Правила парольной и антивирусной защиты

МИНИСТЕРСТВО ФИНАНСОВ СВЕРДЛОВСКОЙ ОБЛАСТИ

ПРИКАЗ

от 20 марта 2014 г. N 145

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В МИНИСТЕРСТВЕ ФИНАНСОВ СВЕРДЛОВСКОЙ ОБЛАСТИ

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" с последними изменениями от 25.07.2011 и Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" приказываю:

1. Утвердить Правила обработки персональных данных в Министерстве финансов Свердловской области (Приложение N 1).

2. Утвердить Форму журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн (Приложение N 2).

3. Начальнику отдела автоматизации бюджетного процесса (Трофимов А.В.) под роспись ознакомить с настоящим Приказом всех сотрудников Министерства финансов Свердловской области, допущенных к обработке персональных данных в информационных системах персональных данных.

4. Контроль за исполнением настоящего Приказа возложить на заместителя министра финансов Свердловской области А.П. Медведева.

Министр финансов

Г.М.КУЛАЧЕНКО

Приложение N 1

к Правилам обработки

персональных данных

в Министерстве финансов

Свердловской области

ПРАВИЛА

ПАРОЛЬНОЙ ЗАЩИТЫ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Целью применения и реализации Правил парольной защиты является недопущение утечки персональных данных (далее - ПДн), а также их несанкционированной модификации или уничтожения. Правила распространяются на всех пользователей и администраторов информационной системы персональных данных (далее - ИСПДн) оператора.

2. Правила парольной защиты регламентируют организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в ИСПДн, а также контроль над действиями пользователей при работе с паролями.

3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями пользователей при работе с паролями возлагается на администратора информационной безопасности.

4. Личные пароли должны генерироваться и распределяться централизованно либо создаваться пользователями ИСПДн самостоятельно с учетом следующих требований:

1) пароль должен быть не менее 8-ми символов;

2) в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);

3) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

4) при смене пароля новое значение должно отличаться от значений 24-х предыдущих паролей;

5) максимальный срок действия пароля пользователя составляет 180 дней;

6) минимальный срок действия пароля пользователя составляет 2 дня;

7) пользователь не имеет права сообщать личный пароль другим лицам.

5. Администратор информационной безопасности должен под роспись ознакомить с перечисленными выше требованиями владельцев паролей и предупредить об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

6. При наличии, в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п., технологической необходимости использования имен и паролей работников (исполнителей) в их отсутствие, работники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение администратору информационной безопасности. Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе.

7. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже двух раз в квартал.

8. Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой на основании письменного указания начальника отдела, в котором указанный пользователь занимал должность.

9. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администратора информационной безопасности.

2. КОНТРОЛЬ

10. Контроль за действиями пользователей ИСПДн при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора информационной безопасности и на лицо, ответственное за организацию обработки ПДн.

Приложение N 2

к Правилам обработки

персональных данных

в Министерстве финансов

Свердловской области

ПРАВИЛА

АНТИВИРУСНОЙ ЗАЩИТЫ

1. ОБЩИЕ ТРЕБОВАНИЯ

1. Правила антивирусной защиты определяют требования к организации защиты информационной системы персональных даны (далее - ИСПДн) от разрушающего воздействия вредоносных программ и устанавливают ответственность руководителя и сотрудников, ответственных за эксплуатацию ИСПДн, за их выполнение.

2. Целью защиты ИСПДн от вредоносных программ является предотвращение и нейтрализация негативных воздействий вредоносных программ на средства вычислительной техники.

3. К использованию в ИСПДн допускаются только лицензионные и сертифицированные ФСТЭК или ФСБ России по требованиям безопасности информации средства защиты от вредоносных программ.

4. Установка и начальная настройка средств защиты от вредоносный программ в ИСПДн осуществляется представителями организации-лицензиата ФСТЭК России, впоследствии - администратором информационной безопасности.

5. Администратор информационной безопасности должен организовывать осуществление периодического обновления сигнатур средств защиты от вредоносных программ и контроль их работоспособности не реже чем один раз в неделю.

6. Пользователи ИСПДн обязаны руководствоваться в работе настоящими Правилами и "Технологической инструкцией пользователя".

2. ПРИМЕНЕНИЕ СРЕДСТВ ЗАЩИТЫ ОТ ВРЕДОНОСНЫХ ПРОГРАММ

7. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

8. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.

9. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов.

10. В ИСПДн запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.

11. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно (или вместе с администратором информационной безопасности, если он назначен на объекте) должен провести внеочередной антивирусный контроль своего персонального компьютера.

12. В случае обнаружения в ходе проведения антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:

1) приостановить работу персонального компьютера;

2) немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора информационной безопасности или лицо, ответственное за организацию обработки ПДн;

3) провести "лечение" или удаление зараженных файлов.

3. ОТВЕТСТВЕННОСТЬ

13. Ответственность за организацию антивирусной защиты в ИСПДн в соответствии с требованиями настоящих Правил возлагается на администратора информационной безопасности.

14. Ответственность за проведение мероприятий антивирусной защиты ИСПДн и соблюдение требований настоящих Правил возлагается на администратора информационной безопасности и всех лиц, допущенных к работе в ИСПДн.

15. Контроль за соблюдением Правил антивирусной защиты возлагаются на лицо, ответственное за организацию обработки ПДн.