| УТВЕРЖДАЮ Директор государственного учреждения образования «Жлобинский районный центр коррекционно-развивающего обучения и реабилитации» _____________В.С.Трифонова «____»______________2025 г. |
ПОЛИТИКА
информационной безопасности
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика информационной безопасности в государственном учреждении образования «Жлобинский районный центр коррекционно-развивающего обучения и реабилитации» (далее — Политика) определяет общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, в том числе и персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.
1.3. Политика служит основой для разработки локальных правовых актов, регламентирующих в государственном учреждении образования «Жлобинский районный ЦКРОиР» (далее – учреждение образования) вопросы защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.
1.4. Ответственность за соблюдение информационной безопасности несет каждый сотрудник учреждения образования.
1.5. В настоящей Политике под термином «сотрудник» понимаются все сотрудники учреждения образования.
ГЛАВА 2
НАЗНАЧЕНИЕ НАСТОЯЩЕЙ ПОЛИТИКИ
2.1. Повышение осведомленности сотрудников в области рисков, связанных с информационными ресурсами учреждения образования.
2.2. Определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в учреждении образования.
2.3. Обеспечение регулярного контроля за соблюдением положений настоящей Политики и проведение периодических проверок соблюдения информационной безопасности.
2.4. Обязанность по обеспечению контроля за соблюдением настоящей Политики возлагается на заместителя директора по воспитательной работе.
ГЛАВА 3
ОБЛАСТЬ ПРИМЕНЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ
3.1. Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации учреждения образования. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных).
3.2. Учреждению образования принадлежат на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления им деятельности в соответствии с действующим законодательством.
Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования учреждения образования, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала учреждения образования.
ГЛАВА 4
ОБЩИЕ ПОЛОЖЕНИЯ КОНТРОЛЯ ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ
4.1. Все работы в пределах помещений учреждения образования выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в учреждении образования.
4.2. При приобретении и установке нового сетевого оборудования необходимо производить изменение заводских реквизитов доступа.
4.3. Внос в помещения учреждения образования личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т. п.), а также вынос их за пределы учреждения образования производится только при согласовании с руководством учреждения образования, и только после предварительной проверки содержимого на предмет вредоносного ПО лицом, ответственным за соблюдение политики информационной безопасности.
4.4. В целях обеспечения санкционированного доступа к информационному ресурсу любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.
4.5. Запрещается хранение паролей к учетным записям пользователей в текстовых или иных файлах на локальных дисках.
4.6. Сотрудники должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
4.7. В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.
ГЛАВА 5
ДОСТУП ТРЕТЬИХ ЛИЦ К ИНФОРМАЦИОННЫМ СИСТЕМАМ УПРАВЛЕНИЯ
5.1. Каждый сотрудник обязан немедленно уведомить руководство учреждения образования обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
5.2. Доступ третьих лиц к информационным системам учреждения образования должен быть обусловлен производственной необходимостью. В связи с этим порядок доступа к информационным ресурсам учреждения образования должен быть четко определен, контролируем и защищен.
ГЛАВА 6
УДАЛЕННЫЙ ДОСТУП
6.1. Сотрудникам, использующим в работе портативные компьютеры учреждения образования, может быть предоставлен удаленный доступ к сетевым ресурсам учреждения образования в соответствии с правами в информационной системе учреждения образования.
6.2. Сотрудникам, работающим за пределами учреждения образования с использованием компьютера, не принадлежащего учреждению образования, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.
6.3. Настройка сетевого оборудования осуществляется при необходимости использования удаленного доступа исключительно выделенным кругом лиц с указанием конкретных IP или MAC-адресов рабочих станций.
6.4. Сотрудники, имеющие право удаленного доступа к информационным ресурсам учреждения образования, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети учреждения образования и к каким-либо другим сетям, не принадлежащим учреждению образования.
6.5. Все компьютеры, подключаемые посредством удаленного доступа к информационной сети учреждения образования, должны иметь программное обеспечение антивирусной защиты с последними обновлениями.
ГЛАВА 7
ДОСТУП К СЕТИ ИНТЕРНЕТ
7.1. Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.
7.2. Рекомендованные правила:
7.2.1. сотрудникам учреждения образования разрешается использовать сеть Интернет только в служебных целях;
7.2.2. запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия (превосходства) полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
7.2.3. работа сотрудников учреждения образования с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации учреждения образования в сеть Интернет;
7.2.4. сотрудники учреждения образования перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;
7.2.5. запрещен доступ в интернет через сеть учреждения образования для всех лиц, не являющихся сотрудниками учреждения образования, включая членов семьи сотрудников учреждения образования.
ГЛАВА 8
ЗАЩИТА ОБОРУДОВАНИЯ
8.1. Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранится информация учреждения образования.
8.2. Сотрудникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения.
ГЛАВА 9
АППАРАТНОЕ ОБЕСПЕЧЕНИЕ
9.1. Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы) для целей настоящей Политики вместе именуются компьютерным оборудованием (перечень информационных ресурсов прилагается).
Компьютерное оборудование, предоставленное учреждением образования, является его собственностью и предназначено для использования исключительно в служебных целях.
9.2. Пользователи портативных компьютеров, содержащих информацию учреждения образования, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства в случаях, когда данный компьютер не используется.
ГЛАВА 10
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
10.1. Все программное обеспечение, установленное на предоставленном учреждением образования компьютерном оборудовании, является собственностью учреждения образования и должно использоваться исключительно в служебных целях.
10.2. Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их служебной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено руководству учреждения образования.
10.3. На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации.
10.4. Все компьютеры, подключенные к сети учреждения образования, должны быть оснащены системой антивирусной защиты.
10.5. Сотрудники учреждения образования не должны:
10.5.1. блокировать антивирусное программное обеспечение;
10.5.2. устанавливать другое антивирусное программное обеспечение;
10.5.3. изменять настройки и конфигурацию антивирусного программного обеспечения.
ГЛАВА 11
РЕКОМЕНДУЕМЫЕ ПРАВИЛА ПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОЧТОЙ
11.1. Содержание электронных сообщений (удаленные или не удаленные) должно строго соответствовать стандартам учреждения образования в области деловой этики.
11.2. Строго конфиденциальная информация учреждения образования ни при каких обстоятельствах не подлежит пересылке третьим лицам по электронной почте.
11.3. Сотрудникам учреждения образования запрещается использовать личные почтовые ящики электронной почты для осуществления деятельности учреждения образования.
11.4. Сотрудники учреждения образования для обмена документами должны использовать только свой официальный адрес электронной почты.
11.5. В целях предотвращения ошибок при отправке сообщений сотрудники перед отправкой должны внимательно проверить правильность написания имен и адресов получателей.
11.6. Недопустимые действия и случаи использования электронной почты:
11.6.1. поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
11.6.2. пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит стандартам учреждения образования в области этики.
11.7. Ко всем исходящим сообщениям, направляемым внешним пользователям, сотрудник может добавлять уведомление о конфиденциальности.
11.8. Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в учреждении образования процедурами документооборота.
ГЛАВА 12
СООБЩЕНИЯ ОБ ИНЦИДЕНТАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РЕАГИРОВАНИЕ И ОТЧЕТНОСТЬ
12.1. Все сотрудники должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности.
12.2. За ответственным специалистом закрепляется обязанность составления докладных записок на имя непосредственного руководителя по каждому установленному факту нарушения политики безопасности, с последующим проведением по ним служебных разбирательств и принятием необходимых мер реагирования.
12.3. В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте руководству учреждения образования.
12.4. Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан проинформировать руководство учреждения образования для принятия мер по защите информации.
ГЛАВА 13
ОТВЕТСТВЕННОСТЬ
13.1. В случае подозрения в совершении противоправных действий либо нарушения правил информационной безопасности, содержимое корпоративного электронного почтового ящика любого работника может быть проверено специалистом по информационной безопасности без предварительного уведомления пользователя по требованию непосредственного либо вышестоящего руководителя.
13.2. Любое использование оборудования для целей, не связанных со служебной деятельностью либо целями обучения, расценивается как несанкционированное использование оборудования.
13.3. При несоблюдении пользователями требований настоящей Политики к ним могут быть применены меры ответственности, предусмотренные действующим законодательством Республики Беларусь.
ГЛАВА 14
ЗАЩИТА И СОХРАННОСТЬ ДАННЫХ
14.1. Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на сотрудниках.
14.2. Необходимо регулярно делать резервные копии всех основных служебных данных, а также осуществлять протоколирование и документирование действий всех файлов.
14.3. Сотрудники имеют право создавать, модифицировать и удалять файлы в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют разрешенный доступ.
