ЦПЛР - Бургас Център за подкрепа на личностното развитие

ГЛАВА ПЪРВА

РАЗДЕЛ I ОБЩИ ПОЛОЖЕНИЯ

Чл. 1 Настоящите вътрешни правила се утвърждават на основание чл. 1, ал. 1, т. 1 от Наредбата  за минималните изисквания за мрежова сигурност (приета с ПМС № 186 от 26.07.2019г.,) и имат  за цел осигуряването на контрол и управление на работата на информационните системи в  Център за подкрепа на личностното развитие – Бургас (Наричано по-надолу ЦПЛР - Бургас). В този смисъл понятието информационна система се определя като  съвкупност от компютърна и периферна техника, програмни продукти, данни и обслужващ  персонал, като компютрите могат да бъдат свързани в локална мрежа или по друг начин, както  и да обменят информация чрез съответните устройства и програми. Програмните продукти и бази данни могат да бъдат специфични за всяко звено от администрацията или с общо предназначение.

Чл. 2 Потребителите на информационни системи в ЦПЛР - Бургас са задължени с отговорни  действия да гарантират ефективното и ефикасно използване на системите.

Чл. 3 Проектирането и изграждането на информационни и комуникационни системи се  извършва така, че те да представляват компоненти с възможност за интеграция в единна  потребителска среда и при спазване на Наредбата за минималните изисквания за мрежова  сигурност (приета с ПМС № 186 от 26.07.2019 г.). 

 

РАЗДЕЛ II

КОНТРОЛ НА ДОСТЪПА И ПРАВИЛА ЗА РАБОТА С НОСИТЕЛИ

Чл. 4 Защитата и контролът на информационните и компютърните системи се извършва при  спазване на следните основни принципи: 

Разделяне на потребителски от администраторски функции; 

Установяване на нива на достъп до информация;  

Регистриране на достъпа, въвеждането, промяната и заличаването на данни и  информация;

Осъществяването на контрол от специализирани звена и служители на администрацията.

                                                           -1-

Чл. 5 Всеки служител има точно определени права на достъп и използва уникален потребителски профил за вход в системата и достъп до данните, за които е оторизиран, така че да може да бъде идентифициран. Не е разрешено използването на групови профили.

Чл. 6 Контрол на управлението и защитата на достъпа до евентуално налични в администрацията мрежови връзки и мрежови услуги се извършва чрез средствата на активна директория с конкретно потребителско име, осигурено от Ръководител направление „Информационни и комуникационни технологии“ (РНИКТ)/оторизираното за това лице, което контролира компютрите, използвани за достъп до мрежи и мрежови услуги.

Чл. 7 Предоставянето на достъп става по дефиниран вътрешен ред, като се задават определени права на достъп до конкретни информационни ресурси, според заемната длъжност и функция. Не се задава и не се осигурява достъп на неоторизирани лица.

Чл. 8  РНИКТ/оторизираното за това лице е длъжен да дава достъп до информационните и комуникационните си системи на потребител или автоматизиран процес, само когато този достъп е строго необходим на потребителя, за да изпълни задълженията си или на автоматизирания процес да извърши необходимите технически операции.

За да гарантира, че достъп до информационните и комуникационните му системи имат само оторизирани потребители, устройства (включително други информационни системи) и автоматизирани процеси, РНИКТ/оторизираното за това лице:

1. Във вътрешните си правила по смисъла на чл. 5 определя:

а) правата на достъп до конкретни информационни активи на служителите според длъжността им;

б) реда за заявяване, промяна и прекратяване на достъп;

2. Прилага задължителни мерки за автентикация, оторизация и одит на компютърните мрежи и системи, които включват и изисквания за определена сложност на данните за автентикация, ако се използват пароли:

а) те следва да съдържат малки и големи букви, цифри и специални символи;

б) дължината им трябва да е не по-малко от 8 символа за потребителските и 12 символа за администраторските профили;

 

                                                               -2-

в) паролите на потребителските акаунти трябва да се сменят регулярно на период не по-голям от шест месеца;

3. Гарантира, че потребителските профили са индивидуални; в ежедневната работа трябва да се използват профили с най-ниското ниво на достъп, което дава възможност за изпълнение на служебните задължения;

4. Гарантира, че лицата, имащи право да заявяват даване, променяне и спиране на достъп, определени във вътрешните правила по т. 1, буква „б“, правят редовни прегледи на достъпите, но не по-рядко от веднъж в годината; при тези прегледи се установява дали всички, на които е даден достъп до мрежата, до отделните системи и/или приложения, имат право на него в съответствие със служебните им задължения, дали външни лица имат достъп и какъв е той (бивши служители, представители на трети страни); за целите на прегледите администраторите на съответните информационни и комуникационни системи предоставят на оправомощените във вътрешните правила по т. 1, буква „б“ лица списък на всички, които имат достъп до системата и нивото на достъпа, а оправомощените лица документирано потвърждават или дават указания за промяна;

5. Ограничава даването на привилегирован достъп (по-високо ниво на достъп или достъп до система, до която лицето не трябва да има достъп в съответствие с вътрешните правила по ал. 1); привилегированият достъп трябва да се дава само за определен период и да се контролират действията с него.

6. Гарантира, че достъпът до споделени файлове и принтери е разрешен само от мрежата, контролирана от РНИКТ/оторизираното лице.

Чл. 9 Лицата, които обработват лични данни, използват уникални пароли с достатъчно сложност, които не се записват или съхраняват онлайн.

Чл. 10 Всички пароли за достъп на системно ниво се променят периодично.

Чл. 11 Всички носители на лични данни се съхраняват в безопасна и сигурна среда - в съответствие със спецификациите на производителите, в заключени шкафове, с ограничен и контролиран достъп.

Чл. 12 На служителите на ЦПЛР - Бургас, които използват електронни бази данни и техни производни (текстове, разпечатки, заявления с данни и т.н.) се забранява:

1. Да ги изнасят под каквато и да е форма извън служебните помещения преди извеждане от деловодството;

2. Да ги използват извън рамките на служебните си задължения;

                                                      -3-

3. Да ги предоставят на външни лица без да е заявена услуга.

Чл. 13 За нарушение целостта на данните се считат следните действия:

1. Унищожаване на бази данни или части от тях;

2. Повреждане на бази данни или части от тях;

3. Вписване на невярна информация в бази данни или части от тях.

Чл. 14 При изнасяне на носители извън физическите граници на ЦПЛР - Бургас, те се поставят в подходяща опаковка и в запечатан плик.

Чл. 15 На служителите е строго забранено да използват мобилни компютърни средства на места, където може да възникне риск за средството и информацията в него. Потребителите на мобилни компютърни средства и мобилни телефони отговарят за защитата им от кражба и не ги оставят без наблюдение.

Чл. 16 Техниката да се използва от служителите на ЦПЛР – Бургас изключително и само за служебни цели. 

Чл. 17 Не се позволява инсталирането на какъвто и да е нов и реконфигурирането от  потребителите на вече инсталиран софтуер и хардуер както и самостоятелни опити за  поправка или подобрения на горепосочените. При съмнение за възникнал проблем  незабавно се уведомява административното звено, отговарящо за мрежовата и информационната сигурност.

Чл. 18 Не се позволява използването на внесени отвън софтуер и хардуер. 

Чл. 19 Използването на внесени отвън информационни носители (флаш памети, външни хард дискове, оптични дискове и др.) става при единственото условие, те първо да бъдат проверени за наличието на вируси и ако антивирусният софтуер намери такива, носителите не се използват. 

Чл. 20 Не се допускат външни лица до комуникационните шкафове и техниката за интернет – връзка, с изключение на техници от оторизирани фирми и то само придружени от представителите на звеното, отговарящо за мрежовата и информационната сигурност. Не се допуска достъпа на външни лица до  компютърната техника в канцелариите в сградата на ЦПЛР – Бургас.

 

                                     

                                                                  -4-

Чл. 21 На служителите на ЦПЛР – Бургас е забранено да  преотстъпват паролите си за достъп до системата на други  служители, външни лица, роднини и приятели.

Чл. 22 Служителите на ЦПЛР – Бургас са длъжни да съхраняват предоставените им пароли за достъп. Всички пароли за достъп на системно ниво трябва да се променят периодично. 

Чл. 23 Служителите на ЦПЛР – Бургас са длъжни да избягват всякакъв риск от достъп до информация от неупълномощени лица, както и до зловреден софтуер. Забранено е съобщаването на тайна и чувствителна информация по мобилни телефони на места, където може да стане достъпна за трети страни.

Чл. 17 След като повече не са необходими, носителите се унищожават сигурно и безопасно за намаляване на риска от изтичане на чувствителна информация към неупълномощени лица. Физическото унищожаване на информационните носители става със счупване. Предварително се проверят, за да е сигурно, че необходимата информация е копирана и след това цялата информация е изтрита от тях преди унищожаване.

Чл. 18 Събирането и предоставянето на информация за интернет страницата се подготвя от съответните служители, от чийто ресор е информацията, след което данните се изпращат в електронен вид (на файлове) първо до директора на ЦПЛР – Бургас и след одобрение от директор на служителя/ите отговорни за качването им на интернет страницата на ЦПЛР - Бургас.

Чл. 19 Оформянето и въвеждането на информация на интернет страницата се извършва от определеното със заповед на директора длъжностно/и лице/а, служител/и на ЦПЛР – Бургас. На посочените длъжностни лица се създават потребителски имена и пароли за извършване на съответните действия.

 

РАЗДЕЛ III

РАБОТНО МЯСТО

Чл. 20 Работното място се състои от работно помещение, работна маса и стол, компютърна и периферна техника, комуникационни средства.

Чл. 21 Работното място се оборудва при спазване на изискванията на Наредба № 7 от 15.08.2005 г. за минималните изисквания за осигуряване на здравословни и безопасни условия на труд при работа с видеодисплеи (Издадена от Министъра на труда и социалната политика и Министъра на здравеопазването, обн., ДВ, бр. 70 от 26.08.2005 г.).

                                                                     -5-

Чл. 22 Сървъри на локални компютърни мрежи се разполагат в самостоятелни помещения, обособени за целта, в сградата на ЦПЛР - Бургас, съобразени с мерките за противопожарна защита.

Чл. 23 Всеки служител отговаря за целостта на компютърната и периферна техника, програмните продукти и данни, инсталирани на компютъра на неговото работно място или ползвани от него на сървъра на локалната компютърна мрежа, съобразно дадените му права.

Чл. 24 Служителят има право да работи на служебен компютър, като достъпът до съхраняваните данни се осъществява без парола за достъп.

Чл. 25 Служителят има право на парола за достъп на служебния си компютър, само и единствено след съгласие от страна на директора.

Чл. 26 Забранява се на външни лица работата с персоналните компютри ЦПЛР - Бургас,  освен за:

Упълномощени фирмени специалисти в случаите на първоначална инсталация на  компютърна и периферна техника, програми, активни и пасивни компоненти на локални  компютърни мрежи, комуникационни устройства и сервизна намеса на място, но задължително в присъствието на изрично определен служител от страна на директора на ЦПЛР – Бургас.

Провеждане на обучения на външни педагогически специалисти по програми и проекти на МОН или РУО, но само след разрешението на директора на ЦПЛР – Бургас.

Чл. 27 След края на работния ден всеки служител задължително изключва компютъра, на който  работи или го привежда в режим „log off”.

Чл. 28 При загуба на данни или информация от служебния компютър, служителят незабавно уведомява РНИКТ/оторизираното за това лице или оторизираната фирма за сервизна намеса, които му оказват съответната техническа помощ.

Чл. 29 Забраняват се опити за достъп до компютърна информация и бази данни, до които не са предоставени права, съобразно заеманата от служителя длъжност, както и извършването на каквито и да е действия, които улесняват трети лица за неоторизиран достъп.

Чл. 30 Инсталиране и разместване на компютърни конфигурации и части от тях, на периферна техника, на активни и пасивни компоненти на локални компютърни мрежи, на

                                                                  -6-

комуникационни устройства се извършва само от РНИКТ/оторизираното за това лице или оторизираната фирма за сервизна намеса.

Чл. 31 Забранява се използването на преносими магнитни, оптични и други носители с възможност за презаписване на данни за прехвърляне на файлове между компютри, свързани в компютърната мрежа на ЦПЛР - Бургас, поради риск от заразяване на локалната мрежа с вируси.

Чл. 32 Служителите имат право да обменят архивирана компютърна информация само във връзка с изпълнение на служебните си задължения и само със служителите, с които имат преки служебни взаимоотношения.

Чл. 33 Архивирана компютърна информация се предоставя само на служители, които имат право на достъп, съгласно заеманата от тях длъжност и изпълнявана задача, при спазване на принципа „необходимост да се знае“.

Чл. 34 Достъпът до компютърна информация, бази данни и софтуер се ограничава посредством  технически методи - идентификация на потребител, пароли, отчитане на времето на достъп,  забрани за копиране, проследяване на неоторизиран достъп. 

Чл. 35 Достъпът до помещенията с комуникационните шкафове се ограничава по възможност  само до РНИКТ и специализиран по поддръжката им персонал. 

 

РАЗДЕЛ IV

ПОЛЗВАНЕ НА КОМПЮТЪРНАТА МРЕЖА И ИНТЕРНЕТ

Чл. 36 За всички служители е препоръчително диск :D да бъде работната им среда и там да се съхранява служебната информация.

Чл. 37 Ползването на компютърната мрежа и електронните платформи /НЕИСПУО, Админ +, Уча се, Електронни учебници и др./ от служителите става чрез получените потребителско име и парола.

Чл. 38 Ползването на интернет и служебна електронна поща се ограничават съобразно скоростта  на ползвания достъп до интернет, броя на откритите работни места и необходимостта от  ползване на тези услуги съобразно служебните задължения на служителите. 

Чл. 39 Служителите на съответните работни места са длъжни да не споделят своите

                                                                     -7-

потребителски имена и пароли с трети лица и носят дисциплинарна отговорност, ако се  установи неправомерно ползване на ресурсите на компютърната мрежа, достъпа доинтернет  или електронна поща при използване на предоставените им потребителски имена и пароли. 

Чл. 40 Използването на комуникатори като Teams, Skype, Facebook, Messenger, Viber, Zoom и др. подобни, осигуряващи достъп извън рамките на компютърната мрежа на ЦПЛР - Бургас и създаващи предпоставки за разкриване и достъп до IP адреса на потребителя и за достъп на злонамерен софтуер, трябва да бъде ограничено до единствено и само за служебни цели.

Чл. 41 Забранява се свързването на компютри едновременно в мрежата на ЦПЛР - Бургас и в други мрежи, когато това позволява разкриване и достъп до IР адреси от мрежата на ЦПЛР - Бургас и/или е в противоречие с изискванията на Закона за електронното управление (ЗЕУ) и Наредбата за минималните изисквания за мрежова и информационна сигурност (приета с ПОСТАНОВЛЕНИЕ № 186 ОТ 19 ЮЛИ 2019 г. на Министерският съвет и обнародвана в ДВ, бр.59 от 26 Юли 2019 г.).

Чл. 42 Компютрите, свързани в мрежата на ЦПЛР - Бургас използват интернет само от  доставчик, с когото то има сключен договор за доставка на интернет. 

Чл. 44 Забранява се съхраняването на служебните компютри на лични файлове с текст, изображения, видео и аудио. 

Чл. 45 Забранява се отварянето без контрол от страна на РНИКТ или оторизираното за това лице:

1. Получени по електронна поща или на преносими носители изпълними файлове, файлове с мобилен код и файлове, които могат да предизвикат промени в системната конфигурация, например файлове с разширения .ехе, .vbs, .reg и архивни файлове;

2. Получени по електронна поща съобщения, които съдържат неразбираеми знаци.

РАЗДЕЛ V

ЗАЩИТА ОТ КОМПЮТЪРНИ ВИРУСИ И ДРУГ ЗЛОВРЕДЕН СОФТУЕР

Чл. 46 С цел антивирусна защита се прилагат следните мерки:

Всички персонални компютри имат инсталиран антивирусен софтуер в реално време,  който се обновява ежедневно. 

                                                         -8-

При поява на съобщение от антивирусната програма за вирус в локалната мрежа, всеки служител от съответното работно място задължително информира РНИКТ/оторизираното за това лице.

РАЗДЕЛ VI

НЕПРЕКЪСНАТОСТ НА РАБОТАТА

Чл. 47 Следните мерки се прилагат с цел антивирусна защита:  

1. Всички устройства за съхранение на данни да са свързани към устройство за  непрекъсваемост на ел. снабдяването. 

2. При липса на ел. захранване за повече от 5 мин., задължително се уведомява РНИКТ/ оторизираното за това лице, което при необходимост започва процедура по поетапно спиране на компютрите и източниците на непрекъсваемо захранване, ако те са свързани към UPS устройства.

3. При срив в локалната компютърна мрежа, преди процедурата за поетапно спиране от РНИКТ/оторизираното лице, всеки потребител следва да запише, ако е възможно файловете, които е отворил на локалния си компютър, за да се избегне загуба на информация.

РАЗДЕЛ VII

СЪЗДАВАНЕ НА РЕЗЕРВНИ КОПИЯ

 Чл. 48 РНИКТ/оторизираното за това лице при възможност извършва създаване на резервни копия на електронните документи и служебна информация всеки месец, но въпреки това всеки един служител на ЦПЛР - Бургас носи отговорност за архивирането и работата си, с текущите електронни документи по ресор и на локалната си работна станция.

Чл. 49 Информацията, включително тази, съдържаща лични данни, се архивира по следния начин:

1. Архивирането на данните се извършва по начин, който позволява, при необходимост данните да бъдат инсталирани на друг сървър/ компютър и да се продължи работния процес без чувствителна загуба на данни;

2. Базите данни използвани от ЦПЛР - Бургас са уеб базирани.

 

                                                              -9-

РАЗДЕЛ VII

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

§ 1. Ръководителите и служителите в ЦПЛР - Бургас са длъжни да познават и спазват разпоредбите на тези правила.

 § 2. Контролът по спазване на правилата се осъществява от Директора на Център за подкрепа на личностното развитие - Бургас и Заместник-директорите, подпомагани от Ръководител направление „Информационни и комуникационни технологии“.

§ 3. Настоящите вътрешни правила се разглеждат и оценяват периодично с оглед ефективността им, като ЦПЛР - Бургас може да приема и прилага допълнителни мерки и процедури, които са целесъобразни и необходими с оглед защитата на информацията.

§ 4. Тези правила са разработени съгласно Наредбата за минималните изисквания за мрежова  сигурност (приета с ПМС № 186 от 26.07.2019г.) и влизат в сила от датата на извеждане на  Заповед на Директора на ЦПЛР – Бургас.