Распоряжение Главы города Полярные Зори от 25.05.2004 № 87р
Об утверждении "Руководства администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от несанкционированного доступа к информации" и "Инструкции по регламентации работы пользователей локальной вычислительной сети в процессе ее эксплуатации в администрации г. Полярные Зори"
ГЛАВА МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ Г. ПОЛЯРНЫЕ ЗОРИ МУРМАНСКОЙ ОБЛАСТИ РАСПОРЯЖЕНИЕ 25 мая 2004 г. г. Полярные Зори N 87р Об утверждении "Руководства администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от несанкционированного доступа к информации" и "Инструкции по регламентации работы пользователей локальной вычислительной сети в процессе ее эксплуатации в администрации г. Полярные Зори Мурманской области" В целях защиты от несанкционированного доступа к информации и сохранности информации в электронном виде: 1. Утвердить "Руководство администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от несанкционированного доступа к информации" (прилагается). 2. Утвердить "Инструкцию по регламентации работы пользователей локальной вычислительной сети в процессе ее эксплуатации в администрации г. Полярные Зори Мурманской области" (прилагается). 3. Начальникам отделов администрации г. Полярные Зори Мурманской области обеспечить изучение Инструкции, указанной в пункте 2 настоящего распоряжения, и неукоснительное ее соблюдение сотрудниками администрации г. Полярные Зори Мурманской области. Глава муниципального образования В. Гончаренко Руководство администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от несанкционированного доступа к информации Общие положения 1. Руководство администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от несанкционированного доступа к информации (далее Руководство) разработано с учетом требований Федерального закона "Об информации, информатизации и защите информации" от 20.02.95 N 24-ФЗ, "Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденного Постановлением Правительства Российской Федерации от 15.09.93 N 912-51, и других действующих руководящих, нормативных документов (НД) по защите информации от несанкционированного доступа (НСД). 2. Настоящее Руководство определяет комплекс организационно - технических мероприятий по обеспечению безопасности общих ресурсов ЛВС и регулирует отношения между администратором безопасности, пользователями и разработчиками, возникающие при: - эксплуатации и развитии ЛВС; - формировании и использовании данных, сообщений, баз данных, информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления пользователю документированной информации; - при создании, внедрении и эксплуатации новых информационных технологий. 3. Цели администрирования ЛВС достигаются обеспечением и поддержкой в ЛВС: - подсистем управления доступом, регистрации и учета, обеспечения целостности программно - аппаратной среды, хранимой, обрабатываемой и передаваемой по каналам связи информации; - доступности информации (устойчивое функционирование ЛВС и ее подсистем); - защита от НСД хранимой, обрабатываемой и передаваемой по каналам связи информации. 4. Защита ЛВС и информации ФБД представляет собой комплекс организационных и технических мероприятий, направленных на искл ючение или существенное затруднение противоправных деяний в отношении ресурсов ЛВС. 5. Администратор безопасности ЛВС назначается главой муниципального образования г. Полярные Зори. Количество администраторов безопасности ЛВС зависит от структуры и назначения ЛВС (количества серверов, рабочих станций сети, их мест расположения), характера и количества решаемых задач, режима эксплуатации. 6. Администратор безопасности руководствуется в своей практической деятельности положениями федеральных законов, нормативных и иных актов Российской Федерации, решениями и документами Гостехкомиссии России. 7. Рабочее место администратора безопасности должно быть оборудовано на рабочей станции под управлением операционной системы Microsoft Windows 9x (Microsoft Windows NT Workstation, Microsoft Windows 2000) или на сервере домена. Администратор безопасности должен иметь личный сейф (или железный шкаф) и печать. 8. Требования администратора безопасности, связанные с выполнением им своих функций, обязательны для исполнения всеми пользователями ЛВС. 9. Инструкция не регламентирует вопросы защиты и охраны зданий и помещений, в которых расположена ЛВС, вопросы обеспечения физической целостности компонентов ЛВС, защиты от стихийных бедствий (пожаров, наводнений и др.), сбоев в системе энергоснабжения, а также меры обеспечения безопасности персонала и меры, принимаемые при возникновении в ЛВС нештатных ситуаций. Права и обязанности администратора безопасности 1. Права администратора безопасности. Администратор безопасности имеет право: - отключать от сети пользователей, осуществивших НСД к защищаемым ресурсам ЛВС или нарушивших другие требования по безопасности информации; - участвовать в любых проверках ЛВС; - запрещать устанавливать на серверах и рабочих станциях ЛВС нештатное программное и аппаратное обеспечение. 2. Обязанности администратора безопасности. Администратор безопасности обязан: - знать в совершенстве применяемые информационные технологии; - участвовать в контрольных и тестовых испытаниях и проверках ЛВС; - вести контроль за процессом резервирования и дублирования важных ресурсов ЛВС ; - участвовать в приемке новых программных средств; - уточнять в установленном порядке обязанности пользователей ЛВС по поддержанию уровня защиты ЛВС; - вносить предложения по совершенствованию уровня защиты ЛВС и; - анализировать данные журнала учета работы ЛВС с целью выявления возможных нарушений требований защиты; - обеспечить доступ к защищаемой информации пользователям ЛВС согласно их прав доступа при получении оформленного соответствующим образом разрешения; - запрещать и немедленно блокировать попытки изменения программно-аппаратной среды ЛВС без согласования порядка ввода новых (отремонтированных) технических и программных средств и средств защиты ЛВС; - запрещать и немедленно блокировать применение пользователям сети программ, с помощью которых возможны факты НСД к ресурсам ЛВС; - незамедлительно докладывать руководству обо всех попытках нарушения защиты ЛВС; - анализировать состояние защиты ЛВС и ее отдельных подсистем; - контролировать физическую сохранность средств и оборудования ЛВС; - контролировать состояние средств и систем защиты и их параметры и критерии; - контролировать правильность применения пользователями сети средств защиты; - оказывать помощь пользователям в части применения средств защиты от НСД и других средств защиты, входящих в состав ЛВС; - не допускать установку, использование, хранение и размножение в ЛВС программных средств, не связанных с выполнением функциональных задач; - своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений; - в период профилактических работ на рабочих станциях и серверах ЛВС снимать при необходимости средства защиты ЛВС с эксплуатации с обязательным обеспечением сохранности информации; - не допускать к работе на рабочих станциях и серверах ЛВС посторонних лиц; - осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ЛВС; - периодически предоставлять руководству отчет о состоянии защиты ЛВС и о нештатных ситуациях на объектах ЛВС и допущенных пользователями нарушениях установленных требований по защите информации. Запрещается фиксировать учетные данные пользователя (пароли, идентификаторы, ключи и др.) на твердых носителях, а также сообщать их кому бы то ни было, кроме самого пользователя. 3. Ответственность за защиту ЛВС от несанкционированного доступа к информации. Ответственность за защиту ЛВС от несанкционированного доступа к информации возлагается на администратора безопасности. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ЛВС, состояние и поддержание установленного уровня защиты ЛВС. Требования к рабочей станции и инструментальным средствам администратора безопасности 1. Рабочая станция администратора безопасности должна представлять собой специально выделенную для администратора безопасности ПЭВМ, которая является пунктом управления и контроля уровня защиты ЛВС и ее ресурсов. 2. Инструментальные средства, установленные на рабочей станции администратора безопасности (программные, программно - аппаратные, аппаратные), должны позволять эффективно решать задачи, поставленные перед ним. Инструкция по регламентации работы пользователей локальной вычислительной сети в процессе ее эксплуатации в администрации муниципального образования г. Полярные Зори Мурманской области Общие положения 1. Инструкция по регламентации работы пользователей в локальной вычислительной сети в процессе ее эксплуатации (далее - Инструкция) предназначена для руководителей и сотрудников администрации муниципального образования города Полярные Зори Мурманской области и регулирует порядок допуска пользователей к работе в локальной вычислительной сети (ЛВС) администрации муниципального образования города Полярные Зори Мурманской области, а также правила обращения с защищаемой информацией, обрабатываемой, хранимой и передаваемой в ЛВС в администрации МО г. Полярные Зори. 2. Положения Инструкции обязательны для исполнения всеми пользователями ЛВС. 3. Все пользователи ЛВС должны быть ознакомлены под расписку с Инструкцией и предупреждены о возможной ответственности за ее нарушение. Порядок организации доступа к ресурсам ЛВС администрации муниципального образования г. Полярные Зори Мурманской области 1. Для каждого сотрудника администрации МО г. Полярные Зори, которому необходим доступ к ресурсам ЛВС, создается учетная запись о пользователе, состоящая из имени (идентификатора) пользователя и пароля. Имена пользователей и пароли должны состоять только из букв латинского алфавита и (или) цифр. Длина пароля должна быть не менее 6 знаков. 2. Исключается использование одинаковых паролей различными пользователями. 3. При регистрации пользователя решение на доступ к ресурсам ЛВС принимает управляющий делами администрации по ходатайству руководителя подразделения, в состав которого входит регистрируемый сотрудник. Руководитель подразделения составляет заявку на регистрацию пользователя ЛВС по форме 1-ЛВС (приложение к Инструкции), утверждает у управляющего делами и передает ее администратору безопасности. Перерегистрация пользователей осуществляется ежегодно. 4. При получении заявки администратор безопасности выполняет следующее: - присваивает данному пользователю имя и пароль для доступа к ресурсам ЛВС; - создает новую учетную запись о пользователе; - определяет пароль доступа пользователя при подключении к ЛВС; - назначает на основе анализа задач, выполняемых сотрудником и указанных в заявке, данному пользователю перечень полномочий по доступу к требуемой информации в ЛВС; - регистрирует пользователя в журнале регистрации пользователей по форме 2-ЛВС (приложение к Инструкции); - сообщает сотруднику его имя пользователя и пароль для доступа к ресурсам ЛВС, а также правила работы. 5. Решение о необходимости изменения полномочий доступа сотрудника к ресурсам ЛВС принимает управляющий делами администрации по ходатайству руководителя подразделения, в состав которого входит данный сотрудник. 6. Руководитель подразделения составляет заявку по форме 1-ЛВС (приложение) на изменение полномочий пользователя ЛВС, утверждает у управляющего делами администрации и передает администратору безопасности. 7. Заявка пользователя остается на хранении у администратора безопасности ЛВС. 8. При увольнении сотрудника руководитель подразделения составляет заявку на удаление пользователя ЛВС по форме 3-ЛВС (приложение), утверждает у управляющего делами администрации и передает ее администратору безопасности. 9. При получении заявки администратор безопасности удаляет учетную запись о пользователе ЛВС и делает отметку об этом в журнале регистрации пользователей. Требования по безопасности к пользователю ЛВС 1. В соответствии с требования нормативных, организационно - распорядительных документов по применению рабочих станций сети и ЛВС к пользователям ЛВС предъявляются (под расписку) требования по безопасности, знание и выполнение которых каждым пользователем строго обязательно. 2. Пользователь ЛВС обязан: - знать правила безопасности в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся); - рассматривать выполнение обязанностей по защите ЛВС как обязательное условие продолжения своей работы в сети; - при работе на своей рабочей станции и в ЛВС выполнять только служебные задания; - работать в сети только в разрешенный период времени; - убедиться в исправности своей рабочей станции, отсутствии "вирусов"; - при сообщениях тестовых программ о появлении "вирусов" немедленно доложить администратору безопасности; - в случае необходимости использования гибких магнитных носителей (дискет), поступивших из других подразделений, учреждений, предприятий и организаций, прежде всего провести проверку этих носителей на отсутствие "вирусов" в отделе ОМСиК; - при решении задач с защищаемой информацией использовать только учтенные магнитные носители (например, дискеты); - немедленно выполнять предписания администратора безопасности; - представлять свою рабочую станцию администратору безопасности для контроля; - сохранять пароль в тайне; - не сообщать свой пароль другому лицу, даже если это должностное лицо; - периодически изменять пароль (не реже 1 раза в 6 месяцев). Пользователю запрещается: - фиксировать свои учетные данные (пароли, идентификаторы и др.) на твердых носителях; - самовольно вносить изменения в конструкцию, конфигурацию, размещение рабочих станций сети и другие узлы ЛВС; - самостоятельно производить установку любого программного обеспечения (ПО); - допускать к подключенной в сеть рабочей станции посторонних лиц; - запускать на своей рабочей станции или другой рабочей станции сети любые системные или прикладные программы, не входящие в состав программного обеспечения рабочей станции сети и ЛВС; - иметь игровые и обучающие программы на рабочей станции сети; - работать с неучтенными магнитными носителями информации; - производить копирование защищаемой информации на неучтенные носители информации (в том числе и для временного хранения информации); - работать на рабочей станции сети с защищаемой информацией при обнаружении неисправностей. Ответственность пользователя при работе в сети 1. Пользователь ЛВС несет персональную ответственность за соблюдение установленных требований во время работы в ЛВС. 2. Ответственность за допуск пользователя к ЛВС и установленные ему полномочия несет руководитель структурного подразделения администрации г. Полярные Зори Мурманской области, подписавший (подтвердивший) полномочия данного пользователя сети. 3. Пользователи ЛВС, виновные в нарушении данной инструкции несут административную и дисциплинарную ответственность в соответствии с действующим законодательством и специальными требованиями и рекомендациями по технической защите информации Гостехкомисси при Президенте Российской Федерации. Приложения к Инструкции Форма 1-ЛВС Заявка на регистрацию пользователя ЛВС администрации муниципального образования г. Полярные Зори Мурманской области Подразделение ______________________________________________________________ Должность сотрудника ______________________________________________________________ Фамилия, имя, отчество ______________________________________________________________ Перечень решаемых задач ______________________________________________________________ С правилами работы в ЛВС ознакомлен ______________________________________________________________ ______________________________________________________________ (должность, Ф.И.О. подпись) Начальник отдела ______________________________________________________________ ( должность, Ф.И.О., подпись) Форма 2-ЛВС Журнал регистрации пользователей ЛВС администрации г. Полярные Зори Мурманской области N Дата регистрации Подразделение Ф.И.О. Сетевое Примечание п/п имя Форма 3-ЛВС Заявка на удаление пользователя ЛВС муниципального образования г. Полярные Зори Мурманской области Подразделение ______________________________________________________________ Должность сотрудника ______________________________________________________________ Фамилия, имя, отчество ______________________________________________________________ Основание для удаления ______________________________________________________________ Начальник отдела ______________________________________________________________ (должность, Ф.И.О., подпись)