5.4. Обмен данными. 5.4.1. Пользователи при обмене данными с использованием носителей информации обязаны, согласно п.5.5.2 производить проверку носителей на наличие вирусов перед началом работы с данными, содержащимися на них. 5.4.2. Наличие на компьютерах сетевых пользователей ресурсов общего доступа (доступ «полный», «на чтение», «определяется паролем») не допускается. Обмен информацией осуществляется посредством почтового сервера предприятия или через информационные ресурсы, расположенные на серверах предприятия. Весь почтовый обмен производится только через электронные почтовые ящики, открытые на почтовом сервере предприятия. 5.4.3. Пользователям запрещается хранить на СВТ, а также на информационных ресурсах, открытых на серверах для обмена и хранения данных, информацию и программные средства не связанные с выполнением должностных обязанностей. 5.4.4. При обмене и передачи информации, отнесенной к категории «К», должны применяться сертифицированные средства криптозащиты информации и электронная цифровая подпись.
5.5. Обеспечение сохранности данных. 5.5.1. Резервное копирование. 5.5.1.1. Архивирование критически важных данных для обеспечения деятельности предприятия является обязательным. Для архивирования применяются специальные аппаратно-программные средства. 5.5.1.2. Ответственность за утерю, порчу и сохранность информации, хранящейся на накопителях СВТ, возлагается на пользователя. Для резервного хранения информации пользователям сети могут предоставляться специальные информационные ресурсы на серверах. Информационные ресурсы создаются по заявке, направляемой в ЦИТ от имени начальника подразделения. В заявке на создание информационного ресурса необходимо указать размер информационного ресурса, ответственного за ресурс, необходимость и периодичность резервного сохранения данных. В заявке на предоставление ресурса можно указать прочих пользователей, доступ для которых к данному ресурсу открыт. 5.5.1.3. Помимо информационных ресурсов для хранения на серверах сети, для резервного копирования пользователи сети могут использовать носители информации. 5.5.2. Антивирусная защита. 5.5.2.1. Применение антивирусной защиты на рабочих станциях и серверах является обязательным. 5.5.2.2. Ответственность за обновление антивирусного ПО и антивирусных баз данных возлагается на системного администратора сети. 5.5.2.3. Ответственность за установку и настройку антивирусного ПО на СВТ пользователей сети возлагается на подразделения ИТ. На СВТ пользователей в обязательном порядке должна быть установлена программа антивирусной защиты, работающая в фоновом режиме, отслеживающая все операции по открытию, копированию и перемещению файлов на СВТ, а также автоматически производящая ежедневную проверку всех дисков и памяти СВТ на наличие вирусов. 5.5.2.4. Ответственность за антивирусную защиту информации на СВТ пользователей возлагается на пользователя, за которым закреплен данный СВТ. Пользователи обязаны обратиться в подразделения ИТ для получения действующего на Предприятии антивирусного ПО. 5.5.2.5. Пользователь СВТ обязан:
перед началом работы убедиться, что программа антивирусной защиты на его СВТ запущена;
не допускать использования и хранения на своем рабочем месте автономных носителей информации не проверенных на наличие вирусов;
при обнаружении вируса произвести его лечение средствами антивирусной защиты, установленными на СВТ пользователя и сообщить об обнаружении вируса системному администратору сети и администратору информационной безопасности.
5.5.2.6. Пользователям запрещается распространять, хранить и создавать вредоносные программы.
5.5.3. Обеспечение конфиденциальности информации. 5.5.3.1. Пользователи обязаны принять все возможные меры для предотвращения несанкционированного доступа со стороны посторонних лиц к хранящейся на СВТ конфиденциальной информации. 5.5.3.2. Администратор информационной безопасности при необходимости получения доступа к ресурсам СВТ, при проведении служебных проверок, обязан поставить в известность пользователя данного СВТ или руководителя подразделения пользователя. 5.5.4. Обеспечение режима безопасности пользователями. 5.5.4.1. Все пользователи обязаны принимать участие в обеспечении режима информационной безопасности при работе с информационными ресурсами Предприятия и на СВТ, а именно:
предотвращать возможность несанкционированного доступа посторонних лиц к информации, хранящейся на информационных ресурсах и на СВТ;
выполнять требования «Инструкции о пропускном режиме» в части автономных носителей информации (дискеты, CD-R, CD-RW, Flash-memory, сотовые телефоны, цифровые диктофоны, фотоаппараты и видеокамеры) и элементов компьютерной техники;
немедленно информировать администраторов объектов информатизации о случаях нарушения режима информационной безопасности, в том числе, связанных как с аварийными (сбойными) ситуациями при эксплуатации компьютерной техники, так и с появлением реальных каналов утечки информации путем умышленного разрушения программно-аппаратных механизмов защиты информационных ресурсов;
магнитные диски и иные носители информации (дискеты, CD-R, CD-RW, Flash-memory, сотовые телефоны, цифровые диктофоны, фотоаппараты и видеокамеры), получаемые от других сотрудников или других организаций, перед использованием должны быть подвергнуты обязательному входному контролю на наличие программных вирусов.
5.5.4.2. Пользователям информационных ресурсов и СВТ запрещается:
производить очистку журнала аудита;
самостоятельно изменять аппаратные конфигурации и подключать периферийные внешние устройства;
несанкционированное копирование информации (файлов) на дискеты и другие внешние носители;
нерегламентированный просмотр, вывод на печать и т.п. информации ограниченного распространения;
оставлять без присмотра закрепленную за ним компьютерную технику без ее отключения или блокировки на время отсутствия пользователя, или без установки специального программного обеспечения поддержки дежурного режима (хранители экрана) с обязательной установкой пользователем произвольного пароля, неизвестного другим лицам;
оставлять на рабочих столах в свое отсутствие автономные носители информации (дискеты, диски всех типов, магнитные ленты стримеров), содержащие данные конфиденциального характера .
Помимо представленных выше документов можно создать инструкции для пользователей и администраторов по отдельным видам деятельности. Например по работе в Интернет, работе с почтой, архивированию данных и т.д.
