Порядок доступа к информационным, программным и аппаратным ресурсам

← Предыдущая Следующая →
Содержание
  1. Общие положения

Настоящий порядок доступа к информационным, программным и аппаратным ресурсам (далее - Порядок) разработан с учетом сложившейся в ООО «________» (далее – Общество) системы, учитывающей специфику работы, организацию деловых процессов и утвержденных положений информационной безопасности.

Порядок доступа к информационным, программным и аппаратным ресурсам Общества разработан во исполнение и с учетом требований и положений следующих нормативных документов:

  • п.5.1.3. нормативного документа Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);

  • пп. 5.4., 5.5. Концепции информационной безопасности Общества;

  • Федерального закона «Об информации, информационных технологиях и о защите информации» от 26.07.2006 № 149-ФЗ;

  • Федерального закона «О коммерческой тайне» от 29.07.2004 № 98-ФЗ;

  • Федеральный закон «О персональных данных» от 27.07.06 № 152-ФЗ;

Термины и определения, используемые в настоящем Порядке, соответствуют используемым в указанных в п.1.2. нормативных документах. Кроме того, в Порядке используются следующие термины:

  • Информационный ресурс – сведения (сообщения, данные), входящие в состав отдельных документов, массивов документов, баз данных, представленные в электронно-цифровой форме.

  • Программный ресурс – системное или прикладное программное обеспечение.

  • Аппаратный ресурс – внутреннее или внешнее устройство хранения, обработки или передачи информации.

  • Внутренний пользователь — работник подразделения Общества, пользующийся информационными ресурсами.

  • Внешний пользователь — государственные органы, сторонние Общества и их работники, физические лица.

Порядок применяется во всех случаях, когда сотрудникам Общества или пользователям сторонних организаций, выполняющим работы на территории и с использованием технических средств, предоставляется (впервые или по истечении срока предыдущего получения аналогичных прав доступа) доступ к информационным, программным или аппаратным ресурсам (далее - ресурсы) Общества.

Порядок не применяется в случаях:

  • получения материальных ценностей (в том числе аппаратных средств) пользователями;

  • восстановления доступа пользователей к ресурсам в случае, если потеря доступа произошла в результате какого-либо инцидента – в таком случае необходимо действовать в установленном в Обществе порядке по устранению последствий инцидентов;

  • получения доступа к «тестовым» ресурсам;

Положения Порядка должны анализироваться отделом информационных технологий и Департаментом безопасности не реже одного раза в год. В случае если в ходе такого анализа была установлена необходимость внесения изменений, новая редакция Порядка должна быть выполнена Департаментом безопасности и утверждена приказом руководителя Общества.

  1. Основные права, обязанности и ответственность

Обязанности по предоставлению и аннулированию доступа к Ресурсам возлагаются на отдел информационных технологий Общества в соответствии с положениями об отделах и должностными регламентами сотрудников.

Обязанности по контролю соблюдения Порядка возлагаются на Департамент безопасности.

Пользователи допускаются к работе с ресурсами только после ознакомления под роспись в соответствующем журнале (приложение 1, далее – Журнал инструктажа пользователей) с положениями Порядка и прохождения инструктажа, проводимого сотрудником отдела по защите информации

Соблюдение требований Порядка обязательно для всех пользователей, допущенных к работе с ресурсами.

Дополнительно к настоящему Порядку допуск специалистов внешних организаций к выполнению работ на территории Общества регламентируется соответствующим локальным нормативным документом.

Деятельность пользователей при работе с ресурсами может протоколироваться и периодически проверяться на предмет соблюдения установленных правил работы любыми средствами, не противоречащими законодательству Российской Федерации.

  1. Учет ресурсов

Все информационные ресурсы Общества должны быть учтены и систематизированы.

Ведение Реестра возлагается на информационно технический отдел Общества.

Актуальный Реестр должен быть доступен всем пользователям в произвольный момент времени.

Информация о новом ресурсе (изменениях в имеющемся ресурсе) должна быть доведена подразделением – владельцем ресурса до Департамента безопасности и информационно-технического отдела в течение двух рабочих дней с момента появления в виде служебной записки, подписанной начальником соответствующего подразделения (приложение 2).

Внесение изменений в Реестр осуществляется в течение одного рабочего дня с момента поступления соответствующей служебной записки.

 

  1. Предоставление доступа к ресурсам

Для предоставления доступа пользователю к ресурсу необходимо выполнение одного из следующих условий:

  • доступ необходим для выполнения пользователем должностных обязанностей в соответствии со своим должностным регламентом;

  • доступ необходим для выполнения пользователем обязанностей другого пользователя по поручению (в виде служебной записки) начальника соответствующего отдела;

  • доступ необходим для выполнения пользователем обязанностей другого пользователя по указанию (в виде приказа или распоряжения) руководства Общества;

  • доступ необходим для выполнения пользователем работ по указанию (в виде приказа или распоряжения) руководства Общества;

  • доступ необходим для выполнения пользователем работ в ходе реализации контрактов, договоров, заключенных Обществом (для сотрудников «сторонних» организаций).

Для обеспечения доступа к ресурсам начальник отдела Общества (лицо, его замещающее) составляет заявку на предоставление доступа (далее – Заявка, приложение 3), руководствуясь Реестром.

Департамент безопасности в течение одного рабочего дня проверяет наличие у пользователя основания на доступ к ресурсу согласно Заявке. В случае если доступ к ресурсу согласно Заявке по какой-либо причине не может быть предоставлен, Заявка возвращается начальнику отдела, инициировавшему Заявку, с подробным описанием данной причины.

После согласования с Департаментом безопасности Заявка передается на утверждение руководителю Общества (лицу, его замещающему). В случае утверждения в тот же день оригинал утвержденной Заявки передается в Департамент безопасности на постоянное хранение, а копия Заявки (с указанным номером Заявки) - в отдел информационных технологий для выполнения работ по предоставлению доступа согласно Заявке.

Информацию об утвержденных Заявках заносится в журнал регистрации и учета заявок на предоставление доступа к ресурсам (далее – Журнал регистрации заявок, приложение 4), который ведется в электронном виде отделом по защите информации Общества.

  1. Использование ресурсов

Использование ресурсов осуществляется в соответствии с инструкциями по эксплуатации к программному и аппаратному обеспечению.

Запрещается умышленное выведение ресурсов из строя, блокировка доступа к ним и любые иные действия, препятствующие штатному режиму эксплуатации ресурсов.

В случае обнаружения сбоя в работе ресурса пользователь обязан сообщить об инциденте в отдел информационных технологий и Департамент безопасности.

  1. Изменение прав доступа к ресурсам

В случае необходимости предоставления пользователю дополнительных полномочий (ролей) по доступу к уже используемому им ресурсу следует действовать в соответствии с разделом 4 Порядка.

В случае необходимости замены (полной или частичной) полномочий пользователя по доступу к уже используемому им ресурсу следует действовать в соответствии с п.7.1. Порядка.

  1. Аннулирование доступа к ресурсам

Аннулирование доступа к ресурсам происходит в случаях:

  • изменения должностных обязанностей сотрудника;

  • истечения периода действия Заявки;

  • изменения технологических процессов обработки информации таким образом, что доступ сотруднику более не требуется;

  • нарушения сотрудником правил доступа к ресурсу;

  • ухода сотрудника в декретный отпуск (отпуск по уходу за ребенком);

  • увольнение сотрудника;

  • по иным требованиям руководства Общества или Департаментом безопасности.

Аннулирование доступа должно быть инициировано в течение одного рабочего дня с момента возникновения соответствующего события.

Обязанности по инициированию аннулирования доступа пользователя к ресурсам возлагаются:

  • в случае изменения должностных обязанностей сотрудника или его увольнения, изменения технологических процессов обработки информации таким образом, что доступ пользователю более не требуется - на начальника соответствующего отдела Общества;

  • в случае истечения периода действия Заявки, нарушения сотрудником правил доступа к ресурсу – на Департамент безопасности.

Информация об инициировании аннулировании доступа (с указанием причины) доводится в произвольной форме в письменном виде начальником соответствующего отдела Общества до Департамента безопасности.

Аннулирование доступа осуществляется отделом информационных технологий по указанию Департамента безопасности.

Информация об аннулировании доступа заносится Департаментом безопасности в течение одного рабочего дня в Журнал регистрации заявок.

 

 

  1. <Приложение 1 <Журнал инструктажа пользователей с правилами доступа к ресурсам

 

Журнал

инструктажа пользователей с правилами доступа к ресурсам

п/п

Инструктаж получил:

Инструктаж провел:

Фамилия И.О.

Занимаемая должность

Подпись

Фамилия И.О.

Подпись

Дата

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  1. < Приложение 2 Служебная записка по предоставлению доступа к информационным ресурсам

Начальнику отдела по защите информации

 

_________________________

(Фамилия И.О.)

СЛУЖЕБНАЯ ЗАПИСКА

В соответствии с Порядком доступа к информационным, программным и аппаратным ресурсам, утвержденным приказом от .___.202___г. №  ______, прошу включить (аннулировать) в (из) реестр(а) новый информационный ресурс отдела.

Наименование информационного (программного)

ресурса

Основание для включения нового ресурса в реестр Общества

(дата и номер федерального закона либо другого нормативного акта)

Период действия (постоянно или указать интервал)

1

3

6

 

 

 

Начальник ______________________________________

(наименование отдела)

«____» _____________________20__г _______________________ ______________

Фамилия, инициалы подпись

  1. < Приложение 3 заявка на предоставление доступа к информационным ресурсам

Заявка №

на предоставление доступа к информационным, программным и аппаратным ресурсам

Фамилия И.О. сотрудника,

(таб.номер),

должность

 

№ каб.,

Телефон (вн.)

Обоснование необходимости проведения указанного вида работ в соответствии с должностными обязанностями сотрудника

(ссылка на раздел должностного регламента или иной нормативный документ в соответствии с п.4.1. Порядка)

Ресурс

(согласно Перечню)

Режим доступа

(открыть/закрыть: чт/зап; просмотр, ввод, корр., распеч.)

Период действия (постоянно или указать интервал дат)

1

2

3

4

5

6

 

 

 

 

 

 

Начальник ______________________________________

(наименование отдела)

«____» _____________________202___г _______________________ ______________

Фамилия, инициалы подпись

Согласовано:

Начальник отдела по защите информации:

«____» _____________________202___г _______________________ ________________

Фамилия, инициалы

  1. < Приложение 4 Журнал регистрации и учета заявок на предоставление доступа к информационным, программным и аппаратным ресурсам

Журнал

регистрации и учета заявок на предоставление доступа к информационным, программным и аппаратным ресурсам

Заявка №

ФИО, должность

Отдел

Информационный ресурс по заявке

Дата согласования заявки

Период доступа

 

 

 

 

 

 

 

 

 

 

 

 

Автор: Хобта И.В.

заказать услугу ревизора
Оставьте заявку
и мы Вам перезвоним в удобное для Вас время
это поле обязательно для заполнения
E-mail:*
это поле обязательно для заполнения
Телефон:*
это поле обязательно для заполнения
Галочка*
Спасибо! Форма отправлена
vq2
Оставьте заявку
и мы Вам перезвоним в удобное для Вас время
это поле обязательно для заполнения
E-mail:*
это поле обязательно для заполнения
Телефон:*
это поле обязательно для заполнения
Галочка*
Спасибо! Форма отправлена