Приказ комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию от 18.12.2013 N 223/01-07 о/д "Об утверждении Положения об использовании автоматизированных рабочих мест в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию"
КОМИТЕТ СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ
ПРИКАЗ
от 18 декабря 2013 г. № 223/01-07 о/д
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ИСПОЛЬЗОВАНИИ АВТОМАТИЗИРОВАННЫХ
РАБОЧИХ МЕСТ В КОМИТЕТЕ СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ
И ПЕРЕРАБАТЫВАЮЩЕЙ ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ
В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" приказываю:
1. Утвердить прилагаемое Положение об использовании автоматизированных рабочих мест в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.
2. Общему отделу комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию довести настоящий приказ до сведения руководителей структурных подразделений комитета.
3. Контроль за выполнением настоящего приказа возложить на заместителя председателя комитета Видиневу И.И.
4. Настоящий приказ вступает в силу с 1 апреля 2014 года.
Исполняющая обязанности
председателя комитета
Г.П.МИРОНЫЧЕВА
Утверждено
приказом
комитета Ставропольского края по пищевой
и перерабатывающей промышленности,
торговле и лицензированию
от 18 декабря 2013 г. № 223/01-07 о/д
ПОЛОЖЕНИЕ
ОБ ИСПОЛЬЗОВАНИИ АВТОМАТИЗИРОВАННЫХ РАБОЧИХ МЕСТ В КОМИТЕТЕ
СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ
I. Общие положения
1. Настоящее положение об использовании ресурсов информационной инфраструктуры в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию (далее соответственно - Положение, комитет) устанавливает порядок предоставления доступа и использования работниками комитета компьютерного оборудования и программного обеспечения автоматизированных рабочих мест, входящих в состав информационной инфраструктуры комитета, а также контроль использования автоматизированных рабочих мест.
2. Положение разработано в соответствии с нормативными правовыми актами Российской Федерации и Ставропольского края в области защиты информации.
3. Требования, установленные настоящим Положением, являются обязательными для всех работников комитета.
II. Основные термины, сокращения и определения
4. Информация ограниченного распространения - информация, касающаяся деятельности комитета, ограничения на распространение которой вызваны служебной необходимостью, а именно, документы с отметкой "для служебного пользования", персональные данные субъектов персональных данных, информация, не составляющая государственную тайну, содержащаяся в государственных информационных системах, и сведения, содержащие государственную тайну.
5. Администратор информационной безопасности - назначенное приказом комитета ответственное лицо за организацию обработки и обеспечение безопасности информации ограниченного распространения, имеющее базовое высшее образование в области защиты информации или прошедшее курс дополнительного профессионального образования в области защиты информации в объеме не менее 72 часов и получившее удостоверение государственного образца о краткосрочном повышении квалификации.
6. Информационная безопасность (далее - ИБ) - комплекс правовых, организационных и технических мер, обеспечивающих конфиденциальность, целостность и доступность информации.
7. Информационная инфраструктура (далее - ИИ) - информационные ресурсы, технологии и системы, базы данных, серверное, компьютерное, сетевое и периферийное оборудование, программное обеспечение, программные и аппаратно-программные средства защиты информации, информационно-телекоммуникационная сеть, находящиеся в ведении комитета, используемые для выполнения работниками комитета служебных обязанностей, доступа к ресурсам сети Интернет, а также информационного взаимодействия с органами государственной власти Ставропольского края.
8. Информационные технологии (далее - ИТ) - совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации комитета с использованием средств компьютерной техники и телекоммуникационного оборудования.
9. Сеть Интернет - глобальная информационно-телекоммуникационная сеть, обеспечивающая удаленный доступ к ресурсам различного содержания и направленности.
10. Пользователь - работник комитета, использующий ресурсы информационной инфраструктуры комитета при исполнении своих служебных обязанностей.
11. Автоматизированное рабочее место (далее - АРМ) - АРМ в составе персонального компьютера, периферийного оборудования и прикладного программного обеспечения, предназначенное для исполнения пользователем служебных обязанностей.
12. Паспорт АРМ - документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
13. Служебная электронная почта - технология и предоставляемые ею услуги по пересылке и получению электронных сообщений (называемых "письма" или "электронные письма").
14. Программное обеспечение (далее - ПО) - совокупность программ, процедур, правил и соответствующей документации системы обработки информации, необходимых для эксплуатации этих программ.
15. Коммерческое ПО - ПО сторонних производителей, предоставляемое в пользование на возмездной (платной) основе.
16. Прикладное ПО - офисное программное обеспечение (в том числе разработанное для комитета); информационно-справочные системы; информационные системы для решения производственных, хозяйственных и управленческих задач комитета; системы проектирования и управления.
17. Системное ПО - операционные системы, средства антивирусной защиты, средства создания резервных копий, драйверы устройств, административные утилиты, средства организации сетевых сервисов.
18. Специализированное ПО - ПО системного администрирования/управления ресурсами вычислительных сетей.
19. Вредоносное ПО - ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и (или) доступности информации.
20. Вредоносное ПО - программное обеспечение, способное выполнять одну или несколько функций: использовать угрозу безопасности для осуществления несанкционированного доступа, скрывать признаки своего присутствия; самодублироваться; ассоциировать себя с другими программами; разрушать код программ в оперативной памяти; выполнять без инициирования со стороны пользователя деструктивные функции; сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа; искажать, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации.
21. Реестр - документ "Реестр разрешенного к использованию программного обеспечения". Содержит перечень программного обеспечения, разрешенного к использованию в комитете.
22. Электронный журнал доступа - электронный журнал, содержащий информацию об использовании работниками комитета автоматизированных рабочих мест.
23. Несанкционированный доступ (далее - НСД) - доступ к информации, нарушающий установленные правила доступа.
24. Правила доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
25. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
26. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
III. Порядок эксплуатации автоматизированных рабочих мест
27. Доступ к компьютерному оборудованию и программному обеспечению, входящему в состав ресурсов информационной инфраструктуры комитета, имеют только зарегистрированные пользователи. Работник комитета, прежде чем приступить к работе с АРМ, обязуется ознакомиться с настоящим Положением лично, под роспись.
28. В целях автоматизации производственной, управленческой, вспомогательной деятельности в комитете разрешено применение ограниченного перечня программного обеспечения, входящего в Реестр. Программное обеспечение, не входящее в Реестр, не может быть установлено и использоваться работниками комитета.
29. Первоначальная комплектация АРМ определяется администратором информационной безопасности совместно с руководителем структурного подразделения и пользователем АРМ после согласования заявки.
30. Все операции по установке, сопровождению, поддержке, удалению ПО и оборудования АРМ выполняются непосредственно (при участии) администратора информационной безопасности.
31. Установленное оборудование и программное обеспечение АРМ фиксируются в паспорте АРМ, подписывается администратором информационной безопасности, руководителем структурного подразделения и пользователем АРМ. Первый экземпляр паспорта АРМ остается у руководителя структурного подразделения, второй - администратора информационной безопасности. Тем самым подтверждается согласие сторон:
1) с указанной в паспорте АРМ комплектацией оборудования АРМ и перечнем установленного ПО;
2) с фактом передачи от комитета к работнику комитета ответственности за использование любого нелицензионного ПО, самовольное изменение конфигурации АРМ и несанкционированную установку любого ПО на вверенном данному пользователю АРМ.
32. Поддержка и сопровождение АРМ заключается в выполнении следующих видов работ:
1) настройка и адаптация установленного ПО и оборудования;
2) установка обновлений ПО;
3) регламентированное создание резервных копий (архивирование) ПО и пользовательских данных (электронных документов, баз данных);
4) устранение неисправностей, связанных с использованием установленного ПО и оборудования;
5) консультирование пользователей АРМ.
33. Работа по сопровождению может быть инициирована пользователем АРМ, руководителем структурного подразделения комитета, администратором информационной безопасности.
34. Удаление (вывод из эксплуатации) ПО и оборудования предусмотрены в следующих случаях:
1) окончание лицензионного срока использования ПО;
2) замена используемого ПО и оборудования на альтернативное;
3) прекращение использования ПО и оборудования вследствие отсутствия надобности, морального старения.
35. При удалении (выводе из эксплуатации) программного обеспечения и оборудования в целях дальнейшего хранения отделу финансово-аналитической работы комитета передаются: аппаратные ключи (ключевые носители), оригиналы носителей с дистрибутивом ПО, документация к ПО, сертификаты подлинности (наклейки на корпус системного блока АРМ), компьютерное оборудование, находившиеся у пользователя АРМ.
36. Дополнительное оборудование и программное обеспечение устанавливается администратором информационной безопасности после согласования заявки.
37. Запрос на установку дополнительного оборудования и программного обеспечения может быть инициирован руководителем структурного подразделения комитета и администратором информационной безопасности или пользователем АРМ в случаях:
1) необходимости организации АРМ для нового работника комитета;
2) необходимости выполнения работниками комитета новых (дополнительных) обязанностей, для которых требуется дополнительное ПО или полная замена АРМ;
3) появления качественно нового (альтернативного) ПО, взамен используемого в составе АРМ;
4) устранения уязвимостей в используемом программном обеспечении;
5) плановой замены используемого пользователями ПО;
6) внедрения новых информационных технологий.
38. Заявка согласовывается с администратором информационной безопасности на предмет соблюдения на АРМ работника комитета требований по защите информации ограниченного распространения. Основанием для отказа в согласовании соответствующей заявки являются: невозможность использования данного программного обеспечения в информационной инфраструктуре комитета и обработка на АРМ пользователя информации ограниченного распространения при несоблюдении требований по защите указанной информации, установленных комитетом в соответствии с нормативными правовыми актами Российской Федерации и Ставропольского края в области защиты информации.
39. При отсутствии в комитете свободных лицензий руководитель структурного подразделения готовит заявку на приобретение ПО.
40. Приобретенное ПО принимается к учету в отделе финансово-аналитической работы, передается для ввода в эксплуатацию в структурное подразделение комитета.
41. После приобретения ПО администратором информационной безопасности вносятся сведения о новом программном обеспечении в журнал регистрации дополнений к Реестру. По итогам года сведения о новом ПО из журнала переносятся в Реестр для утверждения на следующий период.
42. Изменения в составе установленного программного обеспечения и оборудования должны фиксироваться пользователем АРМ. Пользователь АРМ подготавливает 2 экземпляра паспорта АРМ, подписывает сам и передает на подпись руководителю структурного подразделения комитета и администратору информационной безопасности. Один экземпляр паспорта АРМ остается у руководителя структурного подразделения комитета, второй - администратора информационной безопасности.
43. Аппаратные ключи (в том числе ключевые носители), сертификаты подлинности (наклейки на корпус системного блока АРМ) передаются пользователю в составе АРМ.
IV. Обязанности работников комитета
44. Работники комитета обязаны:
1) соблюдать требования настоящего Положения;
2) иметь первоначальные навыки использования АРМ;
3) использовать предоставленные ресурсы информационной инфраструктуры комитета для выполнения своих служебных обязанностей;
4) ставить в известность администратора информационной безопасности о любых фактах сбоев программного обеспечения и компьютерной техники, некорректного завершения значимых операций, повреждения технических средств, нарушениях требований Положения;
5) выполнять предписания и предоставлять АРМ для контроля администратору информационной безопасности;
6) при необходимости прекращения работы на некоторое время корректно закрывать все активные задачи, блокировать АРМ. АРМ блокируется при одновременном нажатии клавиш "L" и "Win" (клавиша в виде флага, состоящего из 4 частей, расположенная между клавишами "Ctrl" и "Alt");
7) содействовать администратору информационной безопасности в выполнении работ по установке, настройке, устранению неисправностей и аудита установленного программного обеспечения и оборудовании.
45. При эксплуатации АРМ запрещено:
1) оставлять АРМ без личного присмотра незаблокированным;
2) самостоятельно вносить изменения в конструкцию, конфигурацию, размещение АРМ и другого оборудования ИИ комитета;
3) изменять состав и настройки установленного на АРМ программного обеспечения, в том числе приносить на внешних носителях и несанкционированно запускать любые программы, не указанные в паспорте АРМ;
4) публиковать, загружать и распространять материалы, содержащие:
а) информацию ограниченного распространения, за исключением случаев, когда это входит в служебные обязанности и способ передачи является безопасным, согласованным с администратором информационной безопасности заранее;
б) информацию, полностью или частично защищенную авторскими или другими правами, без разрешения владельца;
в) информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также осуществить несанкционированный доступ, а также ссылки на вышеуказанную информацию;
г) угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.;
5) предоставлять работникам комитета доступ к своему АРМ;
6) защищать информацию способами, не согласованными с администратором информационной безопасности заранее.
V. Аудит использования программного
обеспечения и оборудования
46. Аудит использования программного обеспечения и оборудования (далее - Аудит) проводится с целью выявления несоответствия перечня фактически установленного программного обеспечения и оборудования перечню, зафиксированному в паспорте АРМ.
47. Аудит проводит администратор информационной безопасности не реже 1 раза в 6 месяцев. Результаты аудита фиксируются в паспорте АРМ.
48. Для проведения Аудита может применяться специализированное ПО. Данные, полученные в процессе Аудита, подлежат хранению в электронной виде.
49. При выявлении несоответствия выясненного перечня текущей версии паспорта АРМ администратор информационной безопасности обязан инициировать служебную проверку в порядке, определенном Федеральным законом от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации". Доступ работника комитета к АРМ приостанавливается до окончания служебной проверки.
50. В случае несанкционированной установки данный факт рассматривается как нарушение норм настоящего Положения.
51. Несанкционированно установленное ПО и оборудование подлежит немедленному удалению, перечень установленного ПО приводится в соответствие текущей редакции Паспорта АРМ.
52. Внеплановый аудит (полный или выборочный) проводится по мере необходимости. Необходимость, время и область проведения внеочередных аудитов определяются приказом комитета в соответствии с настоящим Положением.
VI. Ответственность
53. Работники комитета, нарушившие требования настоящего Положения, несут ответственность в соответствии с законодательством Российской Федерации.
54. Ведение "Журнала расследования инцидентов информационной безопасности" осуществляет администратор информационной безопасности.
------------------------------------------------------------------
Введите даты для поиска: