1 Термины и определения Сервер - аппаратно-программный комплекс, исполняющий функции хранения и обработки запросов пользователей и не предназначенный для локального доступа пользователей (выделенный сервер, маршрутизатор и другие специализированные устройства) ввиду высоких требований по обеспечению надежности, степени готовности и мер безопасности информационной системы колледжа. Рабочая станция - персональный компьютер (терминал), предназначенный для доступа пользователей к ресурсам Автоматизированной системы колледжа, приема передачи и обработки информации. Автоматизированная система (АС) - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработкиданных и информации и производства вычислений. Системный администратор - должностное лицо, в обязанности которого входит обслуживание всего аппаратно-программного комплекса колледжа, управление доступом к сетевым ресурсам, а также поддержание требуемого уровня отказоустойчивости и безопасности данных, их резервное копирование ивосстановление Пользователь - сотрудник колледжа, использующий ресурсы информационной системы колледжа для выполнения должностныхобязанностей. Учетная запись - информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (Адресэлектронной почты, телефон и т.п.) Пароль - секретная строка символов (букв, цифр, специальных символов), предъявляемая пользователем компьютерной системе для получения доступа к данным и программам. Пароль является средством защиты данных от несанкционированного доступа. Изменение полномочий - процесс создания удаления, внесения изменений в учетные записи пользователей АС, создание, удаление изменение наименований почтовых ящиков и адресов электронной почты, создание, удаление изменение групп безопасности и групп почтовой рассылки, а такжедругие изменения, приводящие к расширению (сокращению) объема информации либо ресурсов доступных пользователю АС. 2 1. Назначение и область применения 1.1. Положение об информационной безопасности государственного бюджетного профессионального образовательного учреждения Стерлитамакский профессионально-технический колледж (далее – Положение, колледж) регламентирует порядок организации и правила обеспечения информационной безопасности в колледже, распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками колледжа, требования по информационной безопасности к информационным средствам, применяемым в колледже. 1.2. Положение является локальным нормативным актом колледжа. Требования настоящего Положения обязательны для всех структурных подразделений колледжа и распространяются на: - автоматизированные системы колледжа; - средства телекоммуникаций; - помещения; - сотрудников колледжа. 1.3. Положение утверждается приказом директора колледжа в установленном порядке. 2. Общие положения 2.1. Информационная безопасность является одним из составных элементов комплексной безопасности колледжа. Под информационной безопасностью колледжа понимается состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. 2.2. Информационная безопасность - деятельность, направленная на обеспечение защищенного состояния объекта информации, в том числе объектов автоматизированных и телекоммуникационных систем, противодействия техническим разведкам, включающая комплексные, криптографические, компьютерные, организационные, технические средства защиты. 2.3. Обеспечение информационной безопасности осуществляется по следующим направлениям: - правовая защита – процедуры и мероприятия, обеспечивающие защиту информации на правовой основе; - организационная защита – это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающаяили ослабляющая нанесение какого-либо ущерба; - инженерно-техническая защита – это использование различных технических средств, препятствующих нанесению ущерба. Информационная безопасность включает: - защиту интеллектуальной собственности колледжа; - защиту компьютеров, локальных сетей и сети подключения к системе 3 Интернета; - организацию защиты конфиденциальной информации, в т. ч. персональных данных работников и обучающихся; - учет вех носителей конфиденциальной информации. 2.4. Информационная безопасность колледжа должна обеспечивать: - конфиденциальность (защиту информации от несанкционированного раскрытия или перехвата); - целостность (точность и полноту информации и компьютерных программ); - доступность (возможность получения пользователями информации в пределах их компетенции). 2.5. К объектам информационной безопасности колледжа относятся: - информационные ресурсы, содержащие документированную информацию, в соответствии с перечнем сведений конфиденциального характера; - информацию, защита которой предусмотрена законодательными актами РФ, в т. ч. и персональные данные; средства и системы информатизации, программные средства, автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом. 2.6. Правовую основу Положения составляют: - Конституция Российской Федерации; - Федеральный закон «О безопасности» от 28.12.2010 № 390-ФЗ; - Федеральный закон «О связи» от 07.07.2003 № 126-ФЗ; - Федеральный закон «О коммерческой тайне» от 29.07.2004 № 98-ФЗ; - Федеральный закон «Об информации, информационных технологиях и о защите информации» от 26.07.2006 № 149-ФЗ; - Федеральный закон «О персональных данных» от 27.07.06 № 152-ФЗ (в ред. от27.07.2011) - ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью" (утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст) - другие законодательные акты, руководящие и нормативно-методические документы Российской Федерации в области обеспечения информационной безопасности. 3. Цели и задачи обеспечения безопасности информации 3.1. Главная цель обеспечения безопасности информации, циркулирующей в колледже, является реализация положений законодательных актов Российской Федерации и нормативных требований по защите информации ограниченного доступа (далее по тексту конфиденциальной или защищаемой информации) и предотвращение ущерба в результате разглашения, утраты, утечки, искажения и уничтожения информации, ее незаконного использования и нарушения работы 4 информационно-телекоммуникационной системы колледжа. 3.2. Основными целями обеспечения безопасности информации являются: - предотвращение утечки, хищения, искажения, подделки информации,циркулирующей в колледже; - предотвращение нарушений прав личности обучающихся, работниковколледжа на сохранение конфиденциальности информации; - предотвращение несанкционированных действий по блокированиюинформации; 3.3. Основными задачами обеспечения безопасности информации являются: - соответствие положениям законодательных актов и нормативным требованиям по защите информации; - своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба интересам колледжа, нарушению нормального функционирования и развития колледжа; - создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции в системе информационных отношений; - эффективное пресечение незаконных посягательств на информационные ресурсы, технические средства и информационные технологии, в том числе с использованием организационно-правовых и технических мер и средств защитыинформации; - координация деятельности структурных подразделений колледжа по обеспечению защиты информации; - развитие системы защиты, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения; - развитие и совершенствование защищенного юридически значимого электронного документооборота. - создание механизмов, обеспечивающих контроль системы информационной безопасности и гарантии достоверности выполнения установленных требованийинформационной безопасности - создание механизмов управления системой информационной безопасности (СИБ). 4. Организация системы обеспечения информационной безопасности 4.1. Система обеспечения информационной безопасностираспространяются на: - автоматизированные системы колледжа; - средства телекоммуникаций; - помещения; - сотрудников колледжа. 4.2. В целях реализации стоящих перед системой обеспечения информационной безопасности задач в колледже 5 устанавливаются: - защита персональных данных персонала и обучающихся; - контроль за использованием электронных средств информационного обеспечения деятельности колледжа по прямому назначению; - противодействие фактам использования при работе на электронных средствах информационного обеспечения деятельности колледжа нелицензированных программных продуктов и электронных носителей информации способных произвести заражение программного обеспечения вирусами; - внутрисетевой контроль за перемещением информации; - принятие мер к воспрещению доступа к информационным материалам, признанным в соответствии с действующим законодательством экстремистскими; - проверка целесообразности использования персоналом и обучающимися колледжа интернет - ресурса, предоставляемого им администрацией, анализ допускаемых нарушений и принятие мер к недопущению его нецелевого использования средствами технического противодействия; - обучение персонала колледжа по вопросам обеспечения информационной безопасности; - контроль за правильностью использования имеющихся в колледже средств телефонной и радиосвязи; - защита персональных данных персонала и обучающихся - мероприятия по недопущению несанкционированного доступа к персональным данным персонала и обучающихся колледжа при их обработке с использованием средств автоматизации или без использования таких средств; - контроль за использованием электронных средств информационного обеспечения деятельности колледжа по прямому назначению - плановые и внеплановые проверки в структурных подразделениях колледжа. Содержание проверок - сложившаяся практика использования персональных компьютеров, мультимедийных систем, интерактивных средств обучения, телевизионных приемников, копировально-множительной аппаратуры и сканирующих устройств, электронных средств проектирования и инженерной графики, телефонных аппаратов и радиостанций, а также программного обеспечения к указанным средствам и устранение выявленных в ходе проверок недостатков. - противодействие фактам использования при работе на электронных средствах информационного обеспечения деятельности колледжа нелицензированных программных продуктов и электронных носителей информации способных произвести заражение программного обеспечения вирусами - контроль за используемым программным обеспечением и проверка его подлинности, ограничение в использовании съемных и компакт-дисков сотрудниками и обучающимися колледжа; 6 - принятие мер к воспрещению доступа к информационным материалам, признанным в соответствии с действующим законодательством экстремистскими постоянное ознакомление со сведениями об информационных материалах признанных в соответствии с действующим законодательством экстремистскими, доведение этих сведений до администрации и персонала колледжа и принятие мер к воспрещению доступа к этим материалам (мерами технического противодействия - в отношении материалов находящихся в сети Интернет, и путем изъятия – в отношении печатных изданий, хранящихся в библиотеке колледжа); - проверка целесообразности использования персоналом и обучающимися колледжа интернет - ресурса, предоставляемого им администрацией, анализ допускаемых нарушений и принятие мер к недопущению его нецелевого использования средствами технического противодействия - установление и доведение в форме инструкций до персонала и обучающихся колледжа общедоступных требований об ограничениях при использовании ресурса, предоставляемого им администрацией колледжа, постоянный контроль за выполнением указанных ограничений, разработка, внедрение, и применение технических (программных) средств противодействия возникающим нарушениям, либо злоупотреблениям; - обучение персонала колледжа по вопросам обеспечения информационной безопасности - проведение занятий с персоналом в целях формирования у них соответствующих знаний, умений и навыков позволяющих соблюдать требования по обеспечению ин формационной безопасности колледжа. - контроль за правильностью использования имеющихся в колледже средств телефонной и радиосвязи - выявление фактов нецелевого использования средств телефонной и радиосвязи и принятие мер технического и организационного характера по их недопущению. 4.3. Общее руководство системой информационной безопасности колледжа осуществляет специально назначенный сотрудник. Руководители структурных подразделений колледжа обязаны участвовать в ее поддержании в надлежащем состоянии, дальнейшем развитии и совершенствовании по своим направлениям деятельности. 5. Порядок обеспечения информационной безопасности 5.1. Организационное и техническое обеспечение рабочего процесса возлагается на программиста . 5.2. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику учреждения, допущенному к работе с конкретной подсистемой АС, должно быть сопоставлено персональное уникальное имя учетная запись пользователя и пароль, под которым он будет регистрироваться, и работать в системе. Использование несколькими сотрудниками при работе в АС одного и того же имени пользователя запрещено. 7 5.3. Основанием для изменения полномочий (предоставления, изменения либо прекращения действий прав доступа пользователя АС) является Письменная заявка сотрудника, для которого требуется изменить полномочия доступа к системе на имя начальника отдела АСУ. 5.4. Проведение операций, указанных п. 4.2. сотрудниками, не уполномоченными на проведение подобных действий, запрещено и идентифицируется как факт несанкционированного доступа. 5.5. Правила работы сотрудников колледжа и обучающихся в компьютерных сетях приведены в Приложении 1. 6. Порядок создания, изменения и удаления учетных записей, группбезопасности и почтовой рассылки 6.1. Оформленная заявка «На внесение изменений в списки пользователей» поступает программисту после утверждения директором. Программист в соответствии предоставленной в заявке информации дает задание системному администратору на внесение необходимых изменений. Проведение изменений системным администратором без наличия задания от программиста либо лица, его замещающего, запрещено. 6.2. Заявки с отметками об исполнении и подписью заявителя остается на хранении у программиста не менее 1 года. 7. Изменение полномочий учетных записей и состава безопасности и почтовой рассылки групп 7.1. После получения задания , системный администратор вносит соответствующие изменения в базу данных учетных записей и ставит отметку об исполнении задания на бланке заявки. 7.2. Все изменения в списках доступа должны быть выполнены системным администратором не позднее одного часа с момента получения задания на внесение изменений . Бланк заявки с отметкой об исполнении возвращается программисту. 7.3. По окончании процедур изменения списков доступа системный администратор вносит соответствующую запись в «Журнал изменения списков доступа». 8. Создание новых учетных записей пользователей безопасности и почтовой рассылки групп 8.1. Получив задание , системный администратор создает необходимые объекты безопасности, присваивает первичный пароль вновь созданной учетной записи, при необходимости создает почтовый ящик пользователя. 8.2. При задании первичного пароля учетной записи пользователя администратор обязан установить отметку «Потребовать смену пароля при 8 первом входе в систему» Допускается в качестве первичного пароля использовать простые или повторяющиеся комбинации. 8.3. После выполнения задания системный администратор ставит отметку об исполнении задания и передает бланк заявки, а также дополнительную информацию, необходимую для использования вновь созданного объекта безопасности (первичный пароль, «имя» учетной записи адрес электронной почты и т.п.) начальнику отдела АСУ. 8.4. Заявка «На внесение изменений в списки доступа» должна быть обработана и исполнена системным администратором не позднее одного часа с момента получения . 8.5. По окончании процедур создания нового объекта в списках доступа системный администратор вносит соответствующую запись в «Журнал учета изменения списков доступа». 9. Удаление учетных записей пользователей групп безопасности и почтовойрассылки 9.1. Получив задание , системный администратор удаляет необходимые объекты безопасности из всех указанных в задании списков доступа. 9.2. После выполнения задания системный администратор ставит отметку об исполнении задания и передает бланк заявки, с отметкой об исполнении, начальнику отдела АСУ. 9.3. Бланк заявки с отметкой об исполнении возвращается. 9.4. Задача «на внесение изменений в списки доступа», предполагающая удаление сокращение полномочий должна быть обработана и исполнена системным администратором не позднее 30 минут с момента получения задачи . 9.5. По окончании процедур удаления объекта в списках доступа системный администратор и администратор баз данных вносят соответствующую запись в «Журнал учета изменения списков доступа». 10. Служебные учетные записи и группы 10.1. Служебные учетные записи - объекты безопасности, содержащие реквизиты, необходимые для нормального функционирования некоторых служб и сервисов (например: задачи резервного копирования и восстановления, служба автоматического обновления ОС и т.п.). Служебные учетные записи не предназначены для локального входа в систему, работа сотрудников с использованием реквизитов служебных учетных записей запрещена. 10.2. Служебные группы безопасности и почтовой рассылки - объекты безопасности, необходимые для управления доступом к Служебному ПО и рассылки уведомлений, предназначенных техническому персоналу 10.3. Создание удаление и изменение служебных объектов безопасности 9 производятся системным администратором либо администратором баз данных только по письменной (электронной) заявке начальника отдела АСУ. Самостоятельное создание, изменение либо удаление служебных учетных записей системным администратором (администратором баз данных) запрещено. 10.4. Категорически запрещается использование встроенной учетной записей Administrator (SA для SQL сервера и т.п.) - для повседневной работы, для запуска служб и сервисов либо для доступа к сетевым ресурсам. Использование встроенных учетных записей допускается только в случаях, требующих реквизитов именно этой учетной записи (восстановление AD, восстановление поврежденных данных системы, в некоторых случаях проведение обновлений системы и т.п.). 10.5. Решение о необходимости применении реквизитов служебных учетных записей принимает системный администратор (администратор БД). 11. Локальные учетные записи 11.1. Локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования сотрудниками отдела АСУ при настройке системы и не предназначены для повседневной работы. 11.2. Создание и использование локальных учетных записей на рабочих станциях, подключенных к ВС колледжа запрещено. 11.3. Встроенная учетная запись Guest (Гость) должна быть заблокирована на всех рабочих станциях в составе ВС колледжа при первоначальном конфигурировании операционной системы. 12. Специальные учетные записи 12.1. К специальным учетным записям относятся - реквизиты доступа к активному сетевому оборудованию, учетные записи для доступа к базам данным, а также все учетные записи, реквизиты которых не хранятся в едином каталоге AD. 12.2. Создание специальных учетных записей производится системным администратором при возникновении необходимости. 13. Требования к паролям 13.1. Первичный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), устанавливаемые системным администратором при создании новой учетной записи. 13.1.1. Установку первичного пароля производит системный администратор при создании новой учетной записи. Ответственность за сохранность первичного пароля лежит на системном администраторе. 13.1.2. Первичный пароль может содержать несложную комбинацию символов, либо повторяющиеся символы. 13.1.3. При создании первичного пароля, системный администратор 10 обязан установить опцию, требующую смену пароля при первом входе в систему, а также уведомить владельца учетной записи о необходимости произвести смену пароля. 13.1.4. Первичный пароль также используется при сбросе забытого пароля на учетную запись. В любом случае, при использовании первичного пароля все требования настоящего документа сохраняются. 13.2. Основной пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только сотруднику колледжа, используемая для подтверждения подлинности владельца учетной записи. 13.2.1. Установку основного пароля производит пользователь при первом входе в систему с новой учетной записью. 13.2.2. При выборе пароля необходимо руководствоваться следующими правилами: - длина пароля должна составлять не менее 8 символов; - при выборе пароля, рекомендуется использовать комбинацию из строчных и прописных букв, цифр, знаков препинания и специальных символов; - запрещается использовать в качестве пароля название учетной записи, фамилию пли имя пользователя, а также легко угадываемые сочетания символов. 13.2.3. Пользователь несет персональную ответственность за сохранение в тайне основного пароля. Запрещается сообщать пароль другим лицам в том числе сотрудникам отдела АСУ, записывать его, а также пересылать открытым текстом в электронных сообщениях. 13.2.4. Пользователь обязан не реже одного раза в три месяца производить смену основного пароля, соблюдая требования настоящего Положения. 13.2.5. В случае компрометации пароля (либо подозрении на компрометацию) необходимо немедленно сообщить об этом в отдел АСУ и изменить основной пароль. 13.2.6. Восстановление забытого основного пароля пользователя осуществляется системным администратором путем изменения (сброса) основного пароля пользователя на первичный пароль на основании письменной заявки пользователя. 13.2.7. Устная заявка пользователя на изменение пароля не является основанием для проведения таких изменений. 13.2.8. Для предотвращения угадывания паролей системный администратор обязан настроить механизм блокировки учетной записи при трехкратном неправильном вводе пароля. 13.2.9. Разблокирование учетной записи пользователя осуществляется системным администратором на основании заявки владельца учетной записи. 13.3. Административный пароль – комбинация символов (буквы, цифры БД, администратору приложения), используемая при настройке служебных учетных записей, учетных записей служб и сервисов а также специальных учетных записей. 11 14. Доступ к ресурсам Интернет 14.1. Для исполнения задач, связанных с производственной деятельностью сотрудникам колледжа предоставляется доступ к ресурсам Интернет. Доступ к ресурсам Интернет в других целях запрещен. 14.2. Требуемый уровень доступа предоставляется сотруднику колледжа на основании заявки «на изменение списков доступа» на имя директора колледжа. 14.3. Системный администратор обязан предоставлять руководителю колледжа лимит использования Интернет на предстоящий месяц. 14.4. Системный администратор обязан не реже одного раза в месяц представлять отчет об использовании Интернет ресурсов сотрудниками колледжа директору колледжа. 14.5. Доступ к ресурсам Интернет может быть блокирован системным администратором без предварительного уведомления при возникновении нештатных ситуаций либо в иных случаях, предусмотренных организационными документами. 14.6. Сотрудникам колледжа может быть предоставлен дополнительный объем трафика Интернет согласно заявлению на имя директора колледжа. 14.7. Сотрудникам колледжа может быть предоставлен платный доступ к сети Интернет согласно заявлению на имя директора колледжа с вычетом оплаты из заработной платы по тарифам, установленным в колледже. 14.8. Правила работы с ресурсами Интернет приведены в Приложении 1. 15. Электронная почта 15.1. Для исполнения задач, связанных с производственной деятельностью сотрудникам колледжа может быть предоставлен доступ к системе электронной почты. Использование системы электронной почты колледжа в других целях запрещено. 15.2. Доступ к системе электронной почты предоставляется сотруднику колледжа на основании заявки «на изменение списков доступа» на имя директора колледжа. 15.3. Электронная почта является собственностью колледжа и может быть использована только в служебных целях. Использование электронной почты в других целях категорически запрещено. 15.4. Содержимое электронного почтового ящика сотрудника может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководства. 15.5. В случае обнаружения значительных отклонений в параметрах работы средств обеспечения работы системы электронной почты, системный администратор обязан немедленно сообщить об этом начальнику отдела АСУ для принятия решений. 15.6. Доступ к серверу электронной почты может быть блокирован 12 системным администратором без предварительного уведомления при возникновении нештатных ситуаций, либо в иных случаях предусмотренных организационными документами. 15.7. Правила работы с электронной почтой приведены в Приложении 3. 16. Антивирусная защита 16.1. К использованию в колледже допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств. 16.2. Установка средств антивирусного контроля на компьютерах (серверахЛВС) колледжа осуществляется уполномоченными сотрудниками. 16.3. Настройка параметров средств антивирусного контроля осуществляется сотрудниками отдела АСУ в соответствии с руководствами по применению конкретных антивирусных средств. Изменение настроек другими сотрудниками запрещено. 16.4. Ежедневно в начале работы при загрузке компьютера (для серверов ЛВС – при перезапуске) в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов PC. 16.5. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). 16.6. Антивирусная проверка должна проводиться: - на компьютерах сотрудников - не реже одного раза в неделю; - на серверах ЛВС - не реже двух раз в неделю 16.7. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник подразделения самостоятельно или вместе с сотрудником отдела АСУ должен провести внеочередной антивирусный контроль своей рабочей станции. 17. Хранение данных 17.1. Служебная информация сотрудников колледжа должна храниться в специально отведенных папках на серверах ЛВС колледжа. Хранение служебной информации на компьютерах сотрудников запрещено. 17.2. Для хранения личной информации сотрудников возможно выделение сетевых папок согласно заявке «На внесение изменений в списки пользователей». Хранение личной информации в служебных папках запрещено. 17.3. Для обеспечения целостности данных необходимо проводить резервное копирование не реже одного раза в сутки сотрудниками отдела 13 АСУ. Резервное копирование личной информации сотрудниками отдела АСУ не предусмотрено. 17.4. Ответственность: 17.4.1. Ответственность за обеспечение целостности данных, хранимых на серверах колледжа в соответствии с требованиями настоящего положения возлагается на начальника отдела АСУ. 17.4.2. Ответственность за обеспечение целостности данных, хранимых на локальных компьютерах сотрудников колледжа в соответствии с требованиями настоящего Положения возлагается на самих сотрудников. 18. Установка и обслуживание оборудования 18.1. Установка и обслуживание оборудования возможна только сотрудниками отдела АСУ. Установка и обслуживание оборудования сотрудниками других отделов запрещена. 18.2. Для определения несанкционированной замены оборудования вся техника колледжа должна быть опечатана в местах возможного вскрытия. 18.2.1. Ответственность за сбои в работе оборудования лежит на сотрудниках отдела АСУ. 19. Установка и обслуживание программ 19.1. Установка программ возможна только сотрудниками отдела АСУ. Установка программ сотрудниками других отделов запрещена. 19.2. Ответственность за сбои в работе программ лежит на сотрудниках отдела АСУ. 14 Приложение 1 Правила работы персонала и обучающихся колледжа в компьютерных сетях 1. Данные правила регулируют права и обязанности обучающихся, связанные с работой в компьютерной сети колледжа и сети Интернет (далее Сетей), а также основные правила работы и полномочия преподавателей и сотрудников колледжа. Правила призваны обеспечить и организовать использование образовательного потенциала Сетей в сочетании с системой мер по обеспечению охраны и безопасности студентов. 2. Основными принципами политики колледжа для работы в Сетях являются: - равный доступ для всех обучающихся; - использование Сетей обучающимися только для образовательных целей. - защита обучающихся от вредной или незаконной информации, содержащей: порнографию, пропаганду насилия и терроризма, этнической и религиозной нетерпимости, наркотиков, азартных игр и т.п. 3. Правила работы в Сетях должны быть расположены в каждом компьютерном классе. 4. Полномочия преподавателей и сотрудников. 4.1. Системный администратор: - организует и руководит всей деятельностью по реализации настоящих Правил; - беспечивает свободный и равный доступ обучающихся к Сетям в соответствиис учебной программой и возможностями колледжа; - организует и руководит всей деятельностью по реализации настоящих Правил; - обеспечивает свободный и равный доступ обучающихся к Сетям в соответствии с учебной программой и возможностями колледжа; - создает возможности для обогащения и расширения образовательного процесса через Сети; - отвечает за организацию мер, включая сотрудничество с провайдером, по ограничению доступа обучающихся к ресурсам вредного или незаконного содержания в Сетях в соответствии с действующим законодательством; - проверяет в учебной части соответствие календарно-тематическому плану заявки преподавателей на открытие доступа в сеть Интернет для групп обучающихся. Открывает доступ для данной группы на время проведения занятия, по списку необходимых для занятия сайтов; - обеспечивает контроль за соблюдением правил работы обучающихся в сетях; - предоставляет технические возможности в области мониторинга трафика, передаваемого через Сеть колледжа; - организует в начале каждого учебного года ознакомление обучающихся с правилами безопасной работы в Сети. Информирует обучающихся, что 15 трафик контролируется; - организует поддержку и обновление сайта. Размещает на сайте только материалы, утвержденные директором; - незамедлительно сообщает директору о выявлении нарушений и принимает меры по устранению нарушений; - может делегировать свои обязанности системному администратору. 4.2. Преподаватели компьютерных классов обязаны: - объяснять обучающимся правила безопасного и ответственного поведения приработе в Сетях; - использовать возможности Интернет в целях обогащения и расширения образовательной деятельности, для чего обучающимся назначать конкретные задания и приводить перечень соответствующих интернет-адресов; - своевременно подавать заявки на предоставление доступа для группы обучающихся в пределах учебных занятий, предусмотренных календарнотематическими планами, а также для открытия доступа вне учебных планов с указанием перечня необходимых ресурсов с обоснованием; - осуществлять непрерывный контроль работы обучающихся в Сетях в учебное время; - принимать незамедлительные меры для прекращения доступа обучающихся к ресурсам запрещенного содержания в Сетях; - немедленно сообщать начальнику отдела АСУ или директору о нарушении правил или о создании незаконного контента в сети колледжа; - не покидать учебный кабинет во время пары, и не допускать обучающихся во время перемены к работе в Сетях; 4.3. Преподаватели несут ответственность за целостность оборудования колледжа, закрепленного за учебным кабинетом, в котором проводят занятия. 4.4. Системный администратор обязан: - обеспечивать общую безопасность и эффективность работы в Сетях; - предлагать и осуществлять меры по ограничению доступа обучающихся к вредным или незаконного содержания ресурсам в Сетях в соответствии с законодательством; - периодически просматривать содержимое Сети колледжа с целью предотвращения любых возможных угроз и рисков безопасности для обучающихся; - осуществлять мониторинг трафика; - немедленно сообщать начальнику отдела АСУ или директору о нарушении Правил или о создании незаконного контента в сети колледжа. 5. Права и обязанности обучающихся 5.1. Обучающиеся имеют право: - на равный доступ к Сетям с учетом политики информатизации колледжа; - на получение доступа к сети Интернет (только под наблюдением преподавателя); - на грамотное и ответственное обучение работе в Сетях; - быть информированным о правилах работы в Сетях. 16 5.2. Обучающиеся обязаны соблюдать следующие правила: - использовать Сети только для образовательных целей; - запрещается выход на сайты, не включенные в перечень преподавателем для данного занятия; - немедленно сообщить преподавателю при обнаружении материалов, содержащих порнографию, пропаганду насилия и терроризма, этнической и религиозной нетерпимости, наркотиков, азартных игр, и т.п.; - не должны отправлять или отвечать на сообщения, оскорбительные, угрожающие или непристойные; - запрещается проводить любую деятельность, которая угрожает целостности компьютерной сети колледжа или атаки на другие системы; - запрещается использование чужих имен пользователя, пароля и электронной почты; - запрещено использование нелицензионного программного обеспечения, защищенных авторским правом материалов без разрешения, и любой другой деятельности, которая нарушает авторские права. 6. Ответственность 6.1. Обучающиеся за нарушение положений настоящих Правил привлекаются к дисциплинарной ответственности в соответствии с правилами внутреннего распорядка колледжа. 6.2. Преподаватели и сотрудники за нарушение положений настоящих Правил несут ответственность в соответствии с Трудовым кодексом и привлекаются к дисциплинарной ответственности. 6.3. За нарушения, которые являются преступлениями, административными нарушениями или причиняют ущерб собственности, виновные несут ответственность в соответствии с законодательством РФ и РС (Я). 17 Приложение 2 ПРАВИЛА работы с ресурсами сети Интернет 1.1. Глобальная сеть Интернет предоставляет доступ к ресурсам различного содержания и направленности.Колледж имеет право ограничивать доступ к ресурсам сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д. 1.2. При работе с ресурсами сети Интернет недопустимо: 1.2.1. разглашение коммерческой и служебной информации колледжа, ставшей известной сотруднику колледжа по служебной необходимости либо иным путем; 1.2.2. распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны; 1.2.3. публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также размещения ссылок на вышеуказанную информацию. 1.3. При работе с ресурсами Интернет запрещается: 1.3.1. загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным пакетом; 1.3.2. использовать программные и аппаратные средства, позволяющие получить доступ к ресурсу, запрещенному к использованию политикой компании. 1.4. Возможность получить доступ к ресурсу не является гарантией того, что запрошенный ресурс является разрешенным политикой колледжа. 1.5. Вся информация о ресурсах, посещаемых сотрудниками колледжа, 18 протоколируется и, при необходимости, может быть предоставлена руководителям подразделений, а также администрации колледжа для детального изучения. 19 Приложение 3 Правила работы с электронной почтой 1. Электронная почта является собственностью колледжа и может быть использована только в служебных целях. Использование электронной почты в других целях категорически запрещено. 2. Содержимое электронного почтового ящика сотрудника может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя. 3. При работе с корпоративной системой электронной почты сотрудникам колледжа запрещается: 3.1. использовать адрес корпоративной почты для оформления подписок и массовых рассылок; 3.2. публиковать свой адрес, либо адреса других сотрудников колледжа на общедоступных Интернет ресурсах (форумы, конференции и т.п.); 3.3. отправлять сообщения с вложенными файлами общий объем которых превышает 20 Мегабайт; 3.4. открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен; 3.5. осуществлять массовую рассылку почтовых сообщений (более 10) внешним адресатам без их на то согласия. Данные действия квалифицируются как СПАМ и являются незаконными; 3.6. осуществлять массовую рассылку почтовых сообщений рекламного характера; 3.7. рассылка через электронную почту материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также ссылки на вышеуказанную информацию; распространение защищаемых авторскими правами материалов, затрагивающих какой- либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей сторон; 3.8. распространять информацию содержание и направленность которой запрещены международным и Российским законодательством включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к 20 совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д. распространять информацию ограниченного доступа, представляющую коммерческую тайну; 3.9. предоставлять кому бы то ни было пароль для доступа к своему почтовому адресу. 21