Україна
Хмельницький міський голова
РОЗПОРЯДЖЕННЯ

від 04.01.2019 № 1-р

Про внесення змін в розпорядження міського голови від 19.03.2013р. № 88-р

 

На виконання вимог Закону України "Про захист інформації в інформаційно-телекомунікаційних системах ", Закону України "Про інформацію", Закону України “Про місцеве самоврядування в Україні” та з метою забезпечення правильного та ефективного використання в роботі комп'ютерного устаткування, ресурсів мережі інтернет, електронної пошти, а також умов зберігання інформації та її розповсюдження в міській раді та її виконавчих органів:

1. Внести зміни в Порядок роботи працівників міської ради та її виконавчих органів на персональних комп'ютерах, у корпоративній мережі та мережі інтернет, який затверджений розпорядженням міського голови від 19.03.2013р. № 88-р., виклавши його в новій редакції згідно додатку.

2. Керівникам виконавчих органів міської ради забезпечити дотримання вимог Порядку роботи працівників міської ради та її виконавчих органів на персональних комп'ютерах, у корпоративній мережі та мережі інтернет.

3. Контроль за виконанням розпорядження покласти на керуючого справами виконавчого комітету Ю. Сабій.

 

Міський голова О. Симчишин

 

 

Додаток

до розпорядження міського голови

від 04.01.2019 р. № 1-р

 

Порядок

роботи працівників міської ради та її виконавчих органів на персональних комп'ютерах, у корпоративній мережі та мережі інтернет

 

1. Загальні положення

1.1. Порядок роботи працівників міської ради та її виконавчих органів на персональних комп'ютерах, у корпоративній мережі та мережі інтернет (далі – Порядок) розроблено для організації, формалізації та врегулювання інформаційних процесів при роботі на персональних комп'ютерах, у корпоративній мережі та мережі інтернет, чіткої і злагодженої взаємодії працівників міської ради та її виконавчих органів за рахунок автоматизації процесів передачі (приймання), обробки, відображення, документування інформації.

1.2. У результаті впровадження Порядку мають поліпшитися:

1. • регламентація діяльності працівників міської ради та її виконавчих органів при використанні персональних комп'ютерів;

   • відповідальність працівників за якість формування інформаційних ресурсів міської ради та її виконавчих органів і доступу до них;

   • якість використання ресурсів корпоративної мережі, мережі інтернет;

   • рівень захисту інформації, її збереження і дотримання прав доступу до інформації, встановлених її власником відповідно до чинного законодавства України;

   • інформаційна взаємодія виконавчих органів міської ради;

   • інформаційна безпека виконавчих органів міської ради.

1.3. Основні поняття та терміни, що використовуються у Порядку, мають такі визначення:

1. • суб'єкт інформаційних відносин - міська рада, виконавчі органи міської ради, які здійснюють інформаційну діяльність щодо створення, зберігання, одержання, збирання, використання, поширення, охорони та захисту інформації;

   • власник мережі - міська рада, балансоутримувач мережі - виконавчі органи міської ради;

   • власник системи - міська рада;

   • захист інформації в системі - діяльність, спрямована на запобігання несанкціонованих дій щодо інформації в системі;

   • інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

   • комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

   • користувач інформації в системі (далі - користувач) – працівник міської ради та її виконавчих органів, який відповідно до своїх посадових обов'язків
     отримав право доступу до інформації в системі;

   • відповідальні за інформатизацію – Хмельницьке міське комунальне підприємство "Хмельницькінфоцентр" (далі - ХМКП "Хмельницькінфоцентр"), працівники виконавчих органів, на яких згідно з посадовими інструкціями покладені обов'язки з впровадження та супроводу інформаційних систем, технологій;

   • корпоративна мережа передачі даних міської ради та її виконавчих органів - це мультисервісна мережа передачі даних, яка працює відповідно до встановленого порядку під єдиним управлінням власника мережі;

   • локальна обчислювальна мережа (далі - ЛОМ) - це телекомунікаційна система, яка забезпечує на обмеженій території (в межах однієї установи, підрозділу) один чи декілька каналів зв'язку, наданих приєднаним до неї абонентам для короткочасного локального користування для передачі (приймання) й обробки інформації різноманітних типів, організації та спільного використання баз/банків даних, різноманітних програмних продуктів тощо.

 

2. ЗАГАЛЬНІ АСПЕКТИ РОБОТИ НА ПЕРСОНАЛЬНИХ КОМП'ЮТЕРАХ

 

2.1. Комп'ютерна техніка, електронна поштова скринька на офіційному домені міської ради khm.gov.ua, доступ до інформаційних систем і ресурсів міської ради та її виконавчих органів надається працівникам для виконання своїх службових обов'язків.

2.2. Користувач несе відповідальність за збереження комп'ютерної техніки, обладнання, які надані йому у користування.

2.3. Взаємодія користувачів повинна базуватися на загальноприйнятих нормах ділової етики, Правилах поведінки посадових осіб органів місцевого самоврядування.

2.4. Усі працівники, які використовують персональні комп'ютери для виконання своїх службових обов'язків, повинні дотримуватися цього Порядку і ознайомитися з ним під підпис в окремому журналі (додаток до Порядку), який зберігається у відповідальних за інформатизацію.

2.5. Порядок є обов'язковим також і для осіб, яким для виконання своїх службових обов'язків було надано персональні комп'ютери для тимчасового використання або які підключають свої власні персональні комп'ютери до ЛОМ. Підключення комп’ютерної техніки або іншого обладнання здійснюється відповідальними за інформатизацію або за їх присутності.

2.6. У разі виникнення будь-яких апаратних чи системних несправностей комп'ютера користувач повинен негайно припинити роботу і викликати відповідального за інформатизацію. За неможливості зв’язатися з відповідальним за інформатизацію-повідомити керівника.

2.7. Відповідальні за інформатизацію здійснюють установлення та оновлення програмного забезпечення на всіх персональних комп'ютерах міської ради та її виконавчих органів. Встановлення (оновлення) програмного забезпечення, яке поставляється (обслуговується) на договірних засадах з фізичними або юридичними особами, проводиться з відома відповідальних за інформатизацію та з дотриманням вимог чинного законодавства України.

2.8. Користувачам забороняється:

1. • зберігати та запускати на персональних комп'ютерах програми комп'ютерних ігор;

   • надавати можливість використання службового комп'ютера іншим користувачам, а також іншим працівникам міської ради та її виконавчих органів, якщо це не викликано службовою необхідністю;

   • використовувати комп'ютерну техніку для особистих потреб;

   • використовувати адресу службової скриньки електронної пошти для отримання інформації неслужбового характеру;

   • вилучати, встановлювати чи змінювати будь-які апаратні компоненти комп'ютерної техніки, змінювати конфігурації програмного забезпечення;

   • самостійно виконувати будь-які ремонтні та профілактичні роботи персональних комп'ютерів;

   • знімати (розбирати) корпуси комп'ютерів, мережевих і периферійних пристроїв;

   • самостійно здійснювати переміщення комп'ютерної техніки;

   • вводити, обробляти та зберігати інформацію, що є державною таємницею (на персональних комп'ютерах, де відсутня відповідна комплексна система захисту інформації);

   • підключати у ЛОМ іншу комп'ютерну техніку, мережеве та периферійне обладнання без дозволу відповідальних за інформатизацію та постановки на відповідний облік.

2.9. Після закінчення робочого дня користувач повинен вимкнути персональний комп'ютер, іншу комп'ютерну техніку з мережі електроживлення (якщо інше не обумовлено технологічними вимогами).

2.10. Відповідальність за встановлення, належне функціонування антивірусних програм та регулярне оновлення їх баз даних покладається на відповідальних за інформатизацію. Придбання таких програм забезпечується в рамках бюджетного фінансування.

2.11. Портативні персональні комп'ютери можуть використовуватися працівниками міської ради та її виконавчих органів для виконання своїх службових обов'язків за межами приміщень виконавчих органів міської ради за письмовим погодженням з керуючим справами, без підключення до корпоративних або інших мереж та підключення носіїв інформації.

2.12. Інформація про призначення/звільнення працівників міської ради та її виконавчих органів з метою внесення/блокування/видалення користувача з інформаційної системи доводиться відділом кадрової роботи та з питань служби в органах місцевого самоврядування до відповідальних за інформатизацію.

 

3. РОБОТА З ІНФОРМАЦІЄЮ У КОРПОРАТИВНІЙ МЕРЕЖІ, ЛОМ, ІНФОРМАЦІЙНИХ СИСТЕМАХ

 

3.1. Під'єднання до корпоративної мережі, ЛОМ, інформаційних систем.

3.1.1.Під'єднання нових сегментів до корпоративної мережі організовує ХМКП "Хмельницькінфоцентр" відповідно до заявок виконавчих органів міської ради.

3.1.2.Під'єднання нових користувачів до інформаційних систем виконавчих органів проводиться відповідальними за інформатизацію.

3.1.3. Доступ до інформаційних систем, перелік користувачів та їх повноваження визначаються затвердженими інструкціями. Права доступу користувачів до корпоративної мережі на рівні каталогів та інформаційних ресурсів мережі мають визначатися у мінімальному обсязі, необхідному для виконання службових обов'язків.

3.1.4. Конфігурацію комп'ютерів для роботи в ЛОМ виконують відповідальні за інформатизацію при підключенні комп'ютерів до ЛОМ.

3.1.5. На центральних серверах виконавчого комітету міської ради для зберігання службової інформації, функціонування інформаційних систем та за наявності технічної можливості ХМКП "Хмельницькінфоцентр" виділяє дисковий простір, де підтримується цілісність даних, їх безпека, резервне копіювання і розмежування прав доступу.

3.2. Робота на комп'ютерах, які підключені до корпоративної мережі, ЛОМ, інформаційних систем.

3.2.1. Робота користувачів в інформаційних системах проводиться згідно затверджених інструкцій.

3.2.2. У разі впровадження відповідальними за інформатизацію відповідних систем для аутентифікації (процедура перевірки відповідності даних користувача) при доступі до інформаційних ресурсів ЛОМ кожен користувач повинен використовувати пароль. Для паролю слід послуговуватися поєднанням таких літер, цифр, спеціальних символів, що утворюють слово, яке неможливо знайти у словнику.

3.2.3. Пароль доступу до інформаційних ресурсів ЛОМ, отриманий від відповідальних за інформатизацію, може бути змінений користувачем.

3.2.4. Користувачам персональних комп'ютерів, які підключені до ЛОМ, забороняється:

1. • працювати в ЛОМ під чужими іменами та адресами (ІР та МАС) чи з реквізитами інших користувачів;

   • передавати власний пароль іншим особам, включаючи відповідальних за інформатизацію;

   • використовувати на мережевих комп'ютерах програми моніторингу, сканування мережі, тощо без дозволу керівництва;

   • самостійно відключати засоби автоматичного здійснення та відновлення антивірусного захисту без попереднього узгодження з відповідальним за інформатизацію;

   • використовувати дисковий простір серверів для зберігання і пересилання іншим користувачам програм і даних неслужбового характеру.

3.2.5. Відповідальні за інформатизацію забезпечують протоколювання роботи користувачів у корпоративній мережі, ЛОМ.

3.3. Захист інформації у корпоративній мережі, ЛОМ, інформаційних системах.

3.3.1. Об'єктами захисту у корпоративній мережі, ЛОМ, інформаційних системах є інформація, що обробляється в них, та програмне забезпечення, яке призначене для обробки цієї інформації, а також імена користувачів та дані аутентифікації.

3.3.2. Політика захисту інформації у корпоративній мережі формується та реалізовується відповідальними за інформатизацію.

Захист інформації у корпоративній мережі складається з комплексу організаційних і технічних заходів, спрямованих на виключення або неможливість протиправних дій щодо ресурсів корпоративної мережі.

3.3.3. Для належного захисту інформації у корпоративній мережі ХМКП "Хмельницькінфоцентр" спільно із відділом оборонно-мобілізаційної і режимно-секретної роботи та взаємодії з правоохоронними органами міської ради організовує формування комплексної системи захисту інформації.

3.3.4. Організаційні заходи щодо захисту інформації у корпоративній мережі включають:

1. • організацію постійного контролю за дотриманням правил користування мережею;

   • обмеження доступу працівників у приміщення, де встановлені сервери та комутаційне обладнання;

   • контроль за структурою корпоративної мережі та припинення несанкціонованого підключення до неї;

   • інші заходи організаційного характеру.

3.3.5. Технічні заходи включають:

1. • правила зміни мережевих паролів;

   • антивірусний контроль;

   • регулярне резервне копіювання інформації;

   • відслідковування запуску та припинення використання програмного забезпечення, що ускладнює або порушує функціонування корпоративної мережі, комп'ютерів у ній і порушує безпеку корпоративної мережі;

   • обмеження пропуску мережевих протоколів на маршрутизаторах відповідно до визначених у затверджених проектах потреб окремих сегментів корпоративної мережі;

   • інші заходи технічного характеру.

3.3.6. Авторизацію доступу до мережевих ресурсів, а також централізовану аутентифікацію користувачів, що отримали доступ у корпоративну мережу забезпечує ХМКП "Хмельницькінфоцентр".

3.4. Порушення використання корпоративної мережі, ЛОМ, мережі інтернет.

3.4.1. До порушень використання корпоративної мережі, ЛОМ, мережі інтернет належить діяльність, що порушує чинне законодавство України, а також несанкціонований доступ до корпоративної мережі, ЛОМ.

3.4.2. До порушень використання корпоративної мережі, ЛОМ, мережі інтернет, крім того, належать:

1. • самовільна організація точок доступу у корпоративну мережу комутованими, виділеними і фізичними каналами без погодження з ХМКП "Хмельницькінфоцентр";

   • спроби доступу і доступ до даних і програм, розміщених як у середині корпоративної мережі, так і за її межами, осіб, що не мають на це право;

   • використання робочих місць або серверів корпоративної мережі для здійснення мережевих атак на робочі станції, сервери й мережеве обладнання корпоративної мережі або мережі інтернет;

   • розсилання невитребуваної інформації електронною поштою (спам), листів з вказівкою чужої адреси відправника, листів загрозливого або образливого характеру, відправлення листів, що переповнюють поштову скриньку одержувача й перешкоджають отриманню нової пошти;

   • несанкціоноване знищення (або фальсифікація) користувачами корпоративної мережі даних і програм без погодження з їх авторами або відповідальними за інформатизацію;

   • незаплановане і необґрунтоване виробничою необхідністю завантаження корпоративної мережі;

   • відвідування сайтів та "соціальних мереж", ресурсів мережі інтернет, не пов'язаних з виконанням службових обов'язків;

   • використання корпоративної мережі в діяльності, що суперечить чинному законодавству України.

3.5. Доступ до приміщень, в яких розташоване серверне або комутаційне обладнання корпоративної мережі, обмежений.

 

4. ПРАВА ТА ОБОВ'ЯЗКИ ВІДПОВІДАЛЬНИХ ЗА ІНФОРМАТИЗАЦІЮ ТА КОРИСТУВАЧІВ КОРПОРАТИВНОЇ МЕРЕЖІ, ЛОМ, ІНФОРМАЦІЙНИХ СИСТЕМ

 

4.1. Права і обов'язки відповідальних за інформатизацію.

4.1. 1. Відповідальні за інформатизацію мають право:

1. • у разі порушення використання корпоративної мережі частково або повністю усувати порушників від користування нею;

   • у разі зловживання (використання не за службовим призначенням) користувачами корпоративною мережею, ЛОМ частково або повністю усувати порушників від користування цими мережами;

   • видаляти програмне забезпечення, що порушує роботу корпоративної мережі, ЛОМ.

4.1.2. Відповідальні за інформатизацію зобов'язані:

1. • обмежувати доступ працівників у приміщення, де встановлені сервери;

   • здійснювати контроль за дотриманням структури корпоративної мережі;

   • реалізовувати технічні заходи щодо відстеження запуску та припинення використання програмного забезпечення, що ускладнює або порушує безпеку, функціонування корпоративної мережі, комп'ютерів у ній та налагодження політики безпеки домена;

   • вживати організаційних і технічних заходів щодо припинення спроб несанкціонованого доступу до комп'ютерів із зовнішніх мереж і комп'ютерів корпоративної мережі, а також щодо припинення розповсюдження інформації, забороненої чинним законодавством України;

   • дотримуватися плану адресації, встановлених правил іменування комп'ютерів, користувачів;

   • забезпечувати актуалізацію інформації про користувачів в Active Directory (у разі її впровадження).

4.2. Права і обов'язки користувачів.

4.2.1. Користувач має право:

1. • на доступ до відповідних ресурсів корпоративної мережі, ЛОМ, інформаційних систем у межах компетенції та відповідно до цього Порядку;

   • звертатися за довідковою інформацією і консультацією до відповідального за інформатизацію.

4.2.2. Користувач зобов'язаний:

1. • ознайомитися з цим Порядком під підпис відповідно до п. 2.4;

   • використовувати ресурси корпоративної мережі, ЛОМ, інформаційних систем виключно з метою, пов'язаною з виконанням службових обов'язків;

   • виконувати вимоги відповідального за інформатизацію, що не суперечать цьому Порядку;

   • дотримуватись правил техніки безпеки при роботі з комп'ютерною технікою;

   • забезпечувати нерозголошення ідентифікаційної інформації, що використовується для доступу до ресурсів корпоративної мережі, ЛОМ, мережі інтернет, інформаційних систем відповідно до п.п. 2.8., 3.2.4;

   • перешкоджати несанкціонованому і недобросовісному використанню ресурсів корпоративної мережі, ЛОМ, інформаційних систем;

   • користуватися антивірусними програмами;

   • негайно повідомляти відповідального за інформатизацію у разі появи відомостей або підозри про факти порушення цього Порядку, зокрема факти несанкціонованого доступу до інформації, яка зберігається на його комп'ютері, або в інших доступних до користувача ресурсах корпоративної мережі;

   • постійно вдосконалювати свої знання і навички роботи з комп'ютерною технікою;

   • належно експлуатувати комп'ютерну техніку, запобігати потраплянню на комп'ютерну техніку чужорідних речовин (рідин, крихт тощо).

 

5. ОРГАНІЗАЦІЯ ПАРОЛЬНОГО ЗАХИСТУ

5.1. Особисті паролі доступу користувачів до ресурсів корпоративної мережі, ЛОМ, інформаційних систем видаються відповідальним за інформатизацію.

5.2. Повна планова зміна паролів користувачів проводиться не рідше одного разу на 3 місяці.

5.3. Правила формування пароля:

1. • пароль не може містити ім'я облікового запису користувача або будь-яку його частину;

   • пароль повинен складатися не менше ніж з 8 символів;

   • у паролі повинні бути присутніми символи трьох категорій з числа наступних чотирьох:

а) великі літери англійського алфавіту від А до Z,

б) малі літери англійського алфавіту від а до z,

в) десяткові цифри (від 0 до 9),

г) символи, які не належать алфавітно-цифровому набору (наприклад,!, $, #,%);

1. • забороняється використовувати в якості пароля ім'я входу до інформаційних систем та роботи в корпоративній мережі, ЛОМ, прості паролі типу «123», «111», «qwerty» і їм подібні, імена і дати народження своєї особистості і своїх родичів, клички домашніх тварин, номери автомобілів, телефонів та інші паролі, які можна вгадати, ґрунтуючись на інформації про користувача;

   • забороняється використовувати в якості пароля один і той же символ що повторюється або повторювану комбінацію з декількох символів;

   • забороняється використовувати в якості пароля комбінацію символів, що набираються в закономірному порядку на клавіатурі (наприклад, 1234567 тощо);

   • забороняється вибирати паролі, які вже використовувалися раніше.

5.4. Правила введення пароля:

1. • введення пароля повинно здійснюватися з урахуванням регістра, в якому пароль було встановлено;

   • під час введення паролів необхідно виключити можливість його підглядання сторонніми особами або технічними засобами (відеокамери та ін.).

5.5. Правила зберігання пароля:

1. • забороняється записувати паролі на папері, у файлі, електронному записнику та інших носіях інформації, в тому числі на предметах;

   • забороняється повідомляти іншим користувачам особистий пароль і реєструвати їх в системі під своїм паролем.

5.6. Користувачі, які використовують паролювання, зобов'язані:

1. • чітко знати і суворо виконувати вимоги цього Порядку та інших нормативних документів з паролювання;

   • своєчасно повідомляти відповідальним за інформатизацію про факт або загрозу компрометації, втрату, несанкціоновану зміну паролів і несанкціоновану зміну термінів дії паролів.

 

6. ПРАВИЛА РОБОТИ В МЕРЕЖАХ ЗАГАЛЬНОГО ДОСТУПУ І (АБО)

МІЖНАРОДНОГО ОБМІНУ

6.1. Робота в мережах загального доступу і (або) міжнародного обміну (мережі інтернет та інших) (далі – Мережа) на елементах веб-сервісів повинна проводитися для виконання службових обов’язків.

6.2. При роботі в Мережі забороняється:

 

1. • здійснювати роботу при відключених засобах захисту (антивірус і інших);

   • передавати по Мережі інформацію, що захищається, без використання засобів захисту каналів зв'язку;

   • забороняється нецільове використання підключення до Мережі.

Керуючий справами виконкому Ю. Сабій

Директор ХМКП “Хмельницькінфоцентр” С. Матвійчук

 

 

Додаток до Порядку роботи працівників міської ради та її виконавчих органів на персональних комп'ютерах, у корпоративній мережі та мережі інтернет

 

Журнал
ознайомлення працівників

_______________________________________________
(назва структурного підрозділу виконавчих органів міської ради)

з Порядком роботи працівників міської ради та її виконавчих органів на персональних комп'ютерах, у корпоративній мережі виконкому та мережі інтернет

 

N з/п	Прізвище, ім'я, по батькові	Посада	Дата ознайомлення	Підпис

 

Директор ХМКП “Хмельницькінфоцентр” С. Матвійчук