2. Основные права, обязанности и ответственность
4. Предоставление доступа к ресурсам
6. Изменение прав доступа к ресурсам
7. Аннулирование доступа к ресурсам
8. Приложение 1 Журнал инструктажа пользователей с правилами доступа к ресурсам
9. Приложение 2 Служебная записка по предоставлению доступа к информационным ресурсам
10. Приложение 3 заявка на предоставление доступа к информационным ресурсам
Настоящий порядок доступа к информационным, программным и аппаратным ресурсам (далее - Порядок) разработан с учетом сложившейся в ООО «________» (далее – Общество) системы, учитывающей специфику работы, организацию деловых процессов и утвержденных положений информационной безопасности.
Порядок доступа к информационным, программным и аппаратным ресурсам Общества разработан во исполнение и с учетом требований и положений следующих нормативных документов:
п.5.1.3. нормативного документа Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);
пп. 5.4., 5.5. Концепции информационной безопасности Общества;
Федерального закона «Об информации, информационных технологиях и о защите информации» от 26.07.2006 № 149-ФЗ;
Федерального закона «О коммерческой тайне» от 29.07.2004 № 98-ФЗ;
Федеральный закон «О персональных данных» от 27.07.06 № 152-ФЗ;
Термины и определения, используемые в настоящем Порядке, соответствуют используемым в указанных в п.1.2. нормативных документах. Кроме того, в Порядке используются следующие термины:
Информационный ресурс – сведения (сообщения, данные), входящие в состав отдельных документов, массивов документов, баз данных, представленные в электронно-цифровой форме.
Программный ресурс – системное или прикладное программное обеспечение.
Аппаратный ресурс – внутреннее или внешнее устройство хранения, обработки или передачи информации.
Внутренний пользователь — работник подразделения Общества, пользующийся информационными ресурсами.
Внешний пользователь — государственные органы, сторонние Общества и их работники, физические лица.
Порядок применяется во всех случаях, когда сотрудникам Общества или пользователям сторонних организаций, выполняющим работы на территории и с использованием технических средств, предоставляется (впервые или по истечении срока предыдущего получения аналогичных прав доступа) доступ к информационным, программным или аппаратным ресурсам (далее - ресурсы) Общества.
Порядок не применяется в случаях:
получения материальных ценностей (в том числе аппаратных средств) пользователями;
восстановления доступа пользователей к ресурсам в случае, если потеря доступа произошла в результате какого-либо инцидента – в таком случае необходимо действовать в установленном в Обществе порядке по устранению последствий инцидентов;
получения доступа к «тестовым» ресурсам;
Положения Порядка должны анализироваться отделом информационных технологий и Департаментом безопасности не реже одного раза в год. В случае если в ходе такого анализа была установлена необходимость внесения изменений, новая редакция Порядка должна быть выполнена Департаментом безопасности и утверждена приказом руководителя Общества.
Обязанности по предоставлению и аннулированию доступа к Ресурсам возлагаются на отдел информационных технологий Общества в соответствии с положениями об отделах и должностными регламентами сотрудников.
Обязанности по контролю соблюдения Порядка возлагаются на Департамент безопасности.
Пользователи допускаются к работе с ресурсами только после ознакомления под роспись в соответствующем журнале (приложение 1, далее – Журнал инструктажа пользователей) с положениями Порядка и прохождения инструктажа, проводимого сотрудником отдела по защите информации
Соблюдение требований Порядка обязательно для всех пользователей, допущенных к работе с ресурсами.
Дополнительно к настоящему Порядку допуск специалистов внешних организаций к выполнению работ на территории Общества регламентируется соответствующим локальным нормативным документом.
Деятельность пользователей при работе с ресурсами может протоколироваться и периодически проверяться на предмет соблюдения установленных правил работы любыми средствами, не противоречащими законодательству Российской Федерации.
Все информационные ресурсы Общества должны быть учтены и систематизированы.
Ведение Реестра возлагается на информационно технический отдел Общества.
Актуальный Реестр должен быть доступен всем пользователям в произвольный момент времени.
Информация о новом ресурсе (изменениях в имеющемся ресурсе) должна быть доведена подразделением – владельцем ресурса до Департамента безопасности и информационно-технического отдела в течение двух рабочих дней с момента появления в виде служебной записки, подписанной начальником соответствующего подразделения (приложение 2).
Внесение изменений в Реестр осуществляется в течение одного рабочего дня с момента поступления соответствующей служебной записки.
Для предоставления доступа пользователю к ресурсу необходимо выполнение одного из следующих условий:
доступ необходим для выполнения пользователем должностных обязанностей в соответствии со своим должностным регламентом;
доступ необходим для выполнения пользователем обязанностей другого пользователя по поручению (в виде служебной записки) начальника соответствующего отдела;
доступ необходим для выполнения пользователем обязанностей другого пользователя по указанию (в виде приказа или распоряжения) руководства Общества;
доступ необходим для выполнения пользователем работ по указанию (в виде приказа или распоряжения) руководства Общества;
доступ необходим для выполнения пользователем работ в ходе реализации контрактов, договоров, заключенных Обществом (для сотрудников «сторонних» организаций).
Для обеспечения доступа к ресурсам начальник отдела Общества (лицо, его замещающее) составляет заявку на предоставление доступа (далее – Заявка, приложение 3), руководствуясь Реестром.
Департамент безопасности в течение одного рабочего дня проверяет наличие у пользователя основания на доступ к ресурсу согласно Заявке. В случае если доступ к ресурсу согласно Заявке по какой-либо причине не может быть предоставлен, Заявка возвращается начальнику отдела, инициировавшему Заявку, с подробным описанием данной причины.
После согласования с Департаментом безопасности Заявка передается на утверждение руководителю Общества (лицу, его замещающему). В случае утверждения в тот же день оригинал утвержденной Заявки передается в Департамент безопасности на постоянное хранение, а копия Заявки (с указанным номером Заявки) - в отдел информационных технологий для выполнения работ по предоставлению доступа согласно Заявке.
Информацию об утвержденных Заявках заносится в журнал регистрации и учета заявок на предоставление доступа к ресурсам (далее – Журнал регистрации заявок, приложение 4), который ведется в электронном виде отделом по защите информации Общества.
Использование ресурсов осуществляется в соответствии с инструкциями по эксплуатации к программному и аппаратному обеспечению.
Запрещается умышленное выведение ресурсов из строя, блокировка доступа к ним и любые иные действия, препятствующие штатному режиму эксплуатации ресурсов.
В случае обнаружения сбоя в работе ресурса пользователь обязан сообщить об инциденте в отдел информационных технологий и Департамент безопасности.
В случае необходимости предоставления пользователю дополнительных полномочий (ролей) по доступу к уже используемому им ресурсу следует действовать в соответствии с разделом 4 Порядка.
В случае необходимости замены (полной или частичной) полномочий пользователя по доступу к уже используемому им ресурсу следует действовать в соответствии с п.7.1. Порядка.
Аннулирование доступа к ресурсам происходит в случаях:
изменения должностных обязанностей сотрудника;
истечения периода действия Заявки;
изменения технологических процессов обработки информации таким образом, что доступ сотруднику более не требуется;
нарушения сотрудником правил доступа к ресурсу;
ухода сотрудника в декретный отпуск (отпуск по уходу за ребенком);
увольнение сотрудника;
по иным требованиям руководства Общества или Департаментом безопасности.
Аннулирование доступа должно быть инициировано в течение одного рабочего дня с момента возникновения соответствующего события.
Обязанности по инициированию аннулирования доступа пользователя к ресурсам возлагаются:
в случае изменения должностных обязанностей сотрудника или его увольнения, изменения технологических процессов обработки информации таким образом, что доступ пользователю более не требуется - на начальника соответствующего отдела Общества;
в случае истечения периода действия Заявки, нарушения сотрудником правил доступа к ресурсу – на Департамент безопасности.
Информация об инициировании аннулировании доступа (с указанием причины) доводится в произвольной форме в письменном виде начальником соответствующего отдела Общества до Департамента безопасности.
Аннулирование доступа осуществляется отделом информационных технологий по указанию Департамента безопасности.
Информация об аннулировании доступа заносится Департаментом безопасности в течение одного рабочего дня в Журнал регистрации заявок.
Журнал
инструктажа пользователей с правилами доступа к ресурсам
№ п/п |
Инструктаж получил: |
Инструктаж провел: |
||||
Фамилия И.О. |
Занимаемая должность |
Подпись |
Фамилия И.О. |
Подпись |
Дата |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Начальнику отдела по защите информации
_________________________
(Фамилия И.О.)
В соответствии с Порядком доступа к информационным, программным и аппаратным ресурсам, утвержденным приказом от .___.202___г. № ______, прошу включить (аннулировать) в (из) реестр(а) новый информационный ресурс отдела.
Наименование информационного (программного) ресурса |
Основание для включения нового ресурса в реестр Общества (дата и номер федерального закона либо другого нормативного акта) |
Период действия (постоянно или указать интервал) |
1 |
3 |
6 |
|
|
|
Начальник ______________________________________
(наименование отдела)
«____» _____________________20__г _______________________ ______________
Фамилия, инициалы подпись
на предоставление доступа к информационным, программным и аппаратным ресурсам
Фамилия И.О. сотрудника, (таб.номер), должность
|
№ каб., Телефон (вн.) |
Обоснование необходимости проведения указанного вида работ в соответствии с должностными обязанностями сотрудника (ссылка на раздел должностного регламента или иной нормативный документ в соответствии с п.4.1. Порядка) |
Ресурс (согласно Перечню) |
Режим доступа (открыть/закрыть: чт/зап; просмотр, ввод, корр., распеч.) |
Период действия (постоянно или указать интервал дат) |
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
Начальник ______________________________________
(наименование отдела)
«____» _____________________202___г _______________________ ______________
Фамилия, инициалы подпись
Согласовано:
Начальник отдела по защите информации:
«____» _____________________202___г _______________________ ________________
Фамилия, инициалы
< Приложение 4 Журнал регистрации и учета заявок на предоставление доступа к информационным, программным и аппаратным ресурсам
Журнал
регистрации и учета заявок на предоставление доступа к информационным, программным и аппаратным ресурсам
Заявка № |
ФИО, должность |
Отдел |
Информационный ресурс по заявке |
Дата согласования заявки |
Период доступа |
|
|
|
|
|
|
|
|
|
|
|
|
Автор: Хобта И.В.
Комментариев пока нет