III. Порядок работы пользователей в локально-вычислительной сети и персональном компьютере
3.1. Безопасность конфиденциальной информации при их обработке на персональных компьютерах, автоматизированных рабочих местах, рабочих станциях локально-вычислительной сети и информационных системах обеспечивают сотрудники Министерства.
Для выполнения работ по обеспечению безопасности конфиденциальной информации при их обработке в информационных системах в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
3.2. Сотрудники Министерства получают доступ к локально-вычислительной сети (персональному компьютеру) Министерства (далее – ЛВС, ПК) при вступлении в должность на основании приказа и являются пользователями ЛВС, ПК (далее – пользователь).
Каждый сотрудник, должность которого предусматривает обработку конфиденциальной информации, должен пройти инструктаж по работе с ПЭВМ и ИСПДн.
Инструктаж проводится сотрудником, ответственным за информационную безопасность. Проведение инструктажа фиксируется в Журнале проведения инструктажа (Приложение № 1).
Инструктаж по работе с ИСПДн и ЛВС (ПК) должен проводиться не реже 1 раза в год, контроль выполнения требований по работе с ИСПДн и ЛВС (ПК) – не реже 1 раза в полугодие.
3.3. Для доступа к ЛВС (ПК) пользователь ЛВС (ПК) получает уникальный логин и пароль и наделяется правами в соответствии с должностными обязанностями.
Выданный логин и первичный пароль подлежат регистрации в Журнале учета выданных паролей (Приложение № 2), который хранится в сейфе непосредственного руководителя структурного подразделения.
У каждого пользователя должны быть уникальные логин и пароль. Работа нескольких пользователей под одним логином и паролем запрещается.
3.4. Пользователь ЛВС (ПК) в рамках своих функциональных обязанностей несет персональную ответственность за свои действия и обязан:
а) вести работу с документами в ЛВС (ПК) в рамках своих основных должностных обязанностей;
б) строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами;
в) знать и выполнять правила работы со средствами защиты информации, установленными на его рабочей станции (ПК), и установленный режим разграничения доступа к техническим средствам, программам, данным и файлам;
г) хранить в тайне свой логин пароль доступа в ЛВС (ПК);
д) немедленно информировать руководителя структурного подразделения и сотрудника, ответственного за информационную безопасность, при подозрении компрометации пароля;
е) знать способы выявления нештатного поведения используемых операционных систем и пользовательских приложений, последовательность дальнейших действий;
ж) знать штатные режимы работы программного обеспечения, а также пути проникновения и распространения компьютерных вирусов;
и) в начале каждого сеанса работы с ЛВС (ПК) убеждаться в исправности своей рабочей станции, отсутствии компьютерных вирусов;
к) при сообщениях тестовых программ о появлении компьютерных вирусов немедленно сообщить руководителю структурного подразделения и сотруднику, ответственному за информационную безопасность, и прекратить работу до устранения компьютерных вирусов.
3.5. Пользователю ЛВС (ПК) категорически запрещается:
а) осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
б) осуществлять обработку конфиденциальной информации в условиях, позволяющих осуществлять их просмотр лицами, не имеющими к ним допуска, а также при несоблюдении требований по эксплуатации рабочей станции;
в) записывать и хранить документы, содержащие сведения ограниченного распространения, на неучтенных электронных носителях информации;
г) оставлять включенным без присмотра ПК, на котором не завершен сеанс работы с ЛВС (ПК) (блокировка – одновременное нажатие кнопок Win + L);
д) оставлять без личного присмотра на рабочем месте или где бы то ни было электронные носители и распечатки, содержащие конфиденциальную информацию;
е) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению экстренной ситуации. При обнаружении такого рода ошибок необходимо немедленно поставить в известность непосредственного руководителя структурного подразделения и сотрудника, ответственного за информационную безопасность;
ж) сообщать кому-либо устно или письменно личные атрибуты доступа к ресурсам ЛВС (ПК);
з) отключать или блокировать установленные средства защиты информации;
и) производить иные действия, ограничения, на исполнение которых предусмотрены утвержденными нормативными документами.
3.6. Предоставление пользователям ЛВС (ПК) доступа к услугам интернет осуществляется по вступлении в должность исключительно для выполнения порученных им должностных и функциональных обязанностей.
3.7. Локальные учетные записи компьютеров «Администратор» (Administrator) «Гость» (Guest) предназначены для служебного использования сотрудником, ответственным за информационную безопасность, при настройке систем и не предназначены для повседневной работы.
3.8. Встроенная учетная запись «Гость» (Guest) должна быть заблокирована на всех рабочих станциях в составе ЛВС (ПК) при первоначальном конфигурировании операционной системы.
3.9. Встроенная учетная запись «Администратор» (Administrator) должна быть переименована и защищена паролем.
3.10. Создание и использование своих личных локальных учетных записей на рабочих станциях, подключенных к ЛВС и входящих в состав домена, либо в состав какого-либо из его поддоменов пользователям запрещено.
3.11. К управлению доменными учетными записями пользователей необходимо подходить исходя из принципа «минимальных привилегий», т.е. пользователь не должен иметь прав доступа как к локальной системе, так и к ресурсам Министерства больше, чем это необходимо ему для выполнения своих должностных обязанностей;
3.12. В случае длительного отсутствия пользователя ЛВС (ПК) (командировка, болезнь и т.п.) его учетная запись блокируется, и, в случае необходимости, изменяются права доступа других пользователей в отношении ресурсов данного пользователя.
3.13. Смена забытого пользовательского пароля производится сотрудником, ответственным за информационную безопасность, на основании заявки пользователя путем ввода пользователем нового пароля в специальной консоли в присутствии сотрудника, ответственного за информационную безопасность.
3.14. Для предоставления временного доступа к ресурсам ЛВС (для лиц, не являющихся сотрудниками Министерства, для сотрудников, которым необходимо получить временный доступ к ресурсам и т.п.) необходимо использовать процедуру временных учетных записей.
Временная учетная запись – учетная запись, имеющая ограничение по времени действия и ограниченные права по доступу.
Для временных учетных записей проводится подробное протоколирование их использования.
Процедура получения временных учетных записей состоит в следующем:
сотрудник через руководителя структурного подразделения, либо гражданин, не являющийся сотрудником Министерства через доверенное лицо в Министерстве, оформляет соответствующим образом заявку на внесение его в списки пользователей и наделение пользователей полномочиями доступа к ресурсам Министерства, указав в заявке, что требуемая учетная запись временная и определив временные рамки ее использования.
Заявка подписывается у руководителя Министерства и направляется сотруднику, ответственному за информационную безопасность.
Временная учетная запись создается сотрудником, ответственным за информационную безопасность, на указанный в заявке, срок с предоставлением минимально необходимых полномочий и прав.
3.15. Служебные учетные записи – это учетные записи, используемые службами либо техническим персоналом для доступа к ресурсам, необходимым для выполнения их функций. К привилегированным учетным записям относятся учетные записи, используемые для управления работой операционной системой и локально-вычислительной сетью в целом.
3.16. При использовании привилегированных учетных записей (администратора) необходимо руководствоваться принципом «минимальных привилегий», т.е. привилегии администратора должны использоваться только администратором и только если выполняемая задача требует наличия таких привилегий.
3.17. Использование привилегированных учетных записей в повседневной работе, не связанной с необходимостью их использования (установка, конфигурирование, восстановление и т.п. операционной системы и сервисов) недопустимо, в случае необходимости запуска программы с правами Администратора пользователь обязан использовать команду «Run As..» либо «вторичный вход в систему».
3.18. Учетная запись администратора домена должна использоваться только при установке, конфигурировании, восстановлении контроллера домена и иных действиях, при которых использование других учетных записей невозможно. Для этой учетной записи необходимо подробное протоколирование всех событий ее использования, а также немедленное расследование любого нецелевого ее использования.
3.19. Использование принципа «минимальных привилегий» необходимо для служб и сервисов, выполняющихся на серверах Министерства, т.е. службы и сервисы должны работать с минимально возможными для их корректной работы привилегиями исходя из следующей иерархии:
локальная служба;
сетевая служба;
уникальная учетная запись локального пользователя;
уникальная учетная запись пользователя домена;
локальная система;
учетная запись локального администратора;
учетная запись администратора домена.
3.20. К серверам высокой степени безопасности (контроллеры домена, серверы баз данных, иные серверы, от которых зависит бесперебойная работа Министерства) необходимо предъявлять повышенные требования к минимизации привилегий доступа со стороны как удаленных, так и локальных пользователей и служб.
3.21. Пароли служебных учетных записей устройств, не входящих в Active Directory (маршрутизаторы, аппаратные межсетевые экраны и т.п.) необходимо хранить запечатанном конверте у сотрудника, ответственного за информационную безопасность. При смене паролей конверт со старыми паролями уничтожается.
3.22. В случае компрометации, либо подозрении на компрометацию привилегированной учетной записи необходима внеплановая смена паролей всех зависящих от нее учетных записей.
3.23. Для повышения степени защиты критически важных объектов Министерства (рабочие станции, мобильные компьютеры, иные объекты) от несанкционированного доступа может использоваться двухфакторная аутентификации (по паролю и предмету – далее ключевой носитель информации).
3.24. Каждому пользователю ЛВС (ПК), для которого предусмотрена двухфакторная аутентификация, выдается персональный ключевой носитель информации, который учитывается сотрудником, ответственным за информационную безопасность, установленным образом (однозначное сопоставление ключевого носителя и его владельца).
3.25. Ключевые носители информации маркируются установленным образом (уникальный номер ключевого носителя).
3.26. В случае прекращения необходимости использования персонального ключевого носителя (увольнение пользователя, прекращение функционирования объекта, для аутентификации на котором носитель использовался и т.п.) информация с данного носителя стирается установленным образом, либо уничтожается сам носитель в случае невозможности его очистки, в установленном порядке.
3.27. Пользователям ЛВС (ПК) категорически запрещается оставлять без личного присмотра, а также передавать другим лицам персональные ключевые носители, сообщать коды от персонального ключевого носителя, если таковые имеются.
3.28. В случае утраты персонального ключевого носителя пользователь обязан немедленно сообщить об инциденте непосредственному руководителю либо сотруднику, ответственному за информационную безопасность. При возникновении подобного инцидента необходимо незамедлительно принять меры для недопущения несанкционированного использования утраченного персонального ключевого носителя.
Утрата персонального ключевого носителя является серьезным нарушением порядка защиты информации в Министерства, по которому проводится служебная проверка в установленном порядке.
|
