Скачать 178.76 Kb.
|
УТВЕРЖДЕНО приказом директора автономного учреждения социального обслуживания Удмуртской Республики «Комплексный центр социального обслуживания населения Увинского района» _________________ О.В. Наговицина «____» ___________2017 года № ___ СВОД ПРАВИЛ ПО БЕЗОПАСНОСТИ СОТРУДНИКОВ АВТОНОМНОГО УЧРЕЖДЕНИЯ СОЦИАЛЬНОГО ОБСЛУЖИВАНИЯ УДМУРТСКОЙ РЕСПУБЛИКИ «КОМПЛЕКСНЫЙ ЦЕНТР СОЦИАЛЬНОГО ОБСЛУЖИВАНИЯ НАСЕЛЕНИЯ УВИНСКОГО РАЙОНА» ПРИ ОСУЩЕСТВЛЕНИИ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ С ИСПОЛЬЗОВАНИЕМ СЕТИ ИНТЕРНЕТ И ДЕЙСТВИЯМ ПРИ ВОЗНИКНОВЕНИИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Содержание
Используемые сокращения и термины В настоящем документе используются следующие сокращения и термины:
2. Общие положения Свод правил по безопасной работе сотрудников КЦСОН Увинского района при осуществлении организации информационного взаимодействия при осуществлении информационного взаимодействия с использованием сети Интернет и действиям при возникновении угроз информационной безопасности (далее – свод правил) разработан в соответствии с Федеральным законом № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации» и другими нормативными правовыми актами Российской Федерации, регулирующими отношения в области защиты информации. Настоящий Свод правил разработан для работников КЦСОН Увинского района. Целями и задачами свода правил являются: - организация деятельности работников, осуществляющих администрирование информационных систем; - регулирование работы пользователей; - обеспечение целостности, конфиденциальности и доступности хранящейся информации, находящейся на АРМ или ЛВС; - соблюдение требований нормативных актов и действующего законодательства Российской Федерации в области защиты информации; - обеспечение взаимодействия КЦСОН Увинского района с УФСБ по УР. Пользователь, системный администратор и администратор информационной безопасности в своей работе руководствуются Сводом правил, а также иными руководящими, нормативными документами и регламентирующими документами в области информационной безопасности. Агентство информатизации и связи Удмуртской Республики осуществляет, в рамках своих полномочий, контроль за соблюдением Свода правил и взаимодействие с УФСБ по УР в рамках расследования и устранения последствий инцидентов информационной безопасности. Участники информационного взаимодействия в течение 10 рабочих дней информируют Агентство информатизации и связи Удмуртской Республики о принятых на работу/уволенных системных администраторах и АИБ (ФИО, должность, контактные данные). 3. Правила по выявлению электронных писем с вредоносными вложениями соблюдайте осторожность при получении писем с вложениями, которых не ждали, даже если на первый взгляд они выглядят безобидно с точки зрения содержания и адреса отправителя (обычно зараженные письма имеют такой вид, ведь их назначение – вызвать у пользователя доверие и заставить его запустить вложенный в письмо файл). В качестве примера можно привести сообщение с вирусом-червем Email-Worm.Win32.Warezov.nf, распространяемым через почтовую рассылку и нередко занимающим немалую долю в почтовом трафике. Текст зараженного им сообщения у неискушенных пользователей сразу вызывает доверие, ведь их извещают о будто бы имевшей место подозрительной активности их IP-адреса и рекомендуют инсталлировать заплатку к брандмауэру, которая приложена в письме. Столь же осторожно стоит относиться и к посланиям с вложениями, которых вы не ждали, даже полученным от знакомых, отправленных ведущими компаниями либо администраторами известных сайтов. Внушающий доверие адрес отправителя часто провоцирует получателя доверчиво открыть вложение, чего делать не следует, так как вложения в подобных сообщениях, как правило, опасны. На самом деле никто из указанных отправителей вам подобное письмо не посылал, а причиной его появления в вашем почтовом ящике стало заражение вирусом компьютера одного из ваших знакомых пользователей, имеющего в почтовой базе ваш электронный адрес. Именно по такой схеме действует, например, вирус Sobig.F, который, как и прочие почтовые черви, сканирует зараженный компьютер для получения списка адресов, по которым затем себя и рассылает, причем в качестве адреса отправителя указывает либо любой другой адрес из найденного списка, либо некий фиксированный адрес, заложенный в вирус его автором. Таким образом, вы можете получить письмо с вирусом, якобы отправленное вашим знакомым. Имейте в виду, что вредоносные компоненты могут оказаться не только в исполняемых файлах (*.exe, *.bat т.д.), но и в архивах (обычно *.zip), а также в файлах с вполне безобидными на первый взгляд расширениями, например в графических изображениях (*.bmp, *.cur, *.ico или *.ani), документах Microsoft Offce (Word (*.doc)) и т.д. Например, расширение *.ani, присущее анимированным курсорам, имеют многие троянцы (Trojan-Downloader.Win32.Agen.ani и др.), которые активируются при открытии таких ANI-файлов и запускают программу, загружающую ряд других троянских программ. В обычных же Word-документах могут скрываться совсем небезобидные макросы. В качестве примера можно привести проведенную в 2006 году массовую спам-рассылку писем, зараженных троянской программой Trojan-Dropper.MSWord.Lafool.v. она проводилась от имени антивирусной компании McAfee с адреса mcafee@europe.com и включая на первый взгляд безобидный Word-документ с именем <McAfee Inc. Reports.doc>, якобы содержащий отчет о распространении вредоносных программ в Сети. В действительности же в данном документе был макрос, который запускал троянскую программу Trojan-PSW.Win32.LdPinch.bbg, ворующую пароли для различных сервисов и прикладных программ и личную информацию пользователей. Никогда не щелкайте по ссылкам в полученных сообщениях (исключение могут составлять лишь письма, которых вы ожидали, например после регистрации на сайтах с ПО, которое вы хотите скачать). Дело в том, что почтовые вирусы размножаются не только путем пересылки собственной копии в виде вложения в электронное письмо, но и посредством вставки в сообщение ссылки на свой файл, расположенный на каком-либо сетевом ресурсе. В таком случае код червя активируется при открытии ссылки на зараженный файл и компьютер оказывается зараженным. Никогда не пытайтесь отказаться от какой-либо рассылки, на которую не подписывались, путем предлагаемой в сообщении возможности «отписаться», щелкнув на предназначенной для этого ссылке. В противном случае поток нежелательной корреспонденции в ваш почтовый ящик лишь увеличится, поскольку таким образом вы подтвердите действительность собственного электронного адреса. Гораздо разумнее внести соответствующий адрес (или даже целый домен) в черный список запрещенных к получению адресов. Таким образом, к подозрительным можно отнести электронные сообщения имеющие вложения с расширениями .pdf, .doc, .docx, .xls, .xlsx, .zip, .rar, .exe, изображений. Письма составляются с использованием методов социальной инженерии, с указанием адресата отправителя известного адресанту. На момент рассылки не детектируется антивирусными средствами. При открытии вложения происходит поражение персональной электронной вычислительной машины вредоносным программным обеспечением. Основные признаки вредоносной рассылки:
При получении Вами подозрительных почтовых сообщений с вышеназванными признаками необходимо незамедлительно сообщить об этом системному администратору и лицу, ответственному за информационную безопасность. В дальнейшем необходимо действовать по их указанию. В случае если заражение произошло, необходимо немедленно обесточить рабочее место, выдернув шнур питания системного блока, тем самым остановить процессы распространения вируса на компьютере и в локальной сети. Также необходимо незамедлительно сообщить об этом системному администратору и лицу, ответственному за информационную безопасность. В дальнейшем необходимо действовать по их указанию. Также о фактах заражения необходимо сообщить в отдел информационной безопасности и связи Агентства информатизации и связи Удмуртской Республики и сделать отметку в журнале инцидентов информационной безопасности с указанием номера инцидента, присвоенного в Агентстве информатизации и связи Удмуртской Республики. 4. Требования к Пользователю
5. Требования к системному администратору и администратору информационной безопасности Обязанности системного администратора:
Обязанности АИБ:
6. Парольная политика Правила формирования пароля:
- прописные буквы английского алфавита от А до Z; - строчные буквы английского алфавита от а до z; - цифры (от 0 до 9); - символы, не принадлежащие алфавитно-цифровому набору (например: !, $, #, %); 3. пароль не может содержать имя учетной записи Пользователя или какую-либо его часть; 4. пароль не должен включать в себя легко вычисляемые сочетания символов, простые пароли типа «123», «111», «qwerty» и им подобные, а так же ФИО и даты рождения свои и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые могут быть подобраны, основываясь на информации о пользователе; 5. не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов (например «ааааааааа»); 6. не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (1234567 и т.п.); 7. не использовать ранее использованные пароли; 8. при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях; 9. во время ввода пароля необходимо убедиться, что клавиатура находится вне поля зрения посторонних лиц, а также технических средств (видеокамер, фотоаппаратов). 7. Мероприятия по противодействию терроризму и экстремистской деятельности в информационной сфере В целях противодействия экстремистской деятельности и пропаганде терроризма в сети Интернет системный администратор и ИАБ проводят мероприятия по ограничению доступа пользователей к материалам в сети Интернет, содержащую призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка. В случае обнаружение сайтов в сети Интернет, содержащих данные материалы, Пользователи незамедлительно должны сообщить об этом Системному администратору и/или АИБ. Системный администратор совместно с АИБ предпринимает действия по ограничению просмотра данного контента в своей организации. Также применяются действия по блокировке интернет страниц, описанные на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (ссылка на ресурс: https: //rkn.gov.ru/treatments/p459/p750/). Также не позднее 5 рабочих дней необходимо сообщить о принятых действиях в адрес Агентства информатизации и связи Удмуртской Республики. 8. Ответственность участников взаимодействия Каждый Пользователь несет персональную ответственность: - за свои действия в период осуществления информационного взаимодействия с использованием сервисов сети Интернет, - за соблюдение требований, установленных настоящим Сводом правил; - за информацию/данные, обрабатываемые посредством АРМ; - за установку на АРМ программного обеспечения, модификацию или тиражирование программного обеспечения, изменения алгоритмов функционирования технических и программных средств. - системный администратор и АИБ несут персональную ответственность за неисполнение или исполнение не в полном объеме своих обязанностей, перечисленных в разделе 5 Свода правил. За нарушение настоящего свода правил, повлекшее неправомерное уничтожение, блокирование, модификацию либо копирование охраняемой законом информации, нарушение работы государственных информационных систем и ресурсов, может повлечь дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством. |
Аналитический отчет о деятельности бюджетного учреждения социального... Бюджетное учреждение социального обслуживания Удмуртской Республики «Комплексный центр социального обслуживания населения Сюмсинского... |
Департамент социального развития кировской области кировское областное... «Малмыжский комплексный центр социального обслуживания населения» (когаусо «Малмыжский комплексный центр социального обслуживания... |
||
Отчёт о проделанной работе Государственного автономного учреждения... Государственного автономного учреждения социального обслуживания населения Свердловской области |
Правила внутреннего трудового распорядка бюджетного учреждения социального... Утверждаю директор Бюджетного учреждения социального обслуживания Вологодской области |
||
Государственное областное автономное учреждение социального обслуживания... «Апатитский комплексный центр социального обслуживания населения» извещает о проведении запроса котировок цен на поставку технологического... |
Инструкция о порядке изготовления, хранения, использования, уничтожения... Республики Адыгея «Комплексный центр социального обслуживания населения по Шовгеновскому району» |
||
Государственное автономное учреждение социального обслуживания Московской области Фз от 18. 07. 2011 года «О закупках товаров, работ, услуг отдельными видами юридических лиц», Положением о закупке товаров, работ,... |
Документация о закупке Государственного бюджетного учреждения социального обслуживания Московской области «Пушкинский комплексный центр социального обслуживания... |
||
Проект постановления Правительства Свердловской области Свердловской области «Комплексный центр социального обслуживания населения Гаринского района» путем изменения типа существующего... |
Проект постановления Правительства Свердловской области Свердловской области «Комплексный центр социального обслуживания населения Гаринского района» путем изменения типа существующего... |
||
Проект постановления Правительства Свердловской области «Комплексный центр социального обслуживания населения Слободо-Туринского района» путем изменения типа существующего государственного... |
Техническое задание I. Извещение о запросе котировок цен «31» января... «Апатитский комплексный центр социального обслуживания населения» извещает о проведении запроса котировок цен на приобретение моющих... |
||
Акт №04-50/03-02-15-кс Иркутской области областным государственным бюджетным учреждением социального обслуживания «Комплексный центр социального обслуживания... |
Закон от 28. 12. 2013 года №442-фз «Об основах социального обслуживания... Униципальное казенное учреждение ордынского района новосибирской области «комплексный центр социального обслуживания населения» |
||
Закон от 28. 12. 2013 года №442-фз «Об основах социального обслуживания... Униципальное казенное учреждение ордынского района новосибирской области «комплексный центр социального обслуживания населения» |
«Паланский комплексный центр социального обслуживания населения» Краевое государственное автономное учреждение социальной защиты «Паланский комплексный центр социального обслуживания населения» |
Поиск |