3.3. Инструкция пользователя ИСПДн. 3.3.1. Введение.
Инструкция разработана в соответствии с «Положением о методах и способах защиты информации в информационных системах персональных данных» [7], утвержденным Приказом ФСТЭК России от 5.02.2010 N 58; «Специальными требования и рекомендации по технической защите конфиденциальной информации» [8], а также другими нормативными документами по безопасности информации, и определяет порядок обеспечения информационной безопасности при проведении работ пользователями ИСПДн УФМС России по Тюменской области [22-37].
Субъектами доступа к ресурсам ИСПДн являются администратор информационной безопасности (АИБ) и пользователи в соответствии с утвержденным перечнем. Обрабатываемая в ИСПДн информация относится персональным данным (ПДн) иной категории. Пользователи получают свои права на доступ к ресурсам ИСПДн через АИБ.
Пользователи имеют право вносить предложения по изменению и дополнению данной инструкции (в письменном виде на имя начальника Отдела). Изменения и дополнения к данной инструкции утверждаются в установленном порядке. Право толкования положений настоящей инструкции возлагается на АИБ.
3.3.2. Обязанности.
В обязанности пользователя входит:
Полное знание требований, которые предписаны действующими нормативными документами, а также все существующие внутренние инструкции, которые определяют порядок защиты информации.
На АРМ на которых выполняется обработка ПДн, разрешено выполнять только те процедуры, которые определены процессом обработки. Знать и соблюдать установленные требования к обработке ПДн
Полностью следовать правилам учета, а также хранения любых носителей информации, использующихся на АРМ.
Следовать правилам обеспечению безопасности ПДн.
Следовать требованиям текущей действующей парольной политики.
Во время работы располагать экран монитора так, чтобы затруднить посетителям просмотр отображаемой информации. Начинать работу за АРМ только убедившись, что шторы и жалюзи на окнах надежно закрывают экран монитора от НСД.
При обнаружении потенциальных нарушений, связанных с компрометацией ПДн, а также с целью консультации, пользователь обязан обращаться к администратору.
В случае необходимости отлучиться от рабочего места, компьютер необходимо немедленно заблокировать. Для этого необходимо нажать одновременно комбинацию клавиш и выбрать опцию <Блокировка>, либо использовать комбинацию клавиш и .
В случае возникновения каких-либо ситуаций, противоречащих инструкциям, принимать весь перечень необходимых мер, с целью ликвидации возникшего события или минимизации предполагаемого ущерба, если таковой неизбежен.
Пользователю запрещено:
Разглашать защищаемую информацию третьим лицам.
Дублировать информацию на неучтенные внешние носители.
Производить какие-либо действия связанные с програмным обеспечением на рабочей станции, а также влиять на функционирование средств защиты рабочей станции.
Использовать личные внешние устройства хранения информации непосредственно на рабочей станции.
Подключать какие-либо мобильные устройства к корпоративной сети, без разрешения администратора.
Отключать антивирусное, либо иное ПО, нацеленное на защиту рабочей станции.
Исполнять на АРМ работы, не предусмотренные технологическим процессом обработки ПДн.
Сообщать (или передавать) посторонним лицам параметры своей учетной записи (имя и пароль) в ИСПДн.
Строго запрещено привлекать каких-либо посторонних лиц для проведения ремонта, диагностики или настройки рабочей станции.
3.3.3. Порядок работы пользователя с ресурсами ИСПДн.
При включении ПЭВМ необходимо дождаться завершения загрузки и готовности системы защиты информации (СЗИ) и операционной системы (ОС) к идентификации пользователя. Для получения доступа к ресурсам ИСПДн пользователь должен ввести с клавиатуры имя учетной записи и пароль. Если после ввода пароля СЗИ выдаст сообщение об ошибке идентификации пользователя, пользователь должен обратиться к АИБ.
По окончании работы пользователь должен либо завершить штатными средствами сеанс своей работы (без выключения ПЭВМ), либо завершить работу ПЭВМ стандартным способом (при этом выключить ПЭВМ).
Бракованные бумажные носители и черновики документов должны быть уничтожены. При отсутствии пользователя на рабочем месте либо в присутствии лиц, не имеющих допуска к ресурсам ИСПДн, все документы, содержащие ПДн, должны быть недоступны для просмотра и иного их использования.
3.3.4. Организация парольной защиты.
Личные пароли доступа к элементам ИСПДн выдаются пользователям АИБ или создаются самостоятельно. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца. [7]
Правила формирования пароля:
Пароль должен состоять не менее чем из 6 символов.
В пароле должны присутствовать символы из числа прописных и строчных букв английского алфавита от A до Z; десятичные цифры (от 0 до 9); символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %).
Запрещается использовать в качестве пароля имя учетной записи, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения пользователей ИСПДн, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе.
Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов.
Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.).
Запрещается выбирать пароли, которые уже использовались ранее.
Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан. Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами.
Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем. [7, 9, 11, 16, 21]
Пользователь обязан четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию, а также своевременно сообщать АИБ об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.
3.3.5. Ответственность
Пользователь несет личную ответственность за сохранность носителей информации и содержащейся на них информации (в рабочее время), соблюдение требований данной инструкции и неправомерное использование ресурсов ИСПДн. [2]
|
