администрации города Кургана лицензионных ключей антивирусного ПО возлагается на УИТ.

  4. Обязанность по установке и регулярному обновлению антивирусного ПО, в том числе антивирусных баз, на АРМ и серверах органов (структурных подразделений) Администрации города Кургана возлагается на соответствующих системных администраторов.

  5. При установке антивирусного ПО системным администратором должны выполняться следующие требования:

    1. актуализация антивирусных баз на АРМ, подключенных к локальной сети Администрации города Кургана, должна осуществляться ежедневно в автоматическом режиме через специальный сервер обновлений;

    2. актуализация антивирусных баз на АРМ, не подключенных к локальной сети Администрации города Кургана, должна осуществляться с использованием съемных носителей информации не реже одного раза в неделю;

    3. проверка критических областей АРМ, заражение которых вирусами может привести к серьезным последствиям, должна проводиться автоматически при каждой его загрузке.

  6. Некоторые признаки проявления вируса:

    1. прекращение работы или неправильная работа ранее успешно функционировавшего ПО;

    2. медленная работа АРМ;

    3. невозможность загрузки операционной системы;

    4. нетипичная работа ПО;

    5. вывод на экран непредусмотренных сообщений или изображений;

    6. подача непредусмотренных звуковых сигналов;

    7. частые зависания и сбои в работе АРМ;

    8. частое появление сообщений о системных ошибках;

    9. исчезновение файлов, каталогов или искажение их содержимого;

    10. изменение даты и времени модификации файлов;

    11. изменение размеров файлов;

    12. неожиданное значительное увеличение количества файлов на диске;

    13. существенное уменьшение размера свободной оперативной и дисковой памяти.

  7. Для исключения заражения вирусами и обеспечения надежного хранения информации в электронном виде служащие обязаны:

    1. убедиться, что на АРМ установлено и включено антивирусное ПО;

    2. незамедлительно сообщить системному администратору о нарушениях работы антивирусного ПО;

    3. перед использованием проверять съемные носители информации на наличие вирусов средствами установленного на АРМ антивирусного ПО;

    4. при переносе на свой АРМ файлов в архивированном виде проверять их до и после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

    5. использовать антивирусное ПО для входного контроля всех файлов (исполняемых файлов, файлов данных, сообщений электронной почты и так далее), получаемых из компьютерных сетей, а также на съемных носителях информации;

    6. в случае установки или изменения ПО при возникновении подозрения на наличие вирусов проверять на наличие вирусов жесткие диски АРМ, запуская антивирусное ПО для тестирования файлов, памяти и системных областей дисков.

  8. Служащим запрещается:

    1. открывать приложения и документы в письмах, получаемых по электронной почте, если имеются сомнения в надежности отправителя и (или) отправления;

    2. переходить по ссылкам в спам-письмах;

    3. загружать файлы с сайтов, если имеются сомнения в надежности сайта и (или) загружаемого файла.

  9. При возникновении подозрения на наличие вирусов служащие обязаны:

    1. приостановить все операции, связанные с обработкой файлов на АРМ;

    2. запустить антивирусное ПО для тестирования файлов, памяти и системных областей дисков;

    3. о факте обнаружения вирусов немедленно сообщить системному администратору, владельцам зараженных или поврежденных вирусами файлов, другим пользователям, использующим зараженные файлы в работе;

    4. провести анализ необходимости дальнейшего использования зараженных вирусом файлов;

    5. провести самостоятельно или совместно с системным администратором лечение зараженных файлов, в случае обнаружения не поддающегося лечению вируса удалить инфицированный файл и проверить работоспособность компьютера.

  10. Служащие допускаются к работе на АРМ только после обучения пользованию средствами антивирусного ПО в соответствии с разделом 12 настоящей Политики ИБ.

  11. Ежемесячно не позднее 3 числа месяца, следующего за отчетным, органы Администрации города Кургана направляют в УИТ информацию о фактах заражения вирусами серверов, АРМ по форме согласно приложению к настоящей Политике ИБ.

РАЗДЕЛ VII. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

  1. Криптографическая защита информации (шифрование) применяется для обеспечения конфиденциальности информации при хранении в ненадежных хранилищах и (или) передаче ее по незащищенным каналам связи (телефон, факс, электронная почта и так далее).

  2. Применение средств криптографической защиты информации (далее - СКЗИ) для шифрования конфиденциальной информации должно осуществляться с учетом требований Приказа Федеральной службы безопасности Российской Федерации от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».

  3. Необходимость криптографической защиты информации конфиденциального характера при ее обработке в информационной системе, выбор применяемых СКЗИ устанавливаются в зависимости от класса информационной системы в соответствии с правовым актом города Кургана, определяющим порядок эксплуатации информационной системы.

  4. Шифрование осуществляется перед отправкой данных по незащищенным каналам связи или перед помещением на хранение в ненадежных хранилищах.

РАЗДЕЛ VIII. ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Обезличивание персональных данных в Администрации города Кургана проводится в целях обеспечения защиты от несанкционированного распространения персональных данных при размещении в информационных системах, не предназначенных для обработки персональных данных (далее - открытые информационные системы), и (или) передаче по незащищенным каналам связи.

  2. Обезличивание персональных данных должно осуществляться с учетом требований и методов, утвержденных Приказом Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

  3. Необходимость и метод обезличивания персональных данных, обрабатываемых в информационной системе персональных данных (далее - ИСПДн), устанавливаются правовым актом города Кургана, определяющим порядок эксплуатации ИСПДн.

  4. При использовании процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.

  5. Обезличивание персональных данных должно производиться перед внесением их в открытую информационную систему и (или) передачей по незащищенным каналам связи.

РАЗДЕЛ IX. РЕГЛАМЕНТАЦИЯ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОЧТЫ

  1. Регламентация использования электронной почты осуществляется с целью снижения риска умышленной или неумышленной несанкционированной рассылки информации, заражения информационных ресурсов Администрации города Кургана вирусами.

  2. Угрозы, связанные с электронной почтой:

    1. возможность создания писем с фальшивыми адресами;

    2. возможность нарушения конфиденциальности электронных писем;

    3. возможность изменения в процессе передачи содержимого электронных писем;

    4. осуществление сетевых атак посредством отправки упакованного в архив сообщения, распаковка которого приводит к выводу системы из строя, заражению вирусами;

    5. получение спама.

  3. Использование электронной почты в целях исполнения должностных обязанностей служащими осуществляется с использованием индивидуального электронного адреса служащего в домене kurgan-city.ru.

  4. При увольнении служащего электронный почтовый ящик отключается с последующим автоматическим удалением.

  5. При работе с электронной почтой служащие обязаны:

    1. перед отправкой тщательно проверять сообщения на отсутствие информации, указанной в пункте 58 настоящей Политики ИБ;

    2. периодически удалять из электронного почтового ящика ненужные сообщения и перемещать необходимые сообщения в архивные почтовые папки;

    3. проверять сообщения электронной почты на наличие вирусов;

    4. использовать шифрование, обезличивание конфиденциальной информации при ее отправке.

  6. При работе с электронной почтой служащим запрещено:

    1. отправлять конфиденциальную информацию без предварительного шифрования криптографическим ПО, разрешенным к использованию в Администрации города Кургана;

    2. отправлять персональные данные без предварительного обезличивания или шифрования;

    3. отправлять сообщения с иного электронного почтового ящика или от имени другого служащего без предоставления полномочий;

    4. использовать электронную почту для создания, отправки, пересылки или хранения любых подрывных, оскорбительных, неэтичных, незаконных материалов, включая оскорбительные комментарии по поводу расы, пола, цвета, инвалидности, возраста, сексуальной ориентации, порнографии, терроризма, религиозных убеждений и верований, политических убеждений, национального происхождения, гиперссылок или других ссылок на веб-сайты, содержащие указанные материалы, массовые рассылки спама;

    5. рассылать компьютерные коды, файлы или ПО, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования, вирусы или другое злонамеренное ПО, программы для осуществления несанкционированного доступа, серийные номера к программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в сети Интернет, ссылки на указанную информацию;

    6. перехватывать, изменять, удалять, сохранять или публиковать сообщения иных служащих, кроме случаев, санкционированных руководителями, или в целях администрирования систем;

    7. использовать веб-сервисы Google, Gmail, Hotmail, Yahoo, Яндекс или подобные почтовые системы третьих сторон («вебмайл») для отправки и (или) получения служебной корреспонденции;

    8. загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным ПО, переходить по активным ссылкам, полученным от отправителей, если имеются сомнения в надежности отправителя и (или) полученного сообщения.

  7. Содержимое электронного почтового ящика служащего может быть проверено системным администратором без предварительного уведомления служащего в случае подозрения на осуществление рассылки писем, содержащих вредоносное ПО, спам, информацию, распространение которой запрещено правовыми актами. Информация о выявленных нарушениях направляется служащему и руководителю органа (структурного подразделения) Администрации города Кургана.

РАЗДЕЛ X. РЕГЛАМЕНТАЦИЯ РАБОТЫ В СЕТИ ИНТЕРНЕТ

  1. Регламентация работы в сети Интернет осуществляется с целью снижения риска заражения информационных ресурсов Администрации города Кургана вирусами.

  2. Организацию доступа к сети Интернет для нужд Администрации города Кургана осуществляет УИТ.

  3. Доступ к сети Интернет предоставляется служащим с АРМ, закрепленным за служащим для исполнения должностных обязанностей.

  4. Угрозы, связанные с работой в сети Интернет:

    1. легкость перехвата данных и фальсификации IP-адресов в сети Интернет;

    2. заражение вирусами.

  5. Служащим запрещается:

    1. осуществлять действия, запрещенные законодательством Российской Федерацией;

    2. отправлять конфиденциальную информацию без предварительного шифрования криптографическим ПО, разрешенным к использованию в Администрации города Кургана;

    3. распространять информацию, содержащую подрывные, оскорбительные, неэтичные, незаконные материалы, включая оскорбительные комментарии по поводу расы, пола, цвета, инвалидности, возраста, сексуальной ориентации, порнографии, терроризма, религиозных убеждений и верований, политических убеждений, национального происхождения, гиперссылки или другие ссылки на веб-сайты, содержащие указанные материалы, массовые рассылки спама;

    4. самостоятельно устанавливать на АРМ дополнительное ПО, полученное в сети Интернет;

    5. загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным ПО;

    6. открывать страницы сайтов, если имеются сомнения в надежности сайта и (или) имеются уведомления о возможном заражении вирусами;

    7. передавать информацию, обрабатываемую в Администрации города Кургана, посредством иностранных интернет-сервисов, в том числе систем обмена мгновенными сообщениями, голосовой и видеоинформацией (ICQ, QIP, Jabber, Viber, WhatsApp, Skype, Telegram и другие), социальных сетей (Twitter, Facebook, LiveJournal и другие), облачных сервисов (iCloud, Google Drive, Dropbox и другие).

  6. Служащие обязаны при обнаружении попыток несанкционированного доступа и (или) при подозрении на наличие вируса немедленно прекратить работу в сети Интернет и сообщить системному администратору.

  7. Вся информация о ресурсах, посещаемых служащим, автоматически протоколируется и при необходимости представляется системными администраторами руководителям.

  8. Доступ к сети Интернет может быть блокирован системным администратором без предварительного уведомления служащего при возникновении угрозы безопасности информации.

РАЗДЕЛ XI. РЕГЛАМЕНТАЦИЯ СОЗДАНИЯ И ЭКСПЛУАТАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ

  1. Решение о целесообразности создания или ликвидации информационной системы принимается УИТ на основании предложения руководителя органа (структурного подразделения) Администрации города Кургана.

  2. Процесс создания информационной системы осуществляется в соответствии с ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания, утвержденным Постановлением Госстандарта СССР от 29 декабря 1990 г. № 3469, и представляет собой совокупность упорядоченных во времени, взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания информационной системы.

  3. Информационная система вводится в эксплуатацию правовым актом города Кургана, разработанным и утвержденным в соответствии с Регламентом утверждения правовых актов города Кургана о вводе в эксплуатацию, выводе из эксплуатации (ликвидации) информационных систем и (или) определении порядка эксплуатации информационной системы (далее - Регламент).

  4. Правовой акт города Кургана о вводе в эксплуатацию информационной системы должен определять порядок эксплуатации информационной системы.

  5. Порядок эксплуатации информационной системы должен содержать:

    1. полное наименование информационной системы;

    2. цель создания информационной системы;

    3. законы и иные правовые акты, на основании которых ведется обработка информации в информационной системе и (или) эксплуатация информационной системы;

    4. полномочия органа (структурного подразделения) Администрации города Кургана, реализуемые при эксплуатации информационной системы, и (или) задачи, решаемые в информационной системе;

    5. отнесение информационной системы к категории муниципальной или иной в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    6. перечень обрабатываемой информации, в том числе персональных данных (при наличии), перечень разделов (для сайтов);

    7. требования по обеспечению безопасности обрабатываемой информации (конфиденциальности, целостности, доступности);

    8. наименование оператора информационной системы, его права и обязанности;

    9. перечень участников, пользователей информационной системы, их права и обязанности;

    10. порядок обеспечения доступа к информационной системе;

    11. иную информацию, определяющую особенности эксплуатации информационной системы.

  6. Все функционирующие в органах (структурных подразделениях) Администрации города Кургана информационные системы включаются в Реестр информационных систем Администрации города Кургана (далее - Реестр ИС). Все функционирующие в органах (структурных подразделениях) Администрации города Кургана информационные системы персональных данных включаются в Перечень информационных систем персональных данных Администрации города Кургана, утвержденный распоряжением Администрации города Кургана от 03.07.2015 г. № 55-р (далее - Перечень ИСПДн).

  7. Основанием для включения информационной системы в Реестр ИС и Перечень ИСПДн является правовой акт города Кургана о введении в эксплуатацию информационной системы, изданный в соответствии с Регламентом.

  8. Основанием для изменения информации об информационной системе, включенной в Реестр ИС или Перечень ИСПДн, является правовой акт города Кургана, определяющий порядок эксплуатации информационной системы, изданный в соответствии с Регламентом.

  9. Основанием для исключения информационной системы из Реестра ИС и Перечня ИСПДн является правовой акт города Кургана о прекращении эксплуатации (ликвидации) информационной системы, изданный в соответствии с Регламентом.

  10. Обязанность по ведению Реестра ИС и Перечня ИСПДн возлагается на УИТ.

РАЗДЕЛ XII. ПРОВЕДЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ И ОБУЧЕНИЕ СЛУЖАЩИХ

  1. В целях выявления угроз безопасности информации, нарушений настоящей Политики ИБ и принятия мер, направленных на предотвращение угроз и нарушений, в Администрации города Кургана осуществляется внутренний контроль:

    1. использования технических средств, ПО, работы в сети Интернет в органах (структурных подразделениях) Администрации города Кургана по поручению управляющего делами Администрации города Кургана, руководителей органов (структурных подразделений) Администрации города Кургана;

    2. обработки персональных данных в Администрации города Кургана в соответствии с утвержденными распоряжением Администрации города Кургана от 03.07.2015 г. № 55-р Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленными Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Администрации города Кургана.

  2. Ознакомление служащих с настоящей Политикой ИБ производится при:

    1. приеме на работу;

    2. изменении настоящей Политики ИБ;

    3. обнаружении действий служащих, которые повлекли или могли повлечь нарушение безопасности информации.

  3. Обучение служащих пользованию средствами антивирусного ПО производится при:

    1. приеме на работу;

    2. изменении антивирусного ПО;

    3. заражении АРМ вирусами.

  4. Ознакомление служащих с настоящей Политикой ИБ и обучение пользованию средствами антивирусного ПО осуществляется под подпись в листе ознакомления (прохождения обучения) либо журнале ознакомления (прохождения обучения) с указанием фамилии, имени, отчества служащего и даты ознакомления (прохождения обучения).

  5. Обязанность по организации ознакомления служащих с настоящей Политикой ИБ возлагается на отдел муниципальной службы и кадров Администрации города Кургана.

  6. Обязанность по обучению пользованию средствами антивирусного ПО возлагается на системных администраторов.

РАЗДЕЛ XIII. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ ИБ

  1. Служащие в рамках должностных обязанностей и полномочий несут ответственность в соответствии с действующим законодательством Российской Федерации за:

    1. невыполнение требований настоящей Политики ИБ;

    2. действия или бездействие, ведущие к нарушению информационной безопасности;

    3. действия или бездействие, ведущие к нарушению действующего законодательства Российской Федерации в области информационных технологий.

  2. При обнаружении нарушения служащими настоящей Политики ИБ системный администратор устанавливает причины возникновения нарушения и направляет служебную записку о выявленном нарушении руководителю органа (структурного подразделения) Администрации города Кургана.

  3. Руководитель органа (структурного подразделения) Администрации города Кургана принимает решение о необходимости привлечения служащего к ответственности.

  4. Системный администратор ведет учет всех выявленных случаев нарушения безопасности информации.

Приложение

к Политике информационной безопасности

Администрации города Кургана

ИНФОРМАЦИЯ

о выявленных компьютерных атаках, уязвимостях и поражениях

вредоносным программным обеспечением информационных ресурсов

№ п/п

Форма проявления угрозы безопасности

Дата проявления

Количество зараженных автоматизированных рабочих мест (АРМ)/серверов

Наименование угрозы безопасности <1>

Объект угрозы безопасности <2>

Источник угроз безопасности <3>

Мероприятия по устранению угрозы безопасности <4>

______________________

<1> Указывается в случае наличия информации об угрозе безопасности (компьютерной атаки, уязвимости или вредоносного программного обеспечения).

<2> Объектом угрозы безопасности могут быть файлы, службы, библиотеки и другие возможные объекты АРМ пользователя, сервера или информационной системы (ресурс). Требуется указать: установленная операционная система, средства защиты, объекты угрозы безопасности. Указывается в случае наличия информации.

<3> Источником угрозы безопасности может быть электронная почта, локальная вычислительная сеть, Интернет, внешние запоминающие устройства и другие источники.

<4> Указать перечень проводимых мероприятий по устранению угрозы (сканирование и лечение антивирусным программным обеспечением, обновление или удаление программного обеспечения, установка дополнительных средств защиты и другие возможные мероприятия), результат проведенных мероприятий по устранению угрозы безопасности (устранено/не устранено).

20

Возврат к списку

 


Разделы

Авторизация