Geum.ru

Инструкция пользователя автоматизированного рабочего места, выделенного для обработки конфиденциальной информации (персональных данных)

Вид материалаИнструкция

Содержание


Инструкция пользователей
4. Порядок применения парольной защиты.
Подобный материал:


УТВЕРЖДЕНО

приказом

Инструкция пользователя автоматизированного рабочего места, выделенного для обработки конфиденциальной информации (персональных данных) ____________________________

1. Общие положения

1.1. Инструкция пользователям автоматизированного рабочего места, выделенного для обработки конфиденциальной информации (персональных данных) ____________________________ (далее – АРМОКИ(ПД)) предназначена для руководителей и сотрудников ___________________________ и регулирует порядок допуска пользователей к работе на АРМОКИ(ПД), а также правила обращения с защищаемой информацией, обрабатываемой на АРМОКИ(ПД).

1.2. Положения Инструкции обязательны для исполнения всеми пользователями АРМОКИ(ПД).

1.3. Все пользователи АРМОКИ(ПД) должны быть ознакомлены под расписку с Инструкцией и предупреждены о возможной ответственности за ее нарушение.

2. Порядок предоставления доступа к работе на АРМОКИ(ПД)

2.1. Для работы с конфиденциальной информацией каждый пользователь должен получить соответствующий доступ. Под доступом понимается получение каждым пользователем разрешения руководителя ____________________________ на право работы с защищаемой информацией с учетом его служебных обязанностей (доступ должен быть прописан в должностных обязанностях или приказе).

2.2. Доступ пользователей к работе на АРМОКИ(ПД) организует ответственный за защиту информации.

3. Требования по безопасности к пользователю на АРМОКИ(ПД)

3.1. В соответствии с требованиями нормативных документов на АРМОКИ(ПД) и базы данных (БД) к пользователям АРМОКИ(ПД) предъявляются (под расписку) требования по безопасности, знание и выполнение которых каждым пользователем строго обязательно.

3.2. Пользователь АРМОКИ(ПД) обязан:

- знать правила безопасности на АРМОКИ(ПД);

- при работе на АРМОКИ(ПД) выполнять только служебные задания;

- при отсутствии необходимости работы на АРМОКИ(ПД) выключить компьютер;

- работать на АРМОКИ(ПД) только в разрешенный период времени;

- убедиться в исправности АРМОКИ(ПД), отсутствии «вирусов»;

- при сообщениях тестовых программ о появлении «вирусов» немедленно доложить ответственному за антивирусную защиту;

- в случае необходимости использования отчуждаемых машинных носителей (дискет, CD и DVD дисков, других съемных носителей информации), поступивших из других учреждений, предприятий и организаций, прежде всего провести проверку этих носителей на отсутствие «вирусов»;

- при решении задач с защищаемой информацией использовать только учтенные машинные носители;

- немедленно выполнять предписания ответственного за защиту информации;

- представлять АРМОКИ(ПД) ответственному за защиту информации для контроля.

3.3. Требования к пользователю по сохранности пароля.

3.3.1. Все пользователи АРМОКИ(ПД) обязаны:

- выполнять требования инструкции по парольной защите;

- сохранять пароль в тайне;

- не сообщать свой пароль другому лицу, даже если это должностное лицо;

- вводить личный пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;

- периодически изменять пароль (не реже 1 раза в месяц).

3.4. Пользователю АРМОКИ(ПД) запрещается:

- самостоятельно производить установку любого программного обеспечения (ПО);

- оставлять АРМОКИ(ПД), без контроля;

- допускать к включенному АРМОКИ(ПД) посторонних лиц;

- запускать любые системные или прикладные программы, не входящие в состав программного обеспечения АРМОКИ(ПД);

- иметь игровые и обучающие программы на АРМОКИ(ПД);

- работать с неучтенными машинными носителями информации;

- производить копирование защищаемой информации на неучтенные носители информации (в том числе и для временного хранения информации);

- работать на АРМОКИ(ПД) с защищаемой информацией при обнаружении неисправностей.

3.5. Ответственность пользователя при работе на АРМОКИ(ПД):

3.5.1. Пользователь АРМОКИ(ПД) несет персональную ответственность за соблюдение установленных требований во время работы на АРМОКИ(ПД).

3.5.2. Ответственность за допуск пользователя к АРМОКИ(ПД) и установленные ему полномочия несет руководитель учреждения, подписавший (подтвердивший) полномочия данного пользователя АРМОКИ(ПД).

Пользователи АРМОКИ(ПД), виновные в нарушении законодательства Российской Федерации о защите прав собственности и охраняемых по Закону сведений, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и организационно распорядительными документами.


Для служебного пользования

Экз. ед.


Утверждаю

________________________________

(должность руководителя организации)


_____________

(подпись)

«___» _______________2009 г.







Инструкция пользователей


автоматизированное рабочее место (АРМ)

на базе автономной ПЭВМ (инв. № 12345678)

_____________________________________________________


расположенном в помещении № 777


1. Объект вычислительной техники (ОВТ) разрешается использовать для обработки информации содержащей персональные данные при соблюдении следующих условий:

1.1. Вспомогательные технические средства и системы, провода и кабели располагать от основных технических средств и систем (ОТСС) в соответствии с Предписаниями на эксплуатацию.

1.2. Подключение ОТСС осуществлять с использованием штатных кабелей.

1.3. Право работы на ОВТ предоставляется Администратору информационной безопасности и пользователям.

1.4 Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ОВТ, несет персональную ответственность за свои действия.


2. Обязанности пользователя ОВТ.


2.1. Выполнять на ОВТ только те процедуры, которые определены для него в «Разрешительной системе доступа к информационным (программным) ресурсам объекта вычислительной техники - автоматизированное рабочее место на базе автономной ПЭВМ (инв. № 12345678) образовательного учреждения расположенном в помещении №999».

2.2. Перед обработкой персональных данных включать и проверять функционирование генератора шума по сети электропитания и линиям заземления СОНАТА-РС1, генератора шума ГШ-2500.

2.3. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке машинных носителей информации, а также руководящих и организационно-распорядительных документов на данный ОВТ.

2.4. Пользователи перед началом обработки на ОВТ файлов, хранящихся на съемных носителях информации, должны осуществить проверку файлов на наличие компьютерных вирусов. Антивирусный контроль ОВТ должен осуществляться пользователем не реже одного раза в неделю.

2.5. Экран видеомонитора в помещении располагать во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты).

2.6. Соблюдать установленный режим разграничения доступа к информационным ресурсам: получать у Администратора информационной безопасности (АИБ) пароль, надежно его запоминать и хранить в тайне.

2.7. Немедленно докладывать АИБ обо всех фактах и попытках НСД к обрабатываемой на ОВТ информации или об ее исчезновении (искажении).

2.8. Пользователям ОВТ запрещается:
  • записывать и хранить информацию на неучтенных носителях информации (НИ);
  • оставлять во время работы магнитные НИ (или ОВТ с НИ) без присмотра, передавать их другим лицам и выносить за пределы помещения, в котором разрешена обработка информации;
  • отключать (блокировать) средства защиты информации, предусмотренные организационно-распорядительными документами на данный ОВТ;
  • производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;
  • обрабатывать информацию с выключенным или нефункционирующими устройствами защиты информации: генератором шума по сети электропитания и линиям заземления СОНАТА-РС1 и генератором шума ГШ-2500;
  • самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
  • обрабатывать на ОВТ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам обработки информации;
  • сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам ОВТ;
  • работать на ОВТ при обнаружении каких-либо неисправностей;
  • хранить НИ вблизи сильных источников электромагнитных излучений и прямых солнечных лучей;
  • хранить на учтенных НИ программы и данные, не относящиеся к рабочей информации;
  • вводить в ОТСС персональные данные под диктовку или с микрофона;
  • осуществлять электропитание и заземление ОТСС от нештатных сетей электропитания и заземления;
  • привлекать посторонних лиц для производства ремонта ОТСС без согласования со специалистом по защите информации.


3. Организация парольной защиты при работе на объектах информатизации.


3.1 Личные пароли доступа к объекту информатизации, системе защиты от НСД, выдаются пользователям Администратором информационной безопасности, и при этом необходимо руководствоваться следующими требованиями:

- длина пароля должна быть не менее 8-ти буквенно-цифровых символов;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования АРМ, общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP, GUEST, ADMINISTRATOR и т.д.), и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об ответственном исполнителе;

- не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

- не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

- в числе символов пароля, обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры;

- не использовать ранее использованные пароли.

3.2. Лица, использующие паролирование, обязаны:

- четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;

- своевременно сообщать Администратору информационной безопасности о всех нештатных ситуациях, нарушениях работы подсистем защиты от НСД, возникающих при работе с паролями.

3.3. При организации парольной защиты запрещается:

- записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.;

- хранить пароли в записанном виде на отдельных листах бумаги;

- сообщать посторонним лицам свои пароли, а также сведения о применяемой системе защиты от НСД.

4. Порядок применения парольной защиты.



4.1. Полная плановая смена паролей на ОВТ проводится один раз в 3 месяца.

4.2. Удаление (в т.ч. внеплановая смена) личного пароля любого пользователя ОВТ должна производиться в следующих случаях:

- в случае подозрения на дискредитацию пароля;
  • по окончании срока действия;
  • в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) пользователя после окончания последнего сеанса работы данного с системой;
  • по указанию Администратора информационной безопасности.

4.3. Смена пароля осуществляется Администратором информационной безопасности.

4.4. Для предотвращения доступа к персональным данным, находящейся в ПЭВМ, минуя ввод пароля, пользователь во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки «Блокировать» в появившемся меню, или выключить ПЭВМ.

Порядок применения (смены) паролей при работе на ПЭВМ, оборудованных системой защиты от НСД, приведен в эксплуатационной документации на СЗИ.


5. Технология обработки персональных данных.


5.1. При первичном допуске к работе на ОВТ Пользователь знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных документов по вопросам автоматизированной обработки информации, изучает инструкцию пользователя системы защиты СЗИ НСД «Secret Net 5.0 – С», получает персональный идентификатор или личный текущий пароль у Администратора информационной безопасности. Перед началом обработки персональных данных Пользователь обязан включить и проверить функционирование устройств генератора шума по сети электропитания и линиям заземления СОНАТА-РС1, генератора шума ГШ-2500.

5.2. Пользователь включает ОВТ, визуально убеждается в целостности голографических наклеек, исправности и нормальном функционировании ОВТ.

5.3. В процессе работы пользователь создает файлы и массивы информации на ОВТ с применением операционных систем Windows ХР.

5.5. При необходимости вывод персональных данных из ОВТ осуществляется следующим образом:
  • копированием на учтенные носители;
  • на печатающее устройство (принтер) инв. №12345678.



Ответственный за защиту информации И.О. Фамилия


уч. № 008дсп

00.00.2009 г.