Недействующий


Администрация Хабаровского края

ПОСТАНОВЛЕНИЕ

от 13 января 1999 г. N 18


О мерах по обеспечению сохранности и защите электронных информационных ресурсов

(с изменениями на 30.05.00)

____________________________
Утратило силу на основании
Постановления Губернатора Хабаровского края
от 05 марта 2002 года N 131

____________________________


     ________________________________
     Документ с изменениями, внесенными
     Постановлением Администрации Хабаровского края от 30.05.00 № 175
     ________________________________

В соответствии с постановлением главы администрации края от 15.05.98 N 197 "О регистрации технических средств, обрабатывающих информацию ограниченного доступа" в структурных подразделениях администрации края определены технические средства, обрабатывающие информацию, отнесенную к государственной и конфиденциальной тайнам.

В целях определения единых требований для проведения организационно-технических мероприятий по обеспечению сохранности и защите конфиденциальных и открытых информационных ресурсов, обрабатываемых техническими средствами,

постановляю:

1. Утвердить прилагаемое Положение по обеспечению сохранности и защите электронных информационных ресурсов в структурных подразделениях администрации края.

2. Руководителям структурных подразделений администрации края в месячный срок с момента подписания настоящего постановления в соответствии с Положением по обеспечению сохранности и защите электронных информационных ресурсов в структурных подразделениях администрации края:

- назначить администратора локальной вычислительной сети (администратора информационных ресурсов) в каждом структурном подразделении;

- обеспечить оформление регистрационных карт на персональные компьютеры, обрабатывающие конфиденциальные информационные ресурсы.

3. Признать утратившим силу пункт 2 постановления главы администрации края от 15.05.98 N 197 "О регистрации технических средств, обрабатывающих информацию ограниченного доступа".

4. Утратил силу - Постановление Администрации Хабаровского края от 30.05.00 № 175 - См. предыдущую редакцию.

5. Главам муниципальных образований городов и районов края в срок до 1 апреля 1999 г. разработать и принять руководящие документы на основе Положения по обеспечению сохранности и защите электронных информационных ресурсов в структурных подразделениях администрации края.

6. Методическое руководство и контроль за выполнением настоящего постановления возложить на заместителя главы администрации края, председателя совета по информационной безопасности при главе администрации края Левинталя А.Б.

7. Настоящее постановление вступает в силу со дня его подписания.

Глава администрации
В.И.Ишаев



УТВЕРЖДЕНО
Постановление
главы администрации края
от 13 января 1999 г. N 18

ПОЛОЖЕНИЕ
ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ И ЗАЩИТЕ ЭЛЕКТРОННЫХИНФОРМАЦИОННЫХ
РЕСУРСОВ В СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЯХ АДМИНИСТРАЦИИ КРАЯ


1. Общие положения


1.1. Настоящее Положение разработано в соответствии с Федеральным Законом от 20.02.95 N 24-ФЗ "Об информации, информатизации и защите информации", постановлением главы администрации края от 07.02.97 N 44 "Об утверждении документов по информационной безопасности", другими нормативными правовыми и методическими документами в области использования и защиты информационных ресурсов.

1.2. Положение предназначено для государственных служащих - работников структурных подразделений администрации края, выполнение должностных обязанностей которых связано с использованием персональных компьютеров, и определяет их полномочия, обязанности и ответственность по обеспечению сохранности и защите электронных информационных ресурсов.

1.3. Положение является обязательным для выполнения всеми государственными служащими - работниками администрации края в части их касающейся.

1.4. В Положении используются следующие сокращения и основные понятия:

- ПК - персональный компьютер (сервер, рабочая станция, другие специализированные компьютеры на любых аппаратно - программных платформах);

- ЛВС - локальная вычислительная сеть или аналогичная информационная система любого уровня сложности и назначения;

- локальный ПК - ПК, работающий вне ЛВС;

- электронные информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов, базы данных, другие виды информационного обеспечения в информационных системах, использующих ПК (далее по тексту - информационные ресурсы),

- структурное подразделение - комитеты, управления, департаменты, службы, отделы администрации края;

- информационное подразделение - отдел, сектор и т.п. подразделение, занимающееся обслуживанием (эксплуатацией) локальных ПК и (или) ЛВС структурных подразделений;

- пользователь - государственный служащий - работник администрации края, вне зависимости от замещаемой им государственной должности государственной службы, выполнение должностных обязанностей которого связано с обработкой информации на ПК;

- администратор - государственный служащий - работник информационного или структурного подразделения администрации края, ответственный за выполнение требований по обеспечению сохранности и защите информационных ресурсов локальных ПК и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС другого структурного подразделения (в собственности которого находится сервер ЛВС), и (или) ПК, объединенных в ЛВС информационного или структурного подразделения на базе собственного сервера этой ЛВС;

- сохранность информационных ресурсов - способность локального ПК или ЛВС обеспечивать неизменность информационных ресурсов в условиях случайного и (или) преднамеренного искажения, разрушения, удаления, копирования, несанкционированного доступа, других аналогичных действий;

- защита информационных ресурсов - организационные, правовые, технические и технологические меры по предотвращению угроз информационной безопасности и устранению их последствий;

- обработка информационных ресурсов - сбор, подготовка, ввод, накопление, хранение, преобразование, вывод, отображение информационных ресурсов;

- несанкционированный доступ - доступ к информационным ресурсам, нарушающий правила разграничения доступа с использованием любых средств, предоставляемых ПК или ЛВС.

1.5. Администратор назначается приказом руководителя структурного подразделения. Не допускается возложение функций администратора на представителя сторонней организации, не входящей в структуру администрации края.

1.6. Руководитель структурного или информационного подразделения назначает ответственных из числа пользователей за использование локального ПК и (или) ПК в составе ЛВС.

1.7. Руководители подразделений, пользователи и администраторы обязаны знать и выполнять нормативные правовые акты, затрагивающие вопросы информатизации, защиты информации и информационной безопасности в части соблюдения требований и ограничений по использованию и защите информационных ресурсов различной категории доступа.

1.8. Руководители подразделений, пользователи и администраторы несут персональную ответственность за полноту и своевременность выполнения требований настоящего Положения. За нарушение требований настоящего Положения они могут быть привлечены к административной, уголовной или иной, предусмотренной законодательством, ответственности.

1.9. Настоящее Положение может уточняться и дополняться установленным порядком.


2. Требования к пользователю


2.1. Данный раздел отражает полномочия и функциональные обязанности пользователя локального ПК или ПК в составе ЛВС.

2.2. Пользователь обязан знать администратора, обращаться к нему по вопросам использования аппаратно - программного обеспечения своего ПК, выполнять его устные распоряжения или письменные указания в соответствии с настоящим Положением.

2.3. Пользователь обязан уметь правильно использовать то аппаратно - программное обеспечение, которое установлено на его ПК, включая средства защиты информационных ресурсов.

2.4. Пользователю запрещается самостоятельно устанавливать новое или модифицировать имеющееся прикладное, операционное, сетевое и другие виды программного обеспечения, если эта работа не входит в его должностные обязанности. Необходимость замены (модификации, новой установки и т.п.) программного обеспечения определяется руководителем информационного подразделения и (или) администратором и проводится ими самостоятельно и (или) с привлечением работников информационного подразделения по указанию его руководителя.

2.5. Для исключения или существенного затруднения несанкционированного доступа к информационным ресурсам загрузка операционной системы на ПК пользователя может осуществляться посредством использования пароля. В таком случае пользователь обязан сообщить установленный им пароль своему непосредственному руководителю и администратору.

Пользователю запрещается записывать пароли на любой носитель информации, если доступ к нему других лиц невозможно проконтролировать.

Пользователю запрещается передавать используемые им пароли другому лицу, если у последнего нет на то полномочий, определенных его должностными обязанностями или другими распорядительными, предписывающими документами.

2.6. Пользователь обязан корректно задавать свой идентификатор в ЛВС и пароли, не пытаться работать от имени другого пользователя, не пытаться осуществлять несанкционированный доступ к информационным ресурсам, ему не предназначенным, не предпринимать других действий, приводящих к незаконному просмотру, копированию, модификации или удалению информационных ресурсов.

2.7. Пользователь обязан определить (самостоятельно или с помощью администратора) информационные ресурсы, функционально им используемые или актуализируемые, требующие регулярного резервного сохранения (архивирования). Конкретный вид, периодичность и порядок архивирования определяется пользователем самостоятельно или с помощью администратора.

Ответственность за проведение архивирования информационных ресурсов, физически расположенных на ПК, возлагается на пользователя этого ПК.

Отметку об архивировании пользователю рекомендуется отражать в таблице (см. приложение 1, форма 1).

Пользователю рекомендуется также убедиться в возможности восстановления информационных ресурсов с архивных копий.

2.8. Пользователь обязан знать и уметь пользоваться тем антивирусным программным обеспечением, которое находится на его ПК. Перед проведением любых операций с внешним носителем информации (дискета, стримерная лента, винчестер и т.п.), - считывание, запись, модификация, удаление информации и т.д., пользователь обязан произвести антивирусную проверку внешнего носителя информации. Отметка об использовании внешнего носителя информации отражается пользователем в журнале (см. приложение 1, форма 2).

В случае невозможности излечения (очистки) внешнего носителя информации от вируса пользователь ставит об этом в известность администратора, который производит соответствующие данной ситуации действия и делает отметку об этом в журнале (см. приложение 1, форма 2).

Пользователю категорически запрещается производить какие-либо действия с информацией зараженного вирусом внешнего носителя.

2.9. Пользователи обязаны осуществлять обмен данными, расположенными на ПК или на сервере ЛВС, используя сетевые средства обмена информацией. Запрещается использование внешних носителей информации для обмена данными между пользователями ЛВС.

2.10. Пользователь обязан использовать предоставленное ему дисковое пространство сервера ЛВС только для хранения информационных ресурсов, необходимых для осуществления своих должностных обязанностей.

2.11. Пользователи могут завести один журнал для отображения данных в соответствии с формой 1 и (или) формой 2 (см. приложение 1) для нескольких ПК, если последние расположены в одном помещении или принадлежат одному подразделению. В таком случае в структуру таблицы по форме 2 между первым и вторым столбцами добавляется еще один столбец "ПК, название и (или) инвентарный номер".

Время хранения данного журнала определяется моментом заведения следующего аналогичного журнала при наличии двух уже имеющихся или не должно быть менее года после его заполнения.

2.12. Пользователь обязан информировать администратора и своего непосредственного руководителя о любых нарушениях сохранности информационных ресурсов в соответствии с настоящим Положением, другими нормативными правовыми документами и здравым смыслом, и (или) о возможности появления таких нарушений, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе ПК и (или) ЛВС в целом.


3. Требования к администратору


3.1. Данный раздел отражает полномочия и функциональные обязанности администратора, в части его касающейся, в зависимости от наличия в структурном подразделении только локальных ПК и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС другого структурного подразделения (в собственности которого находится сервер ЛВС), и (или) ПК, объединенных в ЛВС информационного или структурного подразделения администрации на базе собственного сервера этой ЛВС.

Следует различать два вида администраторов: администратор информационных ресурсов и администратор ЛВС.

Администратор информационных ресурсов структурного подразделения несет ответственность за выполнение требований по обеспечению сохранности и защите информационных ресурсов локальных ПК, и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС другого структурного подразделения (в собственности которого находится сервер ЛВС).

Администратор ЛВС структурного подразделения несет ответственность как за выполнение требований по обеспечению сохранности и защите информационных ресурсов всех ПК своего структурного подразделения (локальных и объединенных в ЛВС), так и собственно за администрирование ЛВС своего структурного подразделения, имеющего сервер ЛВС.

Администратор ЛВС является главным по отношению к администратору информационных ресурсов. Все его требования и указания являются обязательными для выполнения администратором информационных ресурсов. Администратор ЛВС по согласованию с руководителем своего структурного подразделения может делегировать часть своих полномочий по администрированию ЛВС администратору информационных ресурсов.

При наличии в структурном подразделении ЛВС на базе собственного сервера ЛВС, назначается только администратор ЛВС структурного подразделения без назначения администратора информационных ресурсов этого подразделения.


Примечание: В настоящем Положении под термином "администратор" следует понимать как "администратор ЛВС", так и "администратор информационных ресурсов", в зависимости от контекста и полномочий, возлагаемых на администратора, по выполнению требований организационно - технических мероприятий согласно данному пункту настоящего Положения.


3.2. Администратором назначается один из работников информационного подразделения, на которого возлагаются дополнительные полномочия и обязанности по обеспечению сохранности и защите информационных ресурсов в соответствии с его должностной инструкцией и настоящим Положением. В зависимости от количества ПК и (или) объемов (сегментов) и типа ЛВС могут быть назначены несколько администраторов.

При отсутствии в составе структурного подразделения информационного подразделения или обслуживающего его информационного подразделения администратором назначается один из наиболее квалифицированных работников в области использования (эксплуатации) ПК.

Администратор может часть своих функций и полномочий, отраженных в настоящем Положении, возложить на других работников информационного подразделения с согласия его руководителя.

3.3. К администратору предъявляются те же требования, что и к пользователю в соответствии с настоящим Положением.

3.4. Администратор оказывает методическую помощь пользователям по вопросам, входящим в его компетенцию в соответствии с настоящим Положением. Устные или письменные указания администратора, не противоречащие его должностной инструкции и требованиям настоящего Положения, являются обязательными для исполнения пользователями.

3.5. Администратор определяет необходимость источника бесперебойного питания для конкретного локального ПК и (или) ПК в составе ЛВС. Наличие источника бесперебойного питания для серверов ЛВС является обязательным.

3.6. Администратор определяет необходимость замены (модификации, новой установки и т.п.) прикладного, операционного, сетевого и других видов программного обеспечения и проводит ее самостоятельно или с привлечением работников информационного подразделения, в функциональные обязанности которых входит данная работа.

3.7. Для уменьшения вероятности получения ущерба от случайных или преднамеренных действий пользователей администратор обязан определить и предоставить пользователям ЛВС только те права доступа к информационным ресурсам, которые необходимы им для выполнения своих должностных обязанностей.

3.8. Для исключения или существенного затруднения несанкционированного доступа к информационным ресурсам администратор может по своему усмотрению или по желанию пользователя обеспечить загрузку операционной системы на ПК пользователя посредством использования пароля.

Пароль не должен состоять из простых общеизвестных слов, имен, фамилий и т.п. Желательно использование в пароле цифр, символов пунктуации, других редко используемых символов. Длина пароля не должна быть меньше пяти символов. Периодичность смены пароля определяется администратором и (или) руководителем подразделения пользователя. Запрещается назначение одного и того же пароля или его несущественных модификаций на разных ПК.

Администратору запрещается передавать список паролей или каждый в отдельности другому лицу, если у последнего нет на то полномочий, определенных его должностными обязанностями или другими распорядительными, предписывающими документами.

3.9. При назначении пароля каждому пользователю для его регистрации вхождения в ЛВС и соблюдении мер по его неразглашению администратор должен руководствоваться правилом, изложенным в п.3.8 настоящего Положения.

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»