Приложение к Приказу от 06.11.2015 г № 120-МПР
Инструкция о порядке работы при подключении к сетям общего пользования и международного обмена в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в Министерстве здравоохранения Иркутской области
Глава 1.Общие положения
1.Настоящая Инструкция предназначена для пользователей автоматизированной информационной системы управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), выполнение должностных обязанностей которых связано с использованием персональных компьютеров (пользователей), и определяет их полномочия, обязанности и ответственность при использовании информационных ресурсов информационно-вычислительных сетей общего пользования (далее - ИВС ОП), в том числе сети Интернет, а также основные требования по обеспечению безопасности информации.
2.Основными угрозами безопасности информации при использовании сети международного обмена в АИС являются:
а) заражение элементов АИС программными вирусами;
б) несанкционированный доступ внешних пользователей к АИС (в т.ч. сетевые атаки);
в) внедрение в автоматизированные АИС программных закладок;
г) загрузка трафика нежелательной корреспонденцией (спамом);
д) несанкционированная передача служебной информации ограниченного доступа пользователями АИС в сеть Интернет (внутренний нарушитель);
е) блокировка межсетевого взаимодействия путем нарушения целостности данных о настройках коммуникационного оборудования.
3.Основными методами обеспечения безопасности информации при использовании сети международного обмена для предотвращения указанных угроз являются:
а) межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;
б) использование сертифицированных средств защиты информации, в том числе антивирусных и криптографических;
в) мониторинг вторжений (атак) из ИВС ОП, нарушающих или создающих предпосылки к нарушению установленных требований по защите информации, и анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);
г) контроль информации, загружаемой или передаваемой в ИВС ОП;
д) запрет обращения к нежелательным ресурсам ИВС ОП;
е) шифрование информации при обмене с другими организациями при ее передаче по сети международного обмена, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации.
Глава 2.Доступ к интернет-ресурсам
4.Администратор информационной безопасности Министерства обеспечивает доступ пользователей сети к ресурсам сети международного обмена.
5.Открытие и контроль доступа регулируется администратором информационной безопасности Министерства.
6.Доступ к ресурсам сети международного обмена предоставляется пользователям АИС только для выполнения ими прямых должностных обязанностей.
7.Самостоятельная организация дополнительных точек доступа к сети международного обмена (удаленный доступ, канал по локальной сети, GPRS и пр.) запрещена.
Глава 3.Основные ограничения при работе в сети интернет
8.Пользователям АИС запрещается:
а) загружать, самостоятельно устанавливать прикладное, операционное, сетевое и другие виды программного обеспечения, а также осуществлять обновления, если эта работа не входит в его должностные обязанности;
б) запрещается нецелевое использование подключения к сети международного доступа;
в) осуществлять работу при отключенных средствах защиты информации, установленных на рабочей станции;
г) допускать к работе посторонних лиц;
д) передавать по сети международного доступа защищаемую информацию без использования средств шифрования;
е) совершать любые попытки деструктивных действий по отношению к нормальной работе АИС (рассылка вирусов, сетевые атаки и т.п.);
ж) применять имена пользователей и пароли, используемые в АИС в других информационных системах и ресурсах;
з) посещать игровые, социальные, развлекательные, ***
и) посещать сайты сомнительной репутации (сайты, содержащие нелегально распространяемое ПО, и другие);
к) посещение ресурсов трансляции потокового видео и аудио (веб-камеры, трансляция ТВ- и музыкальных программ в Интернете);
л) игры на компьютере автономно и в сети;
м) производить какие-либо действия с информацией, зараженной вирусом;
н) подключаться к ресурсам сети международного доступа через альтернативные каналы - сотовый телефон, модем и др. устройства;
о) создание личных веб-страниц и хостинг (размещение web- или ftp-сервера) на компьютере пользователя;
п) нарушение закона об авторском праве: копирование и использование материалов и программ, защищенных законом об авторском праве;
р) совершать действия, противоречащие законодательству, а также настоящей Инструкции.
9.Пользователь Министерства обязан:
а) знать и уметь пользоваться антивирусным программным обеспечением. При обнаружении вируса он должен сообщить об этом администратору информационной безопасности Министерства;
б) информировать администратора информационной безопасности Министерства о любых нарушениях, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети;
в) знать и соблюдать установленные правила работы в локальной сети (Приложение 1 к настоящей Инструкции);
г) знать и соблюдать установленные правила работы с электронной почтой (Приложение 2 к настоящей Инструкции);
д) знать и соблюдать установленные правила работы в сети Интернет (Приложение 3 к настоящей Инструкции).
10.Пользователи Министерства несут персональную ответственность за содержание передаваемой, принимаемой и печатаемой информации.
11.Администратор информационной безопасности Министерства обязан:
а) производить подключение к сети международного доступа только через межсетевой экран соответствующего класса для обеспечения защиты информационной сети;
б) знать и правильно использовать аппаратно-программные средства защиты информации и обеспечивать сохранность информационных ресурсов с помощью этих средств;
в) оказывать методическую и консультационную помощь пользователям по вопросам, входящим в его компетенцию;
г) принимать меры для предотвращения и устранения нарушений требований настоящей Инструкции пользователями и других негативных ситуаций, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети.
12.Администратор информационной безопасности Министерства имеет право:
а) при обнаружении доступа к развлекательным сайтам запретить доступ к сайту;
б) при обнаружении использования пользователем программных продуктов, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети, запретить доступ к сети международного доступа.
Глава 4.Контроль использования ресурсов сети интернет
13.В целях обеспечения информационной безопасности в АИС администратор информационной безопасности Министерства осуществляет:
а) контроль за соблюдением настоящей Инструкции;
б) организацию и контроль за безопасным использованием ресурсов сети международного доступа.
Глава 5.Действия в нештатных ситуациях
14.При утрате (в том числе частично) подключения к сети международного доступа лицо, обнаружившее неисправность, сообщает об этом ответственному сотруднику за организацию подключения к сети Интернет.
15.При заражении компьютера вирусами его использование немедленно прекращается сотрудником, обнаружившим заражение. О сложившейся ситуации сообщается администратору информационной безопасности Министерства. Компьютер отключается от сети до момента очистки от всех вирусов.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК