ПОЛИТИКА

информационной безопасности

государственного учреждения образования «Детский сад г.п. Антополь»

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика информационной безопасности государственного учреждения образования «Детский сад г.п. Антополь» (далее - Политика) определяет общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, в том числе и персональных данных.

2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.

3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в государственном учреждении образования «Детский сад г.п. Антополь» (далее – учреждение образования) вопросы защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.

4. Ответственность за соблюдение информационной безопасности несет каждый работник учреждения образования.

5. Настоящая Политика распространяется на все процессы организации и обязательна для применения всеми работниками и руководством организации, а также пользователями его информационных ресурсов.

ГЛАВА 2

НАЗНАЧЕНИЕ НАСТОЯЩЕЙ ПОЛИТИКИ

6. Повышение осведомленности работников в области рисков, связанных с информационными ресурсами учреждения образования.

7. Определение степени ответственности и обязанностей работников по обеспечению информационной безопасности в учреждении образования.

8. Обеспечение регулярного контроля за соблюдением положений настоящей Политики и проведение периодических проверок соблюдения информационной безопасности.

ГЛАВА 3

ОБЛАСТЬ ПРИМЕНЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ

9. Учреждению образования принадлежат на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления им деятельности в соответствии с действующим законодательством.

10. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования учреждения образования, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала учреждения образования.

ГЛАВА 4

ОБЩИЕ ПОЛОЖЕНИЯ КОНТРОЛЯ ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ

11. Все работы в пределах помещений учреждения образования выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в учреждении образования.

12. Внос в помещения учреждения образования личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т. п.), а также вынос их за пределы учреждения образования производится только при согласовании с руководством учреждения образования.

13. В целях обеспечения санкционированного доступа к информационному ресурсу любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.

14. Работники должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.

15. В процессе своей работы работники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут. 

ГЛАВА 5

ТРЕБОВАНИЯ К НАДЁЖНОСТИ ПАРОЛЕЙ

16. Пароли от компьютеров, сайтов и других внутренних систем, утечка данных которых может нанести вред учреждению образования, должна регулярно обновляться (каждый месяц), для каждой системы должен быть разный пароль.Вместо простых паролей из одних цифр или букв необходимо использовать комбинацию различных символов, включая строчные и заглавные буквы, цифры и специальные символы. Для предотвращения перебора паролей также создаются ограничения на количество попыток ввода и временные блокировки аккаунтов после нескольких неудачных попыток.

ГЛАВА 6

ДОСТУП ТРЕТЬИХ ЛИЦ К ИНФОРМАЦИОННЫМ СИСТЕМАМ УПРАВЛЕНИЯ

17. Каждый работник обязан немедленно уведомить руководство учреждения образования обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.

18. Доступ третьих лиц к информационным системам учреждения образования должен быть обусловлен производственной необходимостью. В связи с этим порядок доступа к информационным ресурсам учреждения образования должен быть четко определен, контролируем и защищен.

ГЛАВА 7

УДАЛЕННЫЙ ДОСТУП

19. Работникам, использующим в работе портативные компьютеры учреждения образования, может быть предоставлен удаленный доступ к сетевым ресурсам учреждения образования в соответствии с правами в информационной системе учреждения образования.

20. Работникам, работающим за пределами учреждения образования с использованием компьютера, не принадлежащего учреждению образования, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.

21. Работники, имеющие право удаленного доступа к информационным ресурсам учреждения образования, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети учреждения образования и к каким-либо другим сетям, не принадлежащим учреждению образования.

22. Все компьютеры, подключаемые посредством удаленного доступа к информационной сети учреждения образования, должны иметь программное обеспечение антивирусной защиты с последними обновлениями.

ГЛАВА 8

ДОСТУП К СЕТИ ИНТЕРНЕТ

23. Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.

24. Рекомендованные правила:

24.1. работникам учреждения образования разрешается использовать сеть Интернет только в служебных целях;

24.2. запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия (превосходства) полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;

24.3. работа с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации учреждения образования в сеть Интернет;

24.4. Работники учреждения образования перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;

24.5. запрещен доступ в интернет через сеть учреждения образования для всех лиц, не являющихся работниками учреждения образования, включая членов семьи работников учреждения образования.

ГЛАВА 9

ЗАЩИТА ОБОРУДОВАНИЯ

25. Работники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранится информация учреждения образования.

26. Работникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения.

ГЛАВА 10

АППАРАТНОЕ ОБЕСПЕЧЕНИЕ

27. Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы) для целей настоящей Политики вместе именуются компьютерным оборудованием (перечень информационных ресурсов прилагается).

Компьютерное оборудование, предоставленное учреждением образования, является его собственностью и предназначено для использования исключительно в служебных целях.

28. Пользователи портативных компьютеров, содержащих информацию учреждения образования, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства в случаях, когда данный компьютер не используется.

ГЛАВА   11

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

29. Все программное обеспечение, установленное на предоставленном учреждением образования компьютерном оборудовании, является собственностью учреждения образования и должно использоваться исключительно в служебных целях.

30. Работникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их служебной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено руководству учреждения образования.

31. На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации.

32. Все компьютеры, подключенные к сети учреждения образования, должны быть оснащены системой антивирусной защиты.

33. Работники учреждения образования не должны:

33.1. блокировать антивирусное программное обеспечение;

33.2. устанавливать другое антивирусное программное обеспечение;

33.3. изменять настройки и конфигурацию антивирусного программного обеспечения.

ГЛАВА 12

РЕКОМЕНДУЕМЫЕ ПРАВИЛА ПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОЧТОЙ

34. Содержание электронных сообщений (удаленные или не удаленные) должно строго соответствовать стандартам учреждения образования в области деловой этики.

35. Строго конфиденциальная информация учреждения образования ни при каких обстоятельствах не подлежит пересылке третьим лицам по электронной почте.

36. Работникам учреждения образования запрещается использовать личные почтовые ящики электронной почты для осуществления деятельности учреждения образования.

37. Работники учреждения образования для обмена документами должны использовать только свой официальный адрес электронной почты.

38. В целях предотвращения ошибок при отправке сообщений работникам перед отправкой должны внимательно проверить правильность написания имен и адресов получателей.

39. Недопустимые действия и случаи использования электронной почты:

39.1. поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);

39.2. пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит стандартам учреждения образования в области этики.

40. Ко всем исходящим сообщениям, направляемым внешним пользователям, работник может добавлять уведомление о конфиденциальности.

41. Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в учреждении образования процедурами документооборота.

ГЛАВА 13

СООБЩЕНИЯ ОБ ИНЦИДЕНТАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РЕАГИРОВАНИЕ И ОТЧЕТНОСТЬ

42. Все работники должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности.

43. В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте руководству учреждения образования.

44. Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения работник обязан проинформировать руководство учреждения образования для принятия мер по защите информации.

ГЛАВА 14

ЗАЩИТА И СОХРАННОСТЬ ДАННЫХ

45. Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на работниках.

46. Необходимо регулярно делать резервные копии всех основных служебных данных.

47. Работники имеют право создавать, модифицировать и удалять файлы в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют разрешенный доступ. 

ГЛАВА 15. 

ОТВЕТСТВЕННОСТЬ ЗА ПРЕСТУПЛЕНИЕ ПРОТИВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

48. Все участники (пользователи) информационной системы несут ответственность за преступления против информационной безопасности в соответствии с законодательством Республики Беларусь.