Вътрешни правила за служителите, указващи правата и задълженията им като потребители на услугите, предоставяни чрез информационните и комуникационните системи на община Асеновград

ОБЩИНА АСЕНОВГРАД, ОБЛАСТ ПЛОВДИВ
 
УТВЪРДИЛ: /п/
Д-р Христо Грудев
Кмет на Община Асеновград
Дата: 18.05.2021г.
 
Раздел I 
ОБЩИ ПОЛОЖЕНИЯ 
 
Чл.1. Настоящите правила се приемат с цел намаляване на риска от инциденти, умишлено или неумишлено предизвикани от служители на общината и във връзка с Политиката на община Асеновград за минималните изисквания за мрежова и информационна сигурност. 
Чл.2. Наемането на работа в администрацията на община Асеновград се осъществява в съответствие с приложимите закони и подзаконови нормативни актове, професионалната етика и съобразно изискванията, свързани с дейността им – класификацията на информацията съгласно Наредбата за минималните изисквания за мрежова и информационна сигурност (НМИМИС, до която имат достъп, и предполагаемите рискове. 
Чл.3. Служителите се информират за отговорностите и задълженията по отношение на сигурността на информацията при назначаване, прекратяване или промяна на служебните/договорните им отношения с община Асеновград
Чл.4. Служителите носят дисциплинарна отговорност при извършване на нарушение по отношение на Политиката за мрежова и информационна сигурност. 
Чл.5. Община Асеновград документира отговорностите на лицата с ясно определени срокове и задължения по отношение на сигурността на информацията.  
Чл.6. Мрежовата и информационна сигурност се осигурява посредством: 
  1. подходящо професионално обучение за повишаване на квалификацията на служителите в съответствие с използваната техника и технологии; 
  2. периодично инструктиране на служителите за повишаване на вниманието им по отношение на мрежовата и информационната сигурност; инструктажът се прави по утвърден график и се документира по начин, гарантиращ проследяемост. 
Чл.7. Контрол на управлението и защитата на достъпа до мрежови връзки и мрежови услуги се извършва от системните администратори, които контролират компютрите, имащи достъп до мрежи и мрежови услуги. 
Чл.8. Лицата, които обработват лични данни, използват уникални пароли с достатъчно сложност, които не трябва да се записват или съхраняват онлайн; 
Чл.9. Всички пароли за достъп на системно ниво се променят периодично. Лицата, имащи право да заявяват даване, променяне и спиране на достъп, определени във вътрешните правила, правят редовни прегледи на достъпите, но не по-рядко от веднъж в годината 
Чл.10. Всички носители на лични данни се съхраняват в безопасна и сигурна среда - в съответствие със спецификациите на производителите, в заключени шкафове, с ограничен и контролиран достъп. 
Чл.11. На служителите на община Асеновград, които използват електронни бази данни и техни производни (текстове, разпечатки, карти и скици) се забранява: 
  1. да ги изнасят под каквато и да е форма извън служебните помещения преди извеждане от деловодството (извършване на услуга); 
  2. да ги използват извън рамките на служебните си задължения;  
  3. да ги предоставят на външни лица без да е заявена услуга.  
Чл.12.  За нарушение целостта на данните се считат следните действия:  
  1. унищожаване на бази данни или части от тях;  
  2. повреждане на бази данни или части от тях;  
  3. вписване на невярна информация в бази данни или части от тях. 
Чл.13. При изнасяне на носители извън физическите граници на община Асеновград, те се поставят в подходяща опаковка и в запечатан плик.  
Чл.15. Служителите са длъжни да избягват всякакъв риск от достъп до информация от неупълномощени лица, както и до злоумишлен софтуер. Забранено е съобщаването на тайна и чувствителна информация по мобилни телефони на места, където може да стане достъпна за трети страни. 
Чл.16. След като повече не са необходими, носителите се унищожават сигурно и безопасно за намаляване на риска от изтичане на чувствителна информация към неупълномощени лица. Физическото унищожаване на информационните носители става със счупване. Предварително се проверят, за да е сигурно, че необходимата информация е копирана и след това цялата информация е изтрита от тях преди унищожаване. 
Чл.17. Събирането, подготовката и въвеждането на данни на интернет страницата на общината се извършва от определени служители. На тези длъжности лица се създават потребителски имена и пароли за извършване на актуализациите. 
Чл.18. Събирането и подготовката на данните се извършва от  служители в отделните структурни звена на общината, след което данните се изпращат в електронен вид (на файлове) на служителите отговорни за качването им на интернет страницата на общината и с коректно попълнена форма за публикуване. 
Чл.19. Работното място се оборудва при спазване на изискванията за осигуряване на здравословни и безопасни условия на труд при работа с видеодисплеи. 
Чл.20. Сървъри на локални компютърни мрежи се разполагат в самостоятелни помещения съобразно изискванията на правилата за мрежова и информационна сигурност. 
Чл.21. Всеки служител отговаря за целостта на компютърната и периферна техника, програмните продукти и данни, инсталирани на компютъра на неговото работно място или ползвани от него на сървъра на локалната компютърна мрежа, съобразно дадените му права. 
Чл.22. Забранява се на външни лица работата с персоналните компютри на община Асеновград, освен за упълномощени фирмени специалисти в случаите на първоначална инсталация на компютърна и периферна техника, програми, активни и пасивни компоненти на локални компютърни мрежи, комуникационни устройства и сервизна намеса на място, но задължително в присъствие на Системният администратор. 
Чл.23. Служителят има право да работи на служебен компютър, като достъпът до съхраняваните данни от него се осъществява с въвеждането на потребителско име и парола. При всяка напускане на работното място го привежда в режим log off, а след края на работния ден всеки служител с задължително изключва компютъра, на който работи.
Чл.24. Забраняват се опити за достъп до компютърна информация и бази данни, до които не са предоставени права, съобразно заеманата от служителя длъжност, както и извършването на каквито и да е действия, които улесняват трети лица за несанкциониран достъп. 
Чл.25. При загуба на данни или информация от служебния компютър, служителят незабавно уведомява системния администратор, който му оказва съответна техническа помощ; 
Чл.26. Инсталиране и разместване на компютърни конфигурации и части от тях, на периферна техника, на активни и пасивни компоненти на локални компютърни мрежи, на комуникационни устройства се извършва само след съгласуване със системният администратор. 
Чл.27. Забранява се използването на преносими магнитни, оптични и други носители с възможност за презаписване на данни за прехвърляне на файлове между компютри, свързани в компютърната мрежа на община Асеновград 
Чл.28. Архивирана компютърна информация се предоставя само на служители, които имат право на достъп, съгласно заеманата от тях длъжност и изпълнявана задача, при спазване на принципа „необходимост да се знае.” 
Чл.29. Достъпът до компютърна информация, бази данни и софтуер се ограничава посредством технически методи - идентификация на потребител, пароли, отчитане на времето на достъп, забрани за конфигуриране и инсталиране на приложен и системен софтуер. 
Чл.30. Достъпът до помещенията, където са разположени сървърите и комуникационните шкафове се ограничава по възможност само до специализиран по поддръжката им персонал. 
Чл.31. Системният администратор извършва необходимите настройки за достъп до интернет, създава потребителски имена и пароли за работа с компютърната мрежа и електронната поща на общината. 
Чл.32. Ползването на компютърната мрежа и електронната поща от служителите става чрез получените потребителско име и парола. Не се допуска ползването на електронна поща различна от служебната. 
Чл.33. Ползването на интернет и служебна електронна поща се ограничават съобразно скоростта на ползвания достъп до интернет, броя на откритите работни места и необходимостта от ползване на тези услуги съобразно служебните задължения на служителите. 
Чл.34. Служителите на съответните работни места са длъжни да не споделят своите потребителски имена и пароли с трети лица и носят дисциплинарна отговорност, ако се установи неправомерно ползване на ресурсите на компютърната мрежа, достъпа до интернет или електронна поща при използване на предоставените им потребителски имена и пароли. 
Чл.35. Компютрите, свързани в мрежата на oбщината използват интернет само от доставчик, с когото oбщината  има сключен договор за доставка на интернет след провеждане на процедура по реда на ЗОП. 
Чл.36. Забранено е свързването на компютри едновременно в мрежата на общината  и в други мрежи, когато това позволява разкриване и достъп до IP адреси от мрежата на общината  и/или е в противоречие с изискванията на Закона за електронното управление (ЗЕУ) и Наредба за минималните изисквания за мрежова и информационна сигурност. 
Чл.37. Забранено е инсталирането и използването на комуникатори и програми за отдалечен достъп (като icq, skype, vibre, facebook, AnyDesk, AA_v3, TeamViewer, AeroAdmin и др. подобни), осигуряващи достъп извън рамките на компютърната мрежа на общината и създаващи предпоставки за идентифициране на IP адрес на потребителя и за достъп на злонамерен софтуер и мобилен код до компютрите, свързани в компютърната мрежа.
Чл. 38. Забранено е съхраняването на информация съдържаща лични данни и  всякакъв вид лични файлове в споделените папки. При необходимост от прехвърляне на информация от една работна станция на друга веднага след това файловете да бъдат изтрити от споделените папки.
Чл.39. Забранено е съхраняването на сървърите на общината на лични файлове с текст, изображения, видео и аудио. 
Чл.40. Забранено е отварянето без контрол от страна на системния администратор на: 
  1. получени по електронна поща или на преносими носители изпълними файлове, файлове с мобилен код и файлове, които могат да предизвикат промени в системната конфигурация, напр. файлове с разширения .exe, .vbs, .reg и архивни файлове;  
  2. получени по електронна поща съобщения, които съдържат неразбираеми знаци и съобщения от съмнителни податели. 
Чл.41. (1) С цел антивирусна защита всички персонални компютри имат инсталиран антивирусен софтуер в реално време, който се обновява ежедневно. 
(2) Системният администратор извършва следните дейности: 
  1. активира защитата на съответните ресурси - файлова система, електронна поща и извършва първоначално пълно сканиране на системата; 
  2. настройва антивирусния софтуер за периодични сканирания през определен период, но поне веднъж седмично. 
  3. активира защитата на различните програмни продукти за предупреждение при наличие на макроси и настройва защитната стена на система; 
  4. проверява за правилно настроен софтуер за автоматично обновяване на операционната система и инсталирания софтуер; 
(3) При поява на съобщение от антивирусната програма за вирус в локалната мрежа, всеки служител от съответното работно място задължително информира системния администратор. 
Чл.42. Следните допълнителни мерки се прилагат с цел защита от загуба на данни:  
  1. всички сървъри и устройства за съхранение на данни да са свързани към устройство за непрекъсваемост на ел. снабдяването. 
  2. при липса на ел. захранване за повече от 15 мин., системният администратор започва процедура по поетапно спиране на сървърите. 
  3. при срив в локалната компютърна мрежа, всеки потребител следва да запише файловете, които е отворил на локалния си компютър, за да се избегне загуба на информация.
Чл.43. Служителите, определени със заповед на кмета на общината осигуряват автоматизираното създаване на резервни копия на всички бази данни и електронни документи всеки ден.  
Чл.44. (1) Информацията, включително тази, съдържаща лични данни, се резервира като автоматизирано и планово се извършва архивиране на цялата работна информация на сървърите и дисковите масиви. 
(2)  Архивирането на данните се извършва по начин, който позволява, при необходимост данните да бъдат инсталирани на друг сървър/ компютър и да се продължи работният процес без чувствителна загуба на данни; 
(3) Базите данни на следните програми се архивират всяка вечер: 
  1. база данни на програмите Acstre; 
  2. база данни от програма LSWIN;
  3. база данни от програма SFUK;
  4. база данни от програма Mateus;
  5. база данни от програма Workflow;
  6. база данни от програма eAcc;
  7. база данни от програма eNp
  8. база данни от праграма eActs
 (4) Базите данни на следните програми се архивират всяка седмица или по-често при промяна:
  1. база данни от програма AwtWare; 
  2. база данни от програма RZWIN;
  3. база данни от програма Lbd;
(5) Резервните копия се съхраняват на носител, различен от този, на който са разположени данните или електронните документи. 
(6) Съхраняват се най-малко последните три резервни копия. 
(7) Резервните копия се изпитват за консистентност и интегритет чрез пробно възстановяване на данни веднъж месечно. 
 
Раздел II 
ФУНКЦИИ НА СЛУЖИТЕЛИТЕ, ОТГОВАРЯЩИ ЗА МРЕЖОВАТА И ИНФОРМАЦИОННАТА СИГУРНОСТ 
 
Чл.45. Системните администратори на  община Асеновград ръководят дейностите, свързани с постигане на изискуемото по Наредбата ниво на мрежова и информационна сигурност, и целите, заложени в Политиката за мрежова и информационна сигурност на общината. 
Чл.46. За целта те: 
  1. участват в изготвянето на политиките и документираната информация; 
  2. следят за спазването на вътрешните правила по смисъла на чл. 5, ал. 1, т. 6 от Наредбата за минималните изисквания за мрежова и информационна сигурност и прилагането на законите, подзаконовите нормативни актове, стандартите, политиките и правилата за мрежовата и информационната сигурност; 
  3. консултират ръководството на общината във връзка с информационната сигурност; 
  4. ръководят периодичните оценки на рисковете за мрежовата и информационната сигурност; 
  5. периодично (не по-малко от веднъж в годината) изготвят доклади за състоянието на мрежовата и информационната сигурност в общината  и ги представя на ръководителя; 
  6. координират обученията, свързани с мрежовата и информационната сигурност; 
  7. организират проверки за актуалността на плановете за справяне с инцидентите и плановете за действия в случай на аварии, природни бедствия или други форсмажорни обстоятелства. Анализира резултатите от тях и организира изменение на плановете, ако е необходимо; 
  8. поддържат връзки с други администрации, организации и експерти, работещи в областта на информационната сигурност; 
  9. следят за акуратното водене на регистъра на инцидентите; 
  10. уведомяват за инциденти съответния секторен екип за реагиране на инциденти с компютърната сигурност в съответствие с изискването на чл. 31, ал. 1 (уведомяване за инциденти) Наредбата; 
  11. организират извършването на анализ на инцидентите, свързани с мрежовата и информационната сигурност, за откриване на причините за тях и предприемане на мерки за отстраняването им с цел намаляване на еднотипните инциденти и намаляване на загубите от тях; 
  12. следят за актуализиране на използвания софтуер и фърмуер; 
  13. следят за появата на нови киберзаплахи (вируси, зловреден код, спам, атаки и др.) и предлага адекватни мерки за противодействието им; 
  14. организират тестове за откриване на уязвимости в информационните и комуникационните системи и предлага мерки за отстраняването им; 
  15. организират и сътрудничи при провеждането на одити, проверки и анкети и при изпращането на резултатите от тях на съответния национален компетентен орган; 
  16. предлагат санкции за лицата, нарушили мерките за мрежовата и информационната сигурност. 
 
Раздел III 
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
 
§1. Ръководителите и служителите в общинска администрация са длъжни да познават и спазват разпоредбите на тези правила. 
§2. Контролът по спазване на правилата се осъществява от секретаря на общината или определените със заповед отговорни лица от отдел „АИМТО“ за гарантиране на мрежовата и информационната сигурност на използваните информационни системи в общинската администрация.
§3. Настоящите вътрешни правила се разглеждат и оценяват периодично с оглед ефективността им, като община Асеновград може да приема и прилага допълнителни мерки и процедури, които са целесъобразни и необходими с оглед защитата на информацията. 
§4. Тези правила са разработени съгласно Наредбата за минималните изисквания за мрежова и информационна сигурност и са утвърдени със заповедта на кмета на община Асеновград
Последна промяна:
Свалете в pdf

Виж още

Вътрещни правила за работа със Средата за електронен обмен на съобщенията /СЕОС/ и Системата за сигурно електронно връчване /ССЕВ/ в община Асеновград

Вътрешни правила за приемане, обработване и отговор на сигнали, получени чрез различните комуникационни канали на община Асеновград.

Вътрешни правила при обработване, съхранение и защита на лични данни при видеонаблюдение в община Асеновград

Предстоящи събития

Предишен месец Април 2025 Следващ месец
ПнВтСрЧтПтСбНд
 
11
22
33
45
54
64
72
82
92
105
113
125
136
144
155
164
175
183
193
203
213
224
233
243
254
263
272
282
293
302
    
Всички събития
ОПОС
ОПАК
Администрация онлайн
ЕС
ЕСФ