Политика информационной безопасности
Политика информационной безопасности
27.03.2023
УТВЕРЖДАЮ Заведующий государственного учреждения дошкольного образования «Детский сад № 2 г.Бреста» ____________ Лось Л.И.
____.____________.2023 г. |
ПОЛИТИКА
г. Брест
информационной безопасности
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
- Политика информационной безопасности в государственном учреждении дошкольного образования «Детский сад № 2 г. Бреста» (далее - Политика) определяет общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, в том числе и персональных данных.
- Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.
- Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в государственном учреждении дошкольного образования «Детский сад № 2 г. Бреста» (далее – учреждение образования) вопросы защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.
- Ответственность за соблюдение информационной безопасности несет каждый сотрудник учреждения образования.
- В настоящей Политике под термином «сотрудник» понимаются все сотрудники учреждения образования.
ГЛАВА 2
НАЗНАЧЕНИЕ НАСТОЯЩЕЙ ПОЛИТИКИ
- Повышение осведомленности сотрудников в области рисков, связанных с информационными ресурсами учреждения образования.
- Определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в учреждении образования.
- Обеспечение регулярного контроля за соблюдением положений настоящей Политики и проведение периодических проверок соблюдения информационной безопасности.
ГЛАВА 3
ОБЛАСТЬ ПРИМЕНЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ
- Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации учреждения образования. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных).
- Учреждению образования принадлежат на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления им деятельности в соответствии с действующим законодательством.
Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования учреждения образования, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала учреждения образования.
ГЛАВА 4
ОБЩИЕ ПОЛОЖЕНИЯ КОНТРОЛЯ ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ
- Все работы в пределах помещений учреждения образования выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в учреждении образования.
- Внос в помещения учреждения образования личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т. п.), а также вынос их за пределы учреждения образования производится только при согласовании с руководством учреждения образования.
- В целях обеспечения санкционированного доступа к информационному ресурсу любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.
- Сотрудники должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
- В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.
ГЛАВА 5
ДОСТУП ТРЕТЬИХ ЛИЦ К ИНФОРМАЦИОННЫМ СИСТЕМАМ УПРАВЛЕНИЯ
- Каждый сотрудник обязан немедленно уведомить руководство учреждения образования обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
- Доступ третьих лиц к информационным системам учреждения образования должен быть обусловлен производственной необходимостью. В связи с этим порядок доступа к информационным ресурсам учреждения образования должен быть четко определен, контролируем и защищен.
ГЛАВА 6
УДАЛЕННЫЙ ДОСТУП
- Сотрудникам, использующим в работе портативные компьютеры учреждения образования, может быть предоставлен удаленный доступ к сетевым ресурсам учреждения образования в соответствии с правами в информационной системе учреждения образования.
- Сотрудникам, работающим за пределами учреждения образования с использованием компьютера, не принадлежащего учреждению образования, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.
- Сотрудники, имеющие право удаленного доступа к информационным ресурсам учреждения образования, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети учреждения образования и к каким-либо другим сетям, не принадлежащим учреждению образования.
- Все компьютеры, подключаемые посредством удаленного доступа к информационной сети учреждения образования, должны иметь программное обеспечение антивирусной защиты с последними обновлениями.
ГЛАВА 7
ДОСТУП К СЕТИ ИНТЕРНЕТ
- Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.
- Рекомендованные правила:
23.1. сотрудникам учреждения образования разрешается использовать сеть Интернет только в служебных целях;
23.2. запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия (превосходства) полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
23.3. работа сотрудников учреждения образования с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации учреждения образования в сеть Интернет;
23.4. сотрудники учреждения образования перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;
23.5. запрещен доступ в интернет через сеть учреждения образования для всех лиц, не являющихся сотрудниками учреждения образования, включая членов семьи сотрудников учреждения образования.
ГЛАВА 8
ЗАЩИТА ОБОРУДОВАНИЯ
- Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранится информация учреждения образования.
- Сотрудникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения.
ГЛАВА 9
АППАРАТНОЕ ОБЕСПЕЧЕНИЕ
- Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы) для целей настоящей Политики вместе именуются компьютерным оборудованием (перечень информационных ресурсов прилагается).
Компьютерное оборудование, предоставленное учреждением образования, является его собственностью и предназначено для использования исключительно в служебных целях.
- Пользователи портативных компьютеров, содержащих информацию учреждения образования, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства в случаях, когда данный компьютер не используется.
ГЛАВА 10
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
- Все программное обеспечение, установленное на предоставленном учреждением образования компьютерном оборудовании, является собственностью учреждения образования и должно использоваться исключительно в служебных целях.
- Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их служебной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено руководству учреждения образования.
- На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации.
- Все компьютеры, подключенные к сети учреждения образования, должны быть оснащены системой антивирусной защиты.
- Сотрудники учреждения образования не должны:
32.1. блокировать антивирусное программное обеспечение;
32.2. устанавливать другое антивирусное программное обеспечение;
32.3. изменять настройки и конфигурацию антивирусного программного обеспечения.
ГЛАВА 11
РЕКОМЕНДУЕМЫЕ ПРАВИЛА ПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОЧТОЙ
- Содержание электронных сообщений (удаленные или не удаленные) должно строго соответствовать стандартам учреждения образования в области деловой этики.
- Строго конфиденциальная информация учреждения образования ни при каких обстоятельствах не подлежит пересылке третьим лицам по электронной почте.
- Сотрудникам учреждения образования запрещается использовать личные почтовые ящики электронной почты для осуществления деятельности учреждения образования.
- Сотрудники учреждения образования для обмена документами должны использовать только свой официальный адрес электронной почты.
- В целях предотвращения ошибок при отправке сообщений сотрудники перед отправкой должны внимательно проверить правильность написания имен и адресов получателей.
- Недопустимые действия и случаи использования электронной почты:
38.1. поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
38.2. пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит стандартам учреждения образования в области этики.
- Ко всем исходящим сообщениям, направляемым внешним пользователям, сотрудник может добавлять уведомление о конфиденциальности.
- Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в учреждении образования процедурами документооборота.
ГЛАВА 12
СООБЩЕНИЯ ОБ ИНЦИДЕНТАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РЕАГИРОВАНИЕ И ОТЧЕТНОСТЬ
- Все сотрудники должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности.
- В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте руководству учреждения образования.
- Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан проинформировать руководство учреждения образования для принятия мер по защите информации.
ГЛАВА 13
ЗАЩИТА И СОХРАННОСТЬ ДАННЫХ
- Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на сотрудниках.
- Необходимо регулярно делать резервные копии всех основных служебных данных.
- Сотрудники имеют право создавать, модифицировать и удалять файлы в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют разрешенный доступ.