«Краснодарское хореографическое училище»
СОГЛАСОВАНО: УТВЕРЖДЕНО:
Председатель
Профсоюзного комитета Исполняющий обязанности директора
Г.В. Бородачева Д.В. Ковалев
«_____» _________ 202_ г. «_______» ___________ 202__ г.
Положение
об информационной безопасности
1. Общие положения
1.1. Настоящее Положение об информационной безопасности (далее по тексту – Положение) разработано в соответствии Конституции Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Указом Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера» (с изменениями на 13 июля 2015 года), Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями на 12 декабря 2023 года) (редакция, действующая с 1 февраля 2024 года), Федеральным законом № 273-ФЗ от 29.12.2012 года «Об образовании в Российской Федерации» (с изменениями на 25 декабря 2023 года) (редакция, действующая с 1 мая 2024 года), Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи», Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», «Методический документ. Методика оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021)», «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)» (утв. приказом ФСТЭК России от 02.06.2020 N 76), приказ Минцифры России от 01.11.2023 N 936 «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети „Интернет“(Зарегистрировано в Минюсте России 01.12.2023 N 76222), приказ Минспорта России от 13 марта 2019 года N 197 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в сфере физической культуры и спорта», приказ ФСБ России от 06.05.2019 N 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» (Зарегистрирован 31.05.2019 № 54801), «Соглашение о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными» (Заключено 18.12.2020), Приказ Роскомнадзора от 28.10.2022 N 179 „Об утверждении Требований к подтверждению уничтожения персональных данных“ (Зарегистрировано в Минюсте России 28.11.2022 N 71167), «Методические рекомендации по обеспечению минимального уровня цифровой готовности образовательных организаций высшего образования» (утв. Минобрнауки России 18.11.2020).
1.2. В настоящем Положении используются следующие основные понятия:
— Сервер — аппаратно-программный комплекс, исполняющий функции хранения и обработки запросов пользователей и не предназначенный для локального доступа пользователей в виду высоких требований по обеспечению надёжности, степени готовности и мер безопасности информационной системы училища.
— Рабочая станция — персональный компьютер, предназначенный для доступа
пользователей к ресурсам автоматизированной системы училища, приёма передачи и обработки информации.
— Пользователь — сотрудник училища, использующий ресурсы информационной системы для выполнения должностных обязанностей.
— Учётная запись — информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учётная запись может содержать дополнительную информацию. Пароль – секретная строка символов (букв, цифр, специальных символов), предъявляемая пользователем компьютерной системе для получения доступа к данным и программам. Пароль является средством защиты данных от несанкционированного доступа.
— Изменение полномочий — процесс создания удаления, внесения изменений в
учетные записи пользователей АС, создание, удаление изменение наименований почтовых ящиков и адресов электронной почты, создание, удаление изменение групп безопасности и групп почтовой рассылки, а также другие изменения, приводящие к расширению (сокращению) объема информации либо ресурсов доступных пользователю АС. 1.3. Настоящее Положение разработано для правового регулирования отношений, возникающих в сфере информационной безопасности в государственном бюджетном профессиональном образовательном учреждением Краснодарского края «Краснодарское хореографическое училище» (далее по тексту – училище).
1.4. Положение об информационной безопасности училища регламентирует порядок организации и правила обеспечения информационной безопасности в училище, распределение функций и ответственности за обеспечение информационной безопасности между сотрудниками училища, требования по
информационной безопасности к информационным средствам, применяемым в
училище.
1.5. Информационная безопасность является одним из составных элементов комплексной безопасности училища. Под информационной безопасностью колледжа понимается состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. 1.6. Информационная безопасность — деятельность, направленная на обеспечение защищенного состояния объекта информации, в том числе объектов автоматизированных и телекоммуникационных систем, противодействия техническим разведкам, включающая комплексные, криптографические, компьютерные, организационные, технические средства защиты.
1.7. Обеспечение информационной безопасности осуществляется по следующим направлениям:
— правовая защита — процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;
— организационная защита — это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба;
— инженерно-техническая защита — это использование различных технических средств, препятствующих нанесению ущерба.
Информационная безопасность включает:
— защиту интеллектуальной собственности колледжа;
— защиту компьютеров, локальных сетей и сети подключения к системе Интернета;
— организацию защиты конфиденциальной информации, в т. ч. персональных
данных работников и обучающихся;
— учет всех носителей конфиденциальной информации.
1.8. Информационная безопасность училища должна обеспечивать:
-конфиденциальность (защиту информации от несанкционированного раскрытия или перехвата);
— целостность (точность и полноту информации и компьютерных программ);
— доступность (возможность получения пользователями информации в пределах их компетенции).
1.9. К объектам информационной безопасности училища относятся:
— информационные ресурсы, содержащие документированную информацию, в
соответствии с перечнем сведений конфиденциального характера;
— информацию, защита которой предусмотрена законодательными актами РФ, в т. ч. и персональные данные;
— средства и системы информатизации, программные средства, автоматизированные системы управления, системы связи и передачи данных,
осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом.
2. Цели и задачи обеспечения безопасности информации
2.1. Главная цель обеспечения безопасности информации, циркулирующей в училище, является реализация положений законодательных актов Российской Федерации и нормативных требований по защите информации ограниченного доступа (далее по тексту — конфиденциальной или защищаемой информации) и
предотвращение ущерба в результате разглашения, утраты, утечки, искажения и уничтожения информации, ее незаконного использования и нарушения работы информационно-телекоммуникационной системы училища.
2.2. Основными целями обеспечения безопасности информации являются:
— предотвращение утечки, хищения, искажения, подделки информации, циркулирующей в училище;
— предотвращение нарушений прав личности обучающихся, работников училища на сохранение конфиденциальности информации;
— предотвращение несанкционированных действий по блокированию информации.
2.3. Основными задачами обеспечения безопасности информации являются:
-соответствие положениям законодательных актов и нормативным требованиям по защите информации;
— своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба интересам училища, нарушению нормального функционирования и развития училища;
— создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции в системе информационных отношений;
-эффективное пресечение незаконных посягательств на информационные ресурсы, технические средства и информационные технологии, в том числе с использованием организационно-правовых и технических мер и средств защиты информации;
-координация деятельности училища по обеспечению защиты информации;
— развитие системы защиты, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;
-развитие и совершенствование защищенного юридически значимого электронного документооборота;
— создание механизмов, обеспечивающих контроль системы информационной безопасности и гарантии достоверности выполнения установленных требований информационной безопасности;
— создание механизмов управления системой информационной безопасности (СИБ).
3. Организация системы обеспечения
информационной безопасности
3.1. Система обеспечения информационной безопасности распространяются на:
— автоматизированные системы училища;
— средства телекоммуникаций;
— помещения;
— сотрудников.
3.2. В целях реализации, стоящих перед системой обеспечения информационной безопасности задач в училище, устанавливаются:
— защита персональных данных персонала и обучающихся — мероприятия по
недопущению несанкционированного доступа к персональным данным персонала и обучающихся колледжа при их обработке с использованием средств автоматизации или без использования таких средств;
— контроль за использованием электронных средств информационного обеспечения деятельности училища по прямому назначению;
— противодействие фактам использования при работе на электронных средствах информационного обеспечения деятельности училища нелицензированных программных продуктов и электронных носителей информации способных произвести заражение программного обеспечения вирусами — контроль за используемым программным обеспечением и проверка его подлинности;
— внутрисетевой контроль за перемещением информации;
— принятие мер к воспрещению доступа к информационным материалам, признанным в соответствии с действующим законодательством экстремистскими;
— проверка целесообразности использования персоналом училища интернет — ресурса, предоставляемого им администрацией, анализ допускаемых нарушений и принятие мер к недопущению его нецелевого использования средствами технического противодействия;
— обучение персонала по вопросам обеспечения информационной безопасности проведение занятий с персоналом в целях формирования у них соответствующих знаний, умений и навыков позволяющих соблюдать требования по обеспечению информационной безопасности;
— контроль за правильностью использования имеющихся в училище средств телефонной связи — выявление фактов нецелевого использования средств телефонной связи и принятие мер технического и организационного характера по их недопущению.
3.3. Общее руководство системой информационной безопасности училища осуществляет заместитель директора по административно-хозяйственной работе.
4. Порядок обеспечения информационной безопасности
4.1. Организационное и техническое обеспечение рабочего процесса сотрудников возлагается на заместителя директора по административно-хозяйственной работе.
4.2. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику учреждения, допущенному к работе к персональному компьютеру, должно быть сопоставлено персональное уникальное имя — учетная запись пользователя и пароль, под которым он будет регистрироваться, и работать в системе. Использование несколькими сотрудниками при работе персонального компьютера одного и того же имени пользователя запрещено.
4.3. Проведение операций, указанных п. 3.2. сотрудниками, не уполномоченными на проведение подобных действий, запрещено и идентифицируется как факт несанкционированного доступа.
5. Учетные записи
5.1. Локальные учетные записи компьютеров (Administrator) предназначены для служебного использования сотрудниками ответственные за информационную безопасность при настройке системы и не предназначены для повседневной работы.
5.2. Создание и использование локальных учетных записей на рабочих станциях запрещено.
5.3. Встроенная учетная запись Guest (Гость) должна быть заблокирована на всех рабочих станциях при первоначальном конфигурировании операционной системы.
6. Требования к паролям
6.1. Первичный пароль — комбинация символов (буквы, цифры, знаки препинания, специальные символы), устанавливаемые системным администратором при создании новой учетной записи.
6.2. Установку первичного пароля производит системный администратор при создании новой учетной записи. Ответственность за сохранность первичного пароля лежит на системном администраторе.
6.3. Первичный пароль может содержать несложную комбинацию символов, либо повторяющиеся символы.
6.4. При создании первичного пароля, системный администратор обязан установить опцию, требующую смену пароля при первом входе в систему, а также уведомить владельца учетной записи о необходимости произвести смену пароля.
6.5. Первичный пароль также используется при сбросе забытого пароля на учетную запись. В любом случае, при использовании первичного пароля все требования настоящего документа сохраняются.
6.6. Основной пароль — комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только сотруднику училища, используемая для подтверждения подлинности владельца учетной записи.
6.7. Установку основного пароля производит пользователь при первом входе в
систему с новой учетной записью.
6.8. Пользователь несет персональную ответственность за сохранение в тайне основного пароля. Запрещается сообщать пароль другим лицам в том числе сотрудникам отдела по безопасности, записывать его, а также пересылать открытым текстом в электронных сообщениях.
6.9. В случае компрометации пароля (либо подозрении на компрометацию) необходимо немедленно сообщить об этом в отдел по безопасности и изменить
основной пароль.
6.10. Восстановление забытого основного пароля пользователя осуществляется
системным администратором путем изменения (сброса) основного пароля пользователя на первичный пароль.
7. Доступ к ресурсам Интернет
7.1. Для исполнения задач, связанных с производственной деятельностью сотрудникам училища, предоставляется доступ к ресурсам Интернет. Доступ к
ресурсам Интернет в других целях запрещен.
7.2. Доступ к ресурсам Интернет может быть блокирован системным администратором без предварительного уведомления при возникновении нештатных ситуаций либо в иных случаях, предусмотренных организационными документами.
8. Антивирусная защита
8.1. К использованию в училище допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств.
8.2. Установка средств антивирусного контроля на компьютерах (серверах ЛВС) училища осуществляется уполномоченными сотрудниками.
8.3. Настройка параметров средств антивирусного контроля осуществляется электроникам в соответствии с руководствами по применению конкретных антивирусных средств. Изменение настроек другими сотрудниками запрещено.
8.4. Обязательному антивирусному контролю подлежит любая информация, получаемая и передаваемая по телекоммуникационным каналам.
8.5 Антивирусная проверка должна проводиться:
— на компьютерах сотрудников – не реже одного раза в неделю.
9. Установка и обслуживание оборудования, программ
9.1. Установка и обслуживание программ возможна только электроникам.
9.2. Установка программ студентами и сотрудниками запрещена.
10. Заключительные положения
10.1. Настоящее Положение является локальным нормативным актом утверждается (вводится в действие) директором.
10.2. Все изменения и дополнения, вносимые в настоящее Положение, оформляются в письменной форме в соответствии действующим законодательством Российской Федерации.
10.3. Положение принимается на неопределенный срок. Изменения и дополнения к Положению принимаются в порядке, предусмотренном п.5.1. настоящего Положения.
10.4. После принятия Положения (или изменений и дополнений отдельных пунктов и разделов) в новой редакции предыдущая редакция автоматически утрачивает силу.