Регламент предоставления доступа к информационным ресурсам компании

^{Приложение № 1}

^{к приказу № 57/06-04-03}

^{от 16.02.2017 г}

^{Регламент информационной безопасности}

^{2017 г.}

^{Содержание}

^{Вводные положения}

^{1.1.        Введение}

^{1.2.        Цели}

^{1.3.        Задачи}

^{1.4.        Область действия}

^{1.5.        Период действия и порядок внесения изменений}

^{2.           Термины и определения}

^{3.           Обозначения и сокращения}

^{4.           Основные принципы обеспечения ИБ}

^{5.           Соответствие Регламента действующему законодательству}

^{6.           Ответственность за реализацию информационной безопасности}

^{7.           Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе}

^{8.           Правила информационной безопасности}

^{8.1.        Правила предоставления доступа к информационному ресурсу}

^{8.1.1.    Назначение}

^{8.1.2.    Положение регламента}

^{8.1.3.    Порядок создания (продления) учетной записи пользователя}

^{8.1.4.    Порядок удаления учетной записи пользователя}

^{8.2.        Правила защиты АРМ}

^{8.2.1.    Назначение}

^{8.2.2.    Положения регламента}

^{8.3.        Регламент учетных записей}

^{8.3.1.    Назначение12}

^{8.3.2.    Положение регламента12}

^{9             Профилактика нарушений информационной безопасности}

^{10.         Ликвидация последствий нарушения информационной безопасности}

^{11.         Ответственность нарушителей ИБ}

^{12.         Регулирующие законодательные нормативные документы}

^{12.1.     Основополагающие нормативные документы}

^{12.2.     Законы Российской Федерации}

^{12.3.     Указы и распоряжения Президента Российской Федерации}

^{12.4.     Постановления и распоряжения Правительства РФ…………………….    16}

^{12.5.     Нормативные и руководящие документы Федеральных служб РФ            16}

 

^{Вводные положения}

^{1.1.   Введение}

^{Регламент информационной безопасности Департамента административных органов и общественной безопасности администрации Владимирской области (далее – Департамент) определяет цели и задачи системы обеспечения информационной безопасности (ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется Департамент в своей деятельности.}

^{1.2.   Цели}

^{Основными целями регламента ИБ являются защита информации Департамента и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в его Положении.}

^{Общее руководство обеспечением ИБ осуществляет заместитель директора департамента. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет консультант отдела обеспечения деятельности мировых судей выполняющий функции администратора информационной безопасности в Департаменте и судебных участках мировых судей (далее администратор информационной безопасности).}

^{.Сотрудники департамента обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящего Регламента и других документов ИБ.}

^{1.3.   Задачи}

^{Регламент информационной безопасности направлен на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.}

^{.Задачами настоящего регламента являются описание организации системы управления информационной безопасностью в Департаменте; определение политики учетных записей;}

^{регламент предоставления доступа к информационному ресурсу; регламент защиты АРМ;}

^{1.4.   Область действия}

^{Настоящий Регламент распространяется на всех сотрудников Департамента, подведомственных учреждений, сотрудников аппарата мировых судей Владимирской области  и обязателен для исполнения всеми сотрудниками и должностными лицами. Положения настоящего Регламента применимы для использования во внутренних нормативных и методических документах, а также в договорах.}

^{1.5.   Период действия и порядок внесения изменений}

^{Настоящий Регламент вводится в действие приказом директора Департамента.}

^{Регламент признается утратившим силу на основании приказа директора Департамента.}

^{Изменения в Регламент вносятся приказом директора Департамента.}

^{Инициаторами внесения изменений в Регламент информационной безопасности являются:}

^{—          Директор Департамента;}

^{—          Заместитель директора}

^{—          Администратор информационной безопасности;}

^{Плановая актуализация настоящего Регламента производится ежегодно и имеет целью приведение в соответствие определенных защитных мер реальным условиям и текущим требованиям к защите информации.}

^{Внеплановая актуализация регламента информационной безопасности производится в обязательном порядке в следующих случаях:}

^{—               при изменении политики РФ в области информационной безопасности, указов и законов РФ в области защиты информации;}

^{—               при изменении внутренних нормативных документов (инструкций, положений, рекомендаций), касающихся информационной безопасности Департамента;}

^{—               при происшествии и выявлении инцидента (инцидентов) по нарушению информационной безопасности, влекущего ущерб Департамента.}

^{Ответственными за актуализацию Регламента информационной безопасности (плановую и внеплановую) несет администратор информационной безопасности.}

^{Контроль за исполнением требований настоящего Регламента и поддержанием ее в актуальном состоянии возлагается на администратора информационной безопасности.}

^{2.     Термины и определения}

^{Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.}

^{Администратор информационной безопасности – специалист Департамента, осуществляющий контроль за обеспечением защиты информации в ЛВС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.}

^{Аудит информационной безопасности – процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как  Департаментом  (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.}

^{Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.}

^{Доступ к информации – возможность получения информации и ее использования.}

^{Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.}

^{Идентификатор доступа – уникальный признак субъекта или объекта доступа.}

^{Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.}

^{Информация – это актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом.}

^{Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.}

^{Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач отделов Департамента. В Департаменте используются различные типы информационных систем для решения управленческих, учетных, обучающих и других задач.}

^{Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.}

^{Информационные активы – информационные системы, информационные средства, информационные ресурсы.}

^{Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.}

^{Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.}

^{Инцидент информационной безопасности – действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов учреждения.}

^{Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.}

^{Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.}

^{Конфиденциальность – доступ к информации только авторизованных пользователей.}

^{Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование отделов Департамента, привести к причинению в Департаменте материального или иного вида ущерба.}

^{Локальная вычислительная сеть (ЛВС) – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.}

^{Межсетевой экран (МЭ) – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью Департамента и внешними сетями (сетью Интернет).}

^{Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.}

^{Регламент информационной безопасности – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его информационной безопасности.}

^{Пользователь ЛВС – сотрудник Департамента (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.}

^{Программное обеспечение – совокупность прикладных программ, установленных на сервере или ЭВМ.}

^{Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.}

^{Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название отдела, телефоны, E-mail и т.п.}

^{Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.}

^{Системный администратор – сотрудник Департамента, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети учреждения и ПК.}

^{Собственник – лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив.}

^{Средства криптографической защиты информации – средства шифрования, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).}

^{Угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.}

^{Управление информационной безопасностью – совокупность целенаправленных действий, осуществляемых в рамках политики информационной безопасности в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).}

^{Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности учреждения при реализации угроз в информационной сфере.}

^{Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.}

^{ЭВМ – электронная — вычислительная машина, персональный компьютер.}

^{Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.}

^{VPN (VIRTUAL PRIVATE NETWORK) – «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях.}

^{3.      Обозначения и сокращения}

^{АРМ – Автоматизированное рабочее место.}

^{АС – Автоматизированная система.}

^{БД – База данных.}

^{ЗИ – Защита информации.}

^{ИБ – Информационная безопасность.}

^{ИС – Информационная система.}

^{ИТС – Информационно-телекоммуникационная система.}

^{КЗ – Контролируемая зона.}

^{МЭ – Межсетевой экран.}

^{НСД – Несанкционированный доступ.}

^{ОС – Операционная система.}

^{ПБ – Политики безопасности.}

^{ПО – Программное обеспечение.}

^{СВТ – Средства вычислительной техники.}

^{СЗИ – Средство защиты информации.}

^{СКЗИ – Средство криптографической защиты информации.}

^{СПД – Система передачи данных.}

^{СУБД – Система управления базами данных.}

^{СУИБ – Система управления информационной безопасностью.}

^{СЭД – Система электронного документооборота.}

^{ЭВМ – Электронная — вычислительная машина, персональный компьютер.}

^{ЭЦП – Электронная цифровая подпись.}

^.

^{4.     Основные принципы обеспечения ИБ}

^{Основными принципами обеспечения ИБ являются следующие:}

^{—                    Постоянный и всесторонний анализ информационного пространства с целью выявления уязвимостей информационных активов.}

^{—                    Своевременное обнаружение проблем, потенциально способных повлиять на ИБ, корректировка моделей угроз и нарушителя.}

^{—                    Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию.}

^{—                    Персонификация и адекватное разделение ролей и ответственности между сотрудниками учреждения, исходя из принципа персональной и единоличной ответственности за совершаемые операции.}

^{5.     Соответствие Регламента действующему законодательству}

^{Правовую основу  составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.}

^{6.     Ответственность за реализацию политик информационной безопасности}

^{Ответственность за разработку мер и контроль обеспечения защиты информации несёт администратор информационной безопасности.}

^{Ответственность за реализацию Регламента возлагается:}

^{в части, касающейся исполнения правил регламента, – на каждого сотрудника Департамента, согласно должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящего Регламента.}

^{7.     Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе}

^{Организация просвещения сотрудников Департамента и подведомственных учреждений в области информационной безопасности возлагается на администратора информационной безопасности. Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности». Обучение сотрудников Департамента правилам обращения с конфиденциальной информацией, проводится путем:}

^{—                    проведения администратором информационной безопасности инструктивных занятий с сотрудниками, принимаемыми на работу в Департамент;}

^{—                    самостоятельного изучения сотрудниками внутренних нормативных документов Департамента.}

^{Допуск сотрудников к работе с защищаемыми информационными ресурсами Департамента осуществляется только после его ознакомления с настоящими Регламентом. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности».}

^{Правила допуска к работе с информационными ресурсами лиц, не являющихся сотрудниками Департамента, определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.}

^{8.     Регламент информационной безопасности Департамента}

^{Регламент информационной безопасности Департамента – это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в Департаменте.}

^{Под Регламентами безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.}

^{Регламент информационной безопасности относятся к административным мерам обеспечения информационной безопасности и определяют стратегию Департамента в области ИБ.}

^{Регламенты информационной безопасности определяют эффективную работу средств защиты информации.}

^.

^{8.1.   Регламент предоставления доступа к информационному ресурсу}

^{8.1.1.            Назначение}

^{Настоящий Регламент определяет основные правила предоставления сотрудникам доступа к защищаемым информационным ресурсам Департамента.}

^{8.1.2.            Положение Регламента}

^{К работе с информационным ресурсом допускаются сотрудники, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящим Регламентом.}

^{Каждому сотруднику Департамента, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись ), под которым он будет регистрироваться и работать в ИС.}

^{В случае необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в Департаменте одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.}

^{8.1.3.            Порядок создания (продления) учетной записи пользователя}

^{Процедура регистрации (создания учетной записи), так же продления срока действия временной учетной записи пользователя для сотрудника Департамента инициируется заявкой (Приложение № 1).}

^{В заявке указывается:}

^{—                    должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;}

^{—                    основание для регистрации учетной записи (номер приказа о принятии на работу в Департамент или иного договорного документа, определяющего необходимость предоставления сотруднику доступа к информационным ресурсам Департамента).}

^{Заявку подписывает консультант кадровой службы подтверждающий, что указанный сотрудник действительно принят в штат Департамента.}

 ^{Администратор информационной безопасности  рассматривает представленную заявку и совершает необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и минимальных прав доступа к ресурсам Департамента.}

^{По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.}

^{Минимальные права в ИС, определенные выше, а также присвоение начального пароля производится администратором информационной безопасности, при согласовании заявки на предоставление (изменение) прав доступа пользователя к информационным ресурсам.}

^{8.1.4.            Порядок удаления учетной записи пользователя}

^{При прекращении срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.}

^{В заявке указывается:}

^{—                    должность сотрудника, фамилия, имя и отчество сотрудника;}

^{—                    имя пользователя (учетной записи) данного сотрудника;}

^{—                    дата прекращения полномочий пользователя.}

^{Заявку подписывает консультант кадровой службы, утверждая тем самым факт прекращения срока действия полномочий пользователя.}

^{Администратор информационной безопасности  рассматривает представленную заявку и совершает необходимые операции по удалению учетной записи пользователя, По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.}

^{В случае необходимости сохранения персональных документов на АРМ сотрудника, после прекращения срока действия его полномочий, сотрудник (или его непосредственный руководитель) должен своевременно (не позднее, чем за 3 суток до момента прекращения срока действия своих полномочий) подать заявку на блокирование учетной записи пользователя с указанием срока хранения указанной информации.}

^{8.2.   Регламент защиты АРМ}

^{8.2.1.            Назначение}

^{Настоящий Регламент определяет основные правила и требования по защите персональных данных и иной конфиденциальной информации Департамента от неавторизованного доступа, утраты или модификации.}

^{8.2.2.            Положения Регламента}

^{Во время работы с конфиденциальной информацией должен предотвращаться ее просмотр не допущенными к ней лицами.}

^{При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие конфиденциальную информацию, заперты в помещении, шкафу или ящике стола или в сейфе.}

^{Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем их размещения в помещениях с ограниченным доступом, использования паролей или иных доступных механизмов разграничения доступа.}

^{Доступ к компонентам операционной системы и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только администратору информационной безопасности. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей.}

^{Доступ к информации предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей.}

^{Пользователям запрещается устанавливать неавторизованные программы на компьютеры.}

^{Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неавторизованных программ.}

^{Техническое обслуживание должно осуществляться только на основании обращения пользователя к администратору информационной безопасности.}

^{Локальное техническое обслуживание должно осуществляться только в личном присутствии пользователя.}

^{Дистанционное техническое обслуживание должно осуществляться только со специально выделенных автоматизированных рабочих мест, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться.}

^{При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений.}

^{Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации (в том числе в составе АРМ) допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ.}

^{Программное обеспечение должно устанавливаться со специальных ресурсов или съемных носителей и в соответствии с лицензионным соглашением с его правообладателем.}

^{Конфигурации устанавливаемых рабочих станций должны быть стандартизованы, а процессы установки, настройки и ввода в эксплуатацию — регламентированы.}

^{АРМ, на которых предполагается обрабатывать конфиденциальную информацию, должны быть закреплены за соответствующими сотрудниками Департамента. Запрещается использование указанных АРМ другими пользователями без согласования с администратором информационной безопасности Департамента. При передаче указанного АРМ другому пользователю, должна производиться гарантированная очистка диска (форматирование).}

^{8.3.   Регламент учетных записей}

^{8.3.1.            Назначение}

^{Настоящий Регламент определяет основные правила присвоения учетных записей пользователям информационных активов Департамента.}

^{8.3.2.            Положение Регламента}

^{Регистрационные учетные записи подразделяются на:}

^{—                    пользовательские – предназначенные для идентификации/аутентификации пользователей информационных активов Департамента;}

^{—                    системные – используемые для нужд операционной системы;}

^{—                    служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.}

^{Каждому пользователю информационных активов Департамента назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).}

^{В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.}

^{Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.}

^{Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.}

^{Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.}

^{9.     Профилактика нарушений информационной безопасности}

^{Под профилактикой нарушений  информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений информационной безопасности в Департаменте и проведение разъяснительной работы по информационной безопасности среди пользователей.}

^{Проведение в ИС Департамента регламентных работ по защите информации предполагает выполнение процедур контрольного тестирования (проверки) функций СЗИ, что гарантирует ее работоспособность с точностью до периода тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной в ИС Департамента степенью периодичности.}

^{Задача предупреждения в ИС Департамента возможных нарушений информационной безопасности решается по мере наступления следующих событий:}

^{—                    включение в состав ИС Департамента новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Департамента;}

^{—                    изменение конфигурации программных и технических средств ИС (изменение конфигурации программного обеспечения рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Департамента;}

^{—                    при появлении сведений о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения технических средств, используемых в ИС Департамента.}

^{Администратор информационной безопасности (возможно, при помощи сторонней организации специализирующейся в области информационной безопасности) собирает и анализирует информацию о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения относительно ИС Департамента. Источниками подобного рода сведений могут служить официальные издания и публикации различных компаний, общественных объединений и других организаций, специализирующихся в области защиты информации.}

^{Администратор информационной безопасности (возможно, при помощи сторонней организации, специализирующейся в области информационной безопасности) организовывает периодическую проверку СЗИ ИС Департамента путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам.}

^{Плановая разъяснительная работа по настоящим правилам, а также инструктаж сотрудников Департамента по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Департаменте, проводится администратором информационной безопасности ежеквартально.}

^{Внеплановая разъяснительная работа по настоящим правилам, а также инструктаж сотрудников Департамента по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Департаменте, проводится при пересмотре настоящих правил, при возникновении инцидента нарушения правил.}

^{Прием на работу новых сотрудников должен сопровождаться ознакомлением их с настоящим Регламентом.}

^{10.           Ликвидация последствий нарушения информационной безопасности}

^{Администратор информационной безопасности, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения информационной безопасности, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.}

^{В случае обнаружения подсистемой защиты информации факта нарушения информационной безопасности или осуществления НСД к защищаемым информационным ресурсам ИС рекомендуется уведомить администратора информационной безопасности, и далее следовать его указаниям.}

^{Действия администратора информационной безопасности при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами:}

^{—                    Инструкцией пользователя автоматизированной системы;}

^{—                    Должностными обязанностями администратора информационной безопасности;}

^{После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.}

^{11.            Ответственность нарушителей Регламента информационной безопасности}

^{Ответственность за нарушение  информационной безопасности несет каждый сотрудник Департамента в рамках своих служебных обязанностей и полномочий.}

^{На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования Регламента, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение.}

^{Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Департаменту в результате нарушения ими Регламента  (Ст. 238 Трудового кодекса РФ).}

^{За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники Департамента несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.}

^{12.    Регулирующие законодательные нормативные документы}

^{При организации и обеспечении работ по информационной безопасности сотрудники Департамента должны руководствоваться следующими законодательными нормативными документами:}

^{12.1.            Основополагающие нормативные документы}

^{К основополагающим нормативным документам относятся:}

^{—        Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ от 5 декабря 2016 г. № Пр-646).}

^{12.2.            Законы Российской Федерации}

^{—        Федеральный закон Российской Федерации от 28.12.2010 г. « О безопасности» № 390-ФЗ (с изменениями от 05.10.2015 г.)}

^{—        Гражданский кодекс Российской Федерации;}

^{—        Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (с изменениями от 23 июня 2016 г.);}

^{—        Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;}

^{—        Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;}

^{—        Уголовный кодекс РФ;}

^{—        Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (с изменениями от 05.04.2016 г.);}

^{—        Федеральный закон от 04.05.2011 г. № 99-ФЗ « О лицензировании отдельных видов деятельности» (с изменениями от 30.12.2015 г.).}

^{12.3.            Указы и распоряжения президента Российской Федерации}

^{—        Указ Президента Российской Федерации от 20 января 1994 г. № 170 «Об основах государственной политики в сфере информатизации» (с изменениями от 26 июля 1995 г., 17 января, 9 июля 1997 г.);}

^{—        Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями от 25 июля 2000 г.);}

^{—        Указ Президента Российской Федерации от 3 июля 1995 г. № 662 «О мерах по формированию общероссийской телекоммуникационной системы и обеспечению прав собственников при хранении ценных бумаг и расчетах на фондовом рынке Российской Федерации» (с изменениями от 16 октября 2010 г.);}

^{—        Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30 декабря 2000 г.);}

^{—        Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями от 13 июля 2015 г.).}

^{12.4.            Постановления и распоряжения правительства Российской Федерации}

^{—        Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» (с изменениями от 18.03.2016г.);}

^{—        Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (с изменениями от 21 апреля 2010 г.).}

^{—        Постановление Правительства от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных осуществляемой без использования средств автоматизации».}

^{—         Постановление Правительства от 1 ноября 2012 г. n 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».}

^—         

^{12.5.            Нормативные и руководящие документы Федеральных служб РФ}

   ^{—    Приказ ФСТЭК России от 11.02.2013 г. №17 «Об утверждении Требований о защите информации не составляющей государственную тайну , содержащейся в государственных информационных системах(Зарегистрировано в Минюсте России 31.05.2013 г. № 28608:}

            ^{—    Приказ ФСТЭК России от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».}

  ^{—     Приказ ФСБ России №416, ФСТЭК России №489 от 31.08.2010 г. « Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования (Зарегистрировано в Минюсте России 13.10.2010 г. №18904:}

            ^{—     Решение Гостехкомиссии России от 21 октября 1997 г. № 61 «О защите информации при вхождении России в международную информационную систему «Интернет»;}

            ^{—     Постановление Госстандарта Российской Федерации от 21 сентября 1994 г. № 15 «Об утверждении «Порядка проведения сертификации продукции в Российской Федерации» (с изменениями от 25 июля 1996 г., 11 июля 2002 г.);}

            ^{—     Постановление Госстандарта Российской Федерации от 10 мая 2000 г. № 26 «Об утверждении Правил по проведению сертификации в Российской Федерации» (с изменениями от 5 июля 2002 г.);}

            ^{—     Положение о сертификации средств защиты информации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199);}

            ^{—    Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.);}

^{—        Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации т 5 января 1996 г. № 3);}

^{—        Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);}

^{—        Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);}

^{—        Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);}

^{—        Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);}

^{—        Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.);}

^{—        Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114);}

^{—        Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187).}

^{Заведующий отделом обеспечения деятельности мировых судей}

^{________________В.В.Родькин}

РЕГЛАМЕНТ

использования работниками организации ресурсов сети Интернет

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий Регламент разработан для повышения эффективности работы сотрудников (далее – Предприятие), использующих электронные информационные ресурсы глобальной сети Интернет, и повышения уровня информационной безопасности локальной информационно-вычислительной сети Предприятия.

1.2. Руководство Предприятия устанавливает постоянный контроль и полностью специфицирует виды информации, к которой разрешен доступ тому или иному работнику. В случае нарушения сотрудником Предприятия данного Регламента работник будет отстранен от использования ресурсов сети Интернет.

2. НАЗНАЧЕНИЕ ДОСТУПА К РЕСУРСАМ СЕТИ ИНТЕРНЕТ

2.1. Доступ к ресурсам сети Интернет предоставляется сотрудникам Предприятия для выполнения ими прямых должностных обязанностей. Глобальная информационная сеть Интернет используется для:

• доступа к мировой системе гипертекстовых страниц (www);
• доступа к файловым ресурсам Интернета (FTP);
• доступа к специализированным (правовым и др.) базам данных;
• контактов с официальными лицами других правительственных структур, с сотрудниками структурных подразделений Предприятия, производителями и потребителями товаров и услуг Предприятия;
• обмена электронной почтой с официальными лицами по неконфиденциальным вопросам производственного характера;
• сбора информации о состоянии рынка продукции и услуг, производимых Предприятием;
• повышения квалификации работников, необходимой для выполнения работником своих должностных обязанностей;
• поиска и сбора информации по управленческим, производственным, финансовым, юридическим вопросам, если эти вопросы напрямую связаны с выполнением работником его должностных обязанностей;
• другие цели.

3. ДОСТУП К ИНТЕРНЕТ-РЕСУРСАМ

3.1. Предприятие обеспечивает доступ пользователей локальной сети к ресурсам сети Интернет по специальным каналам связи в соответствии с настоящим Регламентом.

3.2. Без согласования с руководителем структурного подразделения, в котором работает сотрудник, и IT-менеджером Предприятия запрещена самостоятельная организация дополнительных точек доступа в Интернет (удаленный доступ, канал по локальной сети и пр.).

4. РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЯ

4.1. Каждому подключенному к сети компьютеру назначается ответственный за этот компьютер пользователь, информация о котором заносится в базу данных пользователей соответствующего домена локальной сети Предприятия. Регистрация выполняется системным администратором в соответствии с «Правами доступа сотрудников Предприятия к внутренним и внешним электронным информационным ресурсам». Пользователь обязан хранить свои идентификационные данные (пароли и т.п.) в тайне, запрещена передача идентификационных данных третьим лицам. За все деструктивные действия, произведенные в сети, отвечает сотрудник – пользователь учетной записи (идентификационных данных), использовавшейся при их проведении. При подозрении на то, что идентификационные данные стали известны третьим лицам, пользователь должен немедленно обратиться к IT-менеджеру Предприятия с целью их изменения.

5. ОГРАНИЧЕНИЯ ПРИ РАБОТЕ В СЕТИ ИНТЕРНЕТ

5.1. Пользователям корпоративной линии подключения Предприятия к ресурсам глобальной сети Интернет не рекомендуется:

• посещение и использование игровых, развлекательных и прочих сайтов, не имеющих отношения к деятельности Предприятия и деятельности пользователя;
• использование электронной почты, досок объявлений, конференций на компьютерах Предприятия в личных целях в любое время;
• публикация корпоративного электронного адреса на досках объявлений, в конференциях и гостевых книгах;
• использование некорпоративных e-mai адресов для рассылки служебной информации;
• передача учетных данных пользователя;
• применение имен пользователей и паролей компьютеров Предприятия на иных (сторонних) компьютерах;
• играть в рабочее время в компьютерные игры автономно или в сети;
• единовременное скачивание больших объемов информации (файлы в объемах, превышающих указанные в приложении к настоящему Регламенту);
• посещение ресурсов трансляции потокового видео и аудио (веб-камеры, трансляция ТВ- и музыкальных программ в Интернете), создающих большую загрузку сети и мешающих нормальной работе остальных пользователей;
• подключение к электронной сети под другим паролем;
• создание личных веб-страниц и хостинг (размещение web- или ftp-сервера) на компьютере пользователя.

5.2. Пользователям корпоративной линии подключения Предприятия к ресурсам глобальной сети Интернет запрещается:

• посещение и использование эротико-порнографических ресурсов сети Интернет, ресурсов националистических организаций, ресурсов, пропагандирующих насилие и терроризм;
• нарушение закона об авторском праве посредством копирования и использования в служебных или личных целях материалов, защищенных законом об авторском праве;
• осуществление деструктивных действий по отношению к нормальной работе электронной системы Предприятия и сети Интернет (рассылка вирусов, ip-атаки и т.п.);
• загрузка материалов порнографического содержания, компьютерных игр, анекдотов, других развлекательных материалов;
• передача персональных данных, конфиденциальной информации, сведений, составляющих служебную и коммерческую тайну, третьей стороне;
• нанесение вреда электронной системе МПР России;
• проведение незаконных операций в глобальной сети Интернет;
• совершение иных действий, противоречащих законодательству, а также настоящему Регламенту.

5.3. Всем пользователям корпоративной линии подключения Предприятия к ресурсам глобальной сети Интернет ограничен доступ к почтовым серверам, в том числе и бесплатным почтовым службам, кроме корпоративного сервера . В случае если пользователю в служебных целях необходимо организовать почтовый ящик в домене, отличном от , необходимо получить письменное разрешение вышестоящего руководителя пользователя, согласованное с IT-менеджером Предприятия.

6. ОБРАЩЕНИЕ В ДРУГИЕ ОРГАНИЗАЦИИ ОТ ИМЕНИ ПРЕДПРИЯТИЯ

6.1. Работа в сети Интернет, общение с другими организациями могут быть связаны с необходимостью изложения своих взглядов по отдельным вопросам. Если сотрудник Предприятия высказывает в сообщении собственное мнение, то указанный сотрудник обязан предупредить об этом в конце сообщения фразой: «Прошу считать, что в сообщении указано мое личное мнение, которое необязательно отражает взгляды и политику Предприятия» – по предварительному согласованию с непосредственным руководством.

6.2. Официальные обращения по электронной почте к должностным лицам организаций-партнеров и организаций-заказчиков продукции и услуг Предприятия осуществляются по указанию генерального директора, заместителя генерального директора, начальника соответствующего структурного подразделения.

7. ВРЕМЯ РАБОТЫ ПОЛЬЗОВАТЕЛЕЙ В СЕТИ ИНТЕРНЕТ

7.1. Время работы пользователей в сети Интернет ограничено и регламентировано следующим образом:

• ресурс активен с понедельника по пятницу, с 8.00 до 19.00;
• при необходимости работы с ресурсами сети Интернет в выходные дни или в вечернее время пользователь обязан получить разрешение вышестоящего руководителя и уведомить информационные службы Предприятия с целью временного снятия ограничения для конкретного пользователя.

8. КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ РЕСУРСОВ СЕТИ ИНТЕРНЕТ

8.1. Администрация Предприятия оставляет за собой право в целях обеспечения безопасности электронной системы производить выборочные и полные проверки всей электронной системы и отдельных файлов без предварительного уведомления работников.

8.2. IT-менеджер Предприятия ведет учет использования ресурсов сети Интернет, обеспечивает контроль за соблюдением настоящего Регламента, обеспечивает безопасное использование ресурсов сети Интернет в соответствии с «Обязанностями информационной службы по обеспечению доступа к ресурсам сети Интернет».

8.3. После утверждения настоящего Регламента все пользователи Предприятия под личную роспись знакомятся с Регламентом и его приложениями.

В любой современной компании используется несколько информационных систем (далее – ИС): кадровые, складского учета, CRM, ERP и другие. В них регулярно происходят изменения: создаются новые аккаунты, удаляются старые, корректируются полномочия действующих пользователей и так далее. На управление этими процессами, а также предоставление доступа к информационным ресурсам уходит много времени. Часто администраторы не успевают оперативно реагировать на изменения, из-за чего возникают инциденты, связанные с правами доступа. А ведь нужно всего-то привести эти процессы в порядок, обеспечив защищенный доступ к информационным ресурсам. Для этого используются активно развивающиеся технологии, а также множество реализующих их программных/технических средств.

Три ключевые технологии предоставления доступа к информационным ресурсам

Специалисты выделяют 3 основные технологии, с помощью которых можно автоматизировать и привести в порядок доступ к информационным ресурсам предприятия. Их можно использовать по-отдельности или в комплексе.

Технология управления доступом на основе PKI

PKI (Public Key Infrastructure) – это инфраструктура открытых ключей. Она подразумевает, что у каждой сущности (субъекта, сотрудника) есть свой уникальный ключ. Для идентификации могут использоваться токены, смарт-карты, сертификаты либо ключевые пары. Технология управления доступом на основе PKI является фундаментом модели двухфакторной аутентификации. Для ее реализации в компании необходимо развернуть удостоверяющий центр (как вариант, на базе Microsoft Certification Authority) и организовать учет выданных ключей, а также оперативное реагирование на изменения.

Такую технологию чаще всего используют при организации защищенного доступа в банковские системы (например, e-banking), при ведении электронной торговли. PKI эффективна при защите биллинговых систем, обеспечении безопасности мобильных платежей.

Плюс этого подхода – высокий уровень защиты корпоративной информации, т. к. для ее обеспечения используются криптографические средства. Из минусов можно выделить относительную сложность развертывания и управления инфраструктурой.

Технология единого входа (SSO)

SSO, или технология единого входа (Single sign-on), предполагает использование одного набора учетных данных для предоставления доступа к разным информационным ресурсам (программам, приложениям, сайтам). Здесь в качестве связующего звена между пользователем и целевой ИС выступает система управления доступом (СУД). СУД идентифицирует сотрудника и при попытке входа в ИС, с которой взаимодействует посредством специализированного сертификата, сообщает ей, легитимный это пользователь или нет.

Единый логин и пароль упрощает работу пользователей, а также администратора. Последний может централизованно контролировать такие факторы, как сложность пароля, использование многофакторной аутентификации. Упрощается процесс восстановления доступа к целевым информационным системам, если пользователь забыл пароль или логин. Значительно ускоряется отзыв прав на доступ в несколько ИС: достаточно отозвать их в СУД, и войти в целевые системы пользователь уже не сможет.

В качестве существенного недостатка этой технологии эксперты отмечают высокую важность единственного набора данных для авторизации. Достаточно злоумышленнику завладеть логином/паролем, и он получит возможность несанкционированного доступа ко всем целевым информационным системам.

Среди специалистов есть мнение, что разные логины и пароли к разным ИС – более надежный вариант. Реализовать такой подход позволяет следующая технология ограничения/организации доступа к информационным ресурсам.

Технология IdM

IdM (Identity Management) – это сочетание практик, подходов, технологий и ПО для организации управления учетными данными и правами пользователей, системами контроля и управления доступом (СКУД) и другими процедурами. Предназначение этого комплекса: повышение безопасности целевых ИС, их производительности, оптимизация времени простоя, сокращение числа повторяющихся задач и снижение затрат на управление учетными записями, правами и полномочиями.

Внедрение программных средств, функционирующих на основе этой технологии (например, Solar InRights), дает бизнесу следующие эффекты:

• Централизованное управление предоставлением доступа ко всем информационным ресурсам и целевым ИС компании. За счет этого, например, значительно ускоряются процессы предоставления/отзыва прав и полномочий. Есть немало примеров, когда время простоя новых сотрудников в компаниях (в ожидании, пока для них создадут «учетки» во всех системах) сокращалось с нескольких дней до нескольких часов.

• Получение всегда актуальной матрицы доступа, позволяющей быстро оценить, кому какие полномочия принадлежат в конкретный момент времени. При использовании других моделей специалистам по ИБ на получение таких сведений требуется больше времени.

• Реализация ролевой модели управления доступом (которая становится все более популярной из-за высокой эффективности). За счет нее реализуется гибкое управление полномочиями и правами, нет необходимости привязываться к одному набору учетных данных для всех целевых ИС.

• Сведение к минимуму ежедневных рутинных операций для администраторов: настройка аккаунтов в разных информационных системах, изменение полномочий и так далее.

Технология и созданные на ее базе программные средства подходят для компаний любого масштаба. Например, Solar InRights выдерживает нагрузку свыше 100 000 пользователей с возможностью создания в системе 1 000 000 и более ролей.

В общем, выбор есть. Для построения эффективной системы управления предоставлением доступа к информационным ресурсам и корпоративным ИС можно пойти разными путями. Кому-то будет достаточно одной технологии. Кому-то, с учетом специфики компании, нужно будет комбинировать несколько.

1. Термины, определения, сокращения

2. Общие положения

2.1. Регламент бизнес-процесса «Предоставление доступа сотрудникам Государственного университета «Дубна» в информационные системы «1С: Университет ПРОФ», «1С: Колледж ПРОФ», «1С: АСР» (далее – Регламент) определяет порядок контроля, исполнения определенных инструкций и правил поведения для предоставления доступа в ИС.

2.2. Требования и правила Регламента распространяются на структурные подразделения, ответственные за обеспечение рабочего и учебного процесса Университета.

2.3. Утверждение Регламента, внесение изменений и его отмена производятся приказом ректора Университета.

2.4. Сотрудники Университета обязаны знать и выполнять требования Регламента.

3. Описание процесса

3.1. Для предоставления доступа к ресурсам ИС необходимо выполнение хотя бы одного из следующих условий:

• Доступ необходим для выполнения пользователем должностных обязанностей в соответствии со своим должностным инструкциям.

• Доступ необходим для выполнения пользователем обязанностей другого пользователя по поручению (в виде служебной записки) руководителя подразделения.

• Доступ необходим для выполнения пользователем обязанностей другого пользователя по указанию (в виде приказа или распоряжения) руководства Университета.

• Доступ необходим для выполнения пользователем работ по указанию руководителя структурного подразделения.

3.2. Процесс предоставления доступа к ИС осуществляется на основании перечня лиц, утвержденных руководителем структурного подразделения.

3.3. Руководителем подразделения должна быть составлена служебная записка (далее – Заявка), содержащая следующую информацию:

• ФИО сотрудников с их должностями.

• Список функций, выполняемых в ИС:

3.4. Составленная служебная записка должна быть передана руководителю ОАСУО.

3.5. Сотрудник ОАСУО в течение одного рабочего дня проверяет наличие у пользователя основания на доступ к ИС.

3.5.1. В случае, если пользователь имеет доменную учетную запись в unidomain, сотрудник ОАСУО имеет право предоставить пользователю доступ к ИС.

3.5.2. В случае, если сотрудник ОАСУО не нашел доменной учетной записи пользователя в 1С, ему необходимо обратиться в ОИТС с запросом на наличие пользователя в домене.

• Если такой пользователь имеется в домене, данные передаются сотруднику ОАСУО.

• Если такого пользователя не существует в домене, сотрудник ОИТС должен создать учетную запись пользователя и передать данные сотруднику ОАСУО.

3.5.3. В случае, если доступ к ресурсам ИС по какой-либо причине не может быть предоставлен, Заявка возвращается руководителю структурного подразделения, инициировавшему Заявку, с подробным описанием данной причины.

3.6. Контроль за деятельностью добавленных пользователей ведется сотрудниками ОАСУО.

4. Использование ресурсов ИС

4.1. Использование ресурсов осуществляется в соответствии с инструкциями по эксплуатации программного обеспечения.

4.2. Запрещается умышленное выведение ИС из строя, блокировка доступа к ним и любые иные действия, препятствующие штатному режиму эксплуатации ИС.

4.3. В случае обнаружения сбоя в работе ИС пользователь обязан сообщить об инциденте сотруднику ОАСУО, указав при этом имя своей учетной записи unidomain.

5. Изменение прав доступа к ресурсам

5.1. В случае необходимости предоставления пользователю дополнительных полномочий (ролей) по доступу к уже используемым ИС следует действовать в соответствии с пунктом 3.2.

5.2. В случае замены (полной или частичной) полномочий пользователя по доступу к уже используемым ИС следует действовать в соответствии с пунктом 6.1.

6. Аннулирование доступа к ресурсам

6.1. Аннулирование доступа к ИС происходит в случаях:

• Изменения должностных обязанностей пользователя.

• Истечения периода действия Заявки.

• Изменения технологических процессов обработки информации таким образом, что доступ пользователю более не требуется.

• Нарушения пользователем прав доступа к ИС.

• Ухода сотрудника в декретный отпуск (отпуск по уходу за ребенком).

• Увольнения сотрудника.

• По иным требованиям руководства Университета или руководителя подразделения.

6.2. Аннулирование доступа должно быть инициировано в течение одного рабочего дня с момента возникновения соответствующего события, указанного в пункте 6.1.

6.3. Обязанности по инициированию аннулирования доступа пользователя к ИС возлагаются:

• В случае изменения должностных обязанностей пользователя или его увольнения, изменения технических процессов обработки информации таким образом, что доступ пользователю более не требуется – на руководителя соответствующего подразделения Университета.

• В случае истечения периода действия Заявки, нарушения пользователем правил доступа к ИС – на сотрудника ОАСУО.

6.4. Информация об инициировании аннулирования доступа (с указанием причины) доводится в произвольной форме в письменном виде руководителю подразделения сотрудником ОАСУО.

6.5. Аннулирование доступа осуществляется сотрудником ОАСУО.

7. Права и полномочия

7.1. Распоряжение на назначение сотрудника ОАСУО, отвечающего за администрирование пользователей в ИС, осуществляется распоряжением начальника УЦТС.

7.2. Сотрудник ОАСУО управляет набором учетных записей пользователей, на который ему делегированы полномочия.

7.3. Сотрудник ОАСУО может осуществлять следующие действия над набором пользователей:

• Активация (повторная или первоначальная) и разблокировка учетной записи.

• Изменение данных в учетной записи в рамках ИС.

• Предоставление доступа к ресурсам ИС методом установки соответствующих прав и ролей.

• Удаление учетных записей в ИС.

7.4. Ответственным за актуализацию Регламента назначается начальник ОАСУО.

8. Ответственность

8.1. Ответственность за организацию управления доступом сотрудников к ИС в соответствии с требованиями настоящего Регламента возлагается на ОАСУО.

8.2. Ответственность за поддержание установленного порядка и соблюдение требований настоящего Регламента возлагаются на сотрудников ОАСУО.

8.3. Сотрудники университета, независимо от занимаемых должностей, несут дисциплинарную ответственность за ненадлежащее исполнение или неисполнение требований настоящего Регламента.

9. Контроль

9.1. Контроль исполнения Регламента осуществляет руководитель ОАСУО.