Утверждена Распоряжением От_12.07_2006г. №_НГ-175__ Инструкция для пользователей информационных ресурсов по работе в сети передачи данных. 1. Общие положения. 1.1. Настоящая инструкция разработана на основании и в соответствии с нормативно-методическими документами, действующими в ОАО РЖД и нормативно-правовыми актами Российской Федерации в области обеспечения безопасности информации. 1.2. Инструкция определяет повседневный регламент работы пользователей в сети передачи данных (СПД) ОАО «РЖД» 1.3. Инструкция устанавливает права, обязанности и ответственность пользователей подключенных к СПД ОАО «РЖД» 1.4. Инструкция разработана в целях повышения эффективности работы СПД Западно-Сибирской ж.д. и всех ее составляющих, ознакомления пользователей с правилами работы в СПД, упорядочивания взаимодействий между подразделениями обеспечивающими работоспособность СПД и пользователями. 1.5. Требования инструкции распространяются на работников Западно-Сибирской железной дороги, других филиалов ОАО «РЖД», дочерних предприятий, чьи рабочие станции подключены к СПД Западно-Сибирской железной дороги. 1.6. Инструкция является организационно-распорядительным документом, регламентирующим вопросы обеспечения безопасности информации при работе пользователей в сети передачи данных. 1.7. Пользователями сети передачи данных (в дальнейшем - пользователь) являются лица, чьи рабочие места, оснащены ПЭВМ или ноутбуком, которые подключены к дорожному сегменту СПД. 1.8. Пользователям не гарантируется конфиденциальность информационного обмена, за исключением случаев, когда это необходимо (с применением специального аппаратного и программного обеспечения). 1.9. Компьютеры и устройства, подключенные к СПД, являются критическими устройствами, с которых возможна утечка конфиденциальной информации. Некоторые из них являются технологическими устройствами, выход из строя которых может повлечь за собой сбой в работе информационных систем железной дороги. 1.10. Пользователь несет полную ответственность за все действия, произведенные с его рабочего места и от его имени. 1.11. Подключение персональных компьютеров и других устройств к сети передачи данных производится согласно распоряжению президента ОАО «РЖД» 2 № 3808 от 14.12.04г. Запрещено несанкционированное подключение к ресурсам СПД. 1.12. Запрещается доступ пользователей к работе на ПЭВМ, до ознакомления с главой 28 «Преступления в сфере компьютерной информации» УК РФ, ст.183 УК РФ, ст. 139 ГК РФ, распорядительными документами ОАО «РЖД» регламентирующими вопросы обеспечения безопасности информации, составляющей коммерческую тайну ОАО «РЖД» и настоящей инструкцией. 1.13. Подписав заявку на подключение к информационным ресурсам, пользователь тем самым подтверждает ознакомление с настоящей инструкцией, и обязуется выполнять ее требования. 2. Права пользователя. Пользователь имеет право: 2.1. Получать доступ к имеющимся ресурсам сети в пределах, установленных владельцем ресурса, если этот доступ не противоречит данной Инструкции. 2.2. Предоставлять ресурсы своего рабочего места через сеть другим конкретным пользователям, только в случае производственной необходимости и невозможности использования других способов обмена информацией, за что несет персональную ответственность. 2.3. Обращаться за справочной информацией, консультацией и, при необходимости, оформлять заявки на проведение работ по установке и настройке программного обеспечения соответствующим техническим персоналом, обслуживающим технические средства, в пределах его (персонала) компетенции. 2.4. Организовывать общедоступные ресурсы, необходимые для производственных целей, после рассмотрения и утверждения заявки в соответствии с указанием НГ1/137 от 21.10.2004г. 3. Обязанности пользователя. 3.1. Каждый работник дороги, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации, имеющий доступ к аппаратным средствам, программному обеспечению и информационным ресурсам (далее ИР) СПД, несет персональную ответственность за свои действия и обязан: - строго соблюдать установленные требования обеспечения информационной безопасности при работе с ИР СПД; - знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции; - передавать для хранения установленным порядком свое индивидуальное устройство идентификации и другие реквизиты разграничения доступа только ответственному за информационную безопасность, либо в его отсутствие руководителю предприятия. 3.2. Выполнять все требования администраторов соответствующих сегментов сети, не противоречащие настоящим правилам. 3 3.3. Обеспечивать неразглашение идентификационной информации, используемой для доступа к ресурсам сети (паролей и прочих кодов авторизованного доступа). Установка пароля осуществляется в соответствии с данной Инструкцией. 3.4. Препятствовать несанкционированному и недобросовестному использованию ресурсов сети со своего рабочего места. 3.5. Выполнять требования по антивирусной защите рабочих станциях, принятые на дороге. Иметь представление о принципах работы вирусных программ, путях их проникновения и распространения, соблюдать процедуры для предупреждения их проникновения, обнаружения и уничтожения в соответствии с антивирусной политикой. 3.6. Извещать администраторов своего сегмента сети в случае заражения рабочей станции вирусом, обнаружении ошибок в ПО, утери персональной ключевой дискеты, индивидуального устройства идентификации или при подозрении компрометации личных ключей и паролей, отклонений в нормальной работе системных и прикладных программных средств, в том числе и технических средств защиты и иных внештатных ситуациях. 3.7. Содержать в чистоте и исправном состоянии рабочую станцию и периферийное оборудование подключенное к ней 4. Пользователю запрещается: 4.1. Выносить за пределы предприятия оборудование, данные и программное обеспечение без письменного разрешения руководства. 4.2. Использовать компоненты программного и аппаратного обеспечения в неслужебных целях. Использовать СПД в целях, не соответствующих производственной и административной деятельности, в том числе для отправки коммерческих предложений, рекламы, коллективных поздравлений и т.п., в соответствии с распоряжением ОАО «РЖД» №3034 от 02.08.04 г. 4.3. Производить подготовку документов, содержащих информацию конфиденциального характера в присутствии посторонних лиц (не допущенных к данной информации). 4.4. Предоставлять доступ к своему рабочему месту в любой форме посторонним лицам, а также предоставлять доступ к каналам сети, пользователям других сетей (например, посредством proxy-server, socks-proxy, open relay и т.п.). 4.5. Распространять в компьютерных сетях информацию (серийные номера лицензионных программ, сами программы, файлы данных и т.п.), являющуюся интеллектуальной собственностью и защищенную Законом об Авторских правах. 4.6. Создавать и поддерживать средствами сети любые ресурсы, содержание, цели и задачи которых не соответствуют технологиям информационных систем ОАО «РЖД» и Западно-Сибирской ж.д., настоящим правилам, либо нарушают их. 4.7. Несанкционированно вносить изменения в конфигурацию аппаратнопрограммных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций. Изменять сетевые настройки рабочих мест (IP-адрес, настройки сетевых протоколов, сетевое имя, в том числе и средств защиты). Фальсифицировать 4 данные, передаваемые по сети, в том числе обратный адрес электронной почты. 4.8. Использовать любое другое сетевое программное обеспечение, кроме разрешенного на дороге. 4.9. Публиковать и рассылать информацию, нарушающую действующее законодательство РФ, политическую и религиозную пропаганду. 4.10. Отправлять электронные письма, содержащие вложенные файлы размером превышающие допустимые настройками почтовых серверов - 1,2 Мб, либо массово рассылать письма с вложенными файлами большого объема (если это не предусмотрено технологией данной задачи). 4.11. Хранить на ПЭВМ, предоставлять общий доступ и передавать по СПД и ЛВС информацию, не относящуюся к производственной деятельности. К такой информации относятся аудио, фото, видео файлы непроизводственного характера, информация развлекательного характера, компьютерные игры, распространение которых ведет к непроизводственной загрузке сетей, вычислительных средств и систем компании. 4.13. Осуществлять попытки несанкционированного или неправомерного доступа к ресурсам компьютерных сетей, проводить или участвовать в сетевых атаках и сетевом взломе. В том числе: - передавать или принимать по СПД информацию объемом, превышающим 200 Мб в сутки; - устанавливать программное обеспечение (далее ПО), осуществляющее взлом сети, подбор паролей, перехват информации (пакетов), адресованной другим пользователям; - получать несанкционированный доступ к ресурсу сети (компьютеру, сетевому и другому оборудованию или информационному ресурсу), а также уничтожать или модифицировать программное обеспечение или данные, без согласования с владельцами этого ресурса, либо администрацией данного сегмента сети; - производить несанкционированное копирование информационных ресурсов на электронные носители информации (сменные диски, дискеты, Flash); - создавать, использовать и распространять вредоносные программы, в том числе направленных на нарушение целостности и работоспособности систем; - производить попытки подбора паролей к любым информационным ресурсам. 4.14. Осуществлять целенаправленные действия по сканированию сети с целью определения её внутренней структуры, списков открытых портов, наличия сервиса и т.п. 4.15. Использовать ресурсы сети (адреса электронной почты, IP-адреса, страницы WWW и т.п.) в качестве контактных координат при совершении любого из действий, не соответствующих настоящим правилам, вне зависимости от того, из какой точки подключения к компьютерным сетям были совершены эти действия. 4.16. Использовать сетевое окружение для доступа к ресурсам компьютеров других рабочих групп. 4.17. Самостоятельно устанавливать и переустанавливать операционную систему на своем рабочем месте и по просьбе других пользователей, не имея на это соответствующих полномочий и компетентности, а также устанавливать и 5 переустанавливать другое прикладное и системное программное обеспечение без согласования с администрацией. 4.18. Устанавливать, настраивать и использовать WEB-сервера, FTP-сервера и другие серверные приложения на своем рабочем месте, за исключением случаев его использования в производственном процессе, с предварительной регистрацией в соответствии с Указанием НГ-1/137 от 21.10.04г. 4.19. Использовать в сети компьютеры без установленных пакетов обновлений. 4.20. Оставлять на рабочем месте без личного присмотра включенную рабочую станцию, с не активизированными средствами защиты от несанкционированного доступа (временная блокировка экрана и клавиатуры, которая осуществляется нажатием клавиш Windows+L, либо «Ctrl+Alt+Del – Блокировка»), индивидуальное устройство идентификации (Touch Memory, личную ключевую дискету), служебные документы с грифом «Коммерческая тайна», как на бумажном, так и на электронном носителе. 5. Правила по антивирусной защите рабочих станций. 5.1. Антивирусная защита является обязательным компонентом рабочего места, подключенного к сети передачи данных ОАО «РЖД». 5.2. Запрещено подключение к СПД ПЭВМ, ноутбуков, без установленного антивирусного программного обеспечения. 5.3. Проверку локальных дисков на предмет наличия вирусов необходимо осуществлять ежедневно. Администраторы серверов также обязаны осуществлять периодическую проверку серверов. 5.4. При обнаружении вируса отключить зараженную ПЭВМ от СПД, немедленно известить об этом администратора сети, удалить вирус и запустить внеочередную проверку ПЭВМ антивирусной программой. При невозможности удаления вируса обратиться к администратору безопасности предприятия. Возобновление подключения к СПД возможно только после полной проверки ПЭВМ антивирусной программой с обновленной базой данных. 5.5. В качестве антивирусного программного обеспечения должны использоваться только лицензионные антивирусные средства, официально применяемые на дороге. 5.6. Установку антивирусного программного обеспечения осуществляет администратор сети предприятия, либо специалист предприятия, сопровождающий и устанавливающий системное программное обеспечение на рабочих станциях, либо устанавливается самостоятельно пользователем, обладающим необходимыми навыками в четком соответствии с инструкцией по установке и настройке. 5.7. Своевременное обновление баз антивирусного программного обеспечения является обязательным условием его эффективной работы. Должно быть настроено автоматическое ежедневное обновление антивирусных баз данных с дорожного сервера обновлений либо с аналогичных серверов, расположенных на отделении дороги. (Более подробно эту информацию можно узнать у администратора информационной безопасности вашего отделения). 5.8. При работе со сменными носителями: 6 - запрещается включать компьютер с находящейся в дисководе дискетой; - обязательно проверить переносными носителями информации (дискеты, ZIP и др.) на наличие вирусов; - после окончания работы сразу же удалить дискету из дисковода; - при работе на чужом компьютере, если не требуется запись на дискету, необходимо защитить дискету от записи. 5.4. При получении вложенных файлов от неизвестных адресатов ни в коем случае не открывать эти файлы, особенно если письмо или тема письма написаны на иностранном языке. При необходимости открытия вложений файл следует сохранить его на локальный диск, проверить антивирусным сканнером (антивирусная база должна быть обновлена), и только после этого открывать. 5.5. В программе Outlook должен быть отключен режим автопросмотра. 5.6. Внимательно читать все предупреждения администраторов электронной почты о новых вирусах, распространяемых по электронной почте. 5.7. Не запускать программы, назначение которых вы не знаете. 5.8. Постоянная антивирусная защита файловой системы должна все время находиться во включенном состоянии. 6. Требования по выбору и использованию пароля. 6.1. Любой пользователь, работающий в сети передачи данных ОАО «РЖД», должен быть однозначно идентифицирован. Для этого при регистрации пользователя в информационной системе (ИС) пользователю выделяется уникальное имя пользователя (логин) и пароль. Важно держать свой пароль в секрете и не передавать другим лицам. Запрещается также записывать пароли на бумагу и хранить их в таком виде на рабочем месте, например, наклеивая на монитор. 6.2.Для уменьшения вероятности компрометации пароля вводится обязательная смена сетевого пароля по истечении 90 дней. Работники группы информационной безопасности оставляют за собой право потребовать принудительной смены пароля пользователя в случае подозрения в его компрометации. Если вы считаете, что кто-либо узнал ваш пароль (то есть произошла компрометация пароля), смену пароля можно провести самостоятельно. При смене пароля необходимо руководствоваться правилами выбора пароля. 6.2. Виды паролей: - пароль BIOS (Базовая система ввода - вывода). Контролирует включение и аппаратные настройки компьютера; - пароль на вход в Windows 9х/Me. Устанавливается для контроля настроек при запуске операционной системы. Пароль на вход в Windows 95/98/Me не обеспечивает необходимый уровень защиты информации, хранящейся на ПЭВМ; - программа-заставка (Screen Saver) с паролем, блокирует доступ к компьютеру спустя некоторое время бездействия системы; - пароль на вход в сеть Microsoft Windows или сеть Novell NetWare - служит для идентификации пользователя в сети и защиты его прав на использование сетевых 7 информационных ресурсов. В NT-технологии также используется для блокирования консоли; - пароль на доступ к информации (ресурсам), используемой сотрудником при выполнении им служебных обязанностей с использованием специализированного ПО (например, АРМы, СУБД, R/3 и т.д.). Пароль на доступ к информации, используемой сотрудником при выполнении служебных обязанностей, зависит от конкретного программного продукта, и устанавливается либо системным администратором (администратором БД), либо разработчиком. 6.3. Каждый сервер должен иметь резервный бюджет администратора. Пароли резервных администраторов должны храниться на бумажном носителе в запечатанном конверте в сейфе под ответственность администратора сервера. Конверт должен вскрываться комиссионно, с составлением акта, только в экстренных случаях по распоряжению начальника отдела, за которым закреплен данный сервер. 6.4. Правила выбора пароля: - Длина пароля - не менее 6 символов. - Рекомендуется использование букв верхнего и нижнего регистров английского алфавита, спецсимволов, например # $ @ % & и т.д. - Не рекомендуется задавать пароль, связанный с личными данными пользователя (Фамилия, имя, адрес проживания, домашний или рабочий телефон, дата рождения, имена родственников и т.д.) либо одинарное слово, которое возможно подобрать при помощи словаря. 7. Последствия невыполнения данной инструкции. 7.1. При нарушении данной инструкции, невыполнении обязанностей и правил работы в СПД пользователями, администратор безопасности отделения ИВЦ имеет право на отключение рабочего места от СПД с докладом по данному факту администратору безопасности ИВЦ Западно-Сибирской ж. д., в случае необходимости в региональный центр безопасности. Обратное включение производится после устранения замечаний и принятия мер, исключающих возможность повторного нарушения. 7.2. Ответственными, за нарушение Правил работы в СПД, простой рабочего места и возникшие в связи с этим последствия, являются: - работник, за которым закреплена ПЭВМ; - работник, нарушивший Правила; - непосредственный начальник работника, допустившего нарушения; - руководитель подразделения, работниками которого являются лица, нарушившие Правила 7.3. За несанкционированный допуск к рабочим местам несет ответственность руководитель данного предприятия, как лицо ответственное за информационную безопасность предприятия. 7.4. В случае, если нарушение инструкции повлекло за собой утечку информации, содержащую служебную, коммерческую или государственную тайну, нарушение 8 работоспособности СПД - пользователь несет персональную уголовную ответственность в соответствии со статьями 183, 283, 284 Уголовного Кодекса РФ и статьей 139 Гражданского Кодекса. 7.5. Выбор меры ответственности для нарушителя является прерогативой руководства дороги в зависимости от размера причиненного дороге экономического или материального ущерба. Начальник службы корпоративной информатизации В.Т. Васильев