Процедура предоставления (или
изменения) прав доступа пользователя
к ресурсам предприятия инициируется
заявкой сотрудника (Приложение № 2).
В заявке указывается:
должность, фамилия, имя и отчество
сотрудника;
имя пользователя (учетной записи)
данного сотрудника;
наименование информационного
актива (системы, ресурса), к которому необходим
допуск (или изменение полномочий пользователя);
полномочия, которых необходимо
лишить пользователя или которые необходимо
добавить пользователю (путем указания
решаемых пользователем задач на конкретных
информационных ресурсах ИС) с указанием
разрешенных видов доступа к ресурсу (ролей).
Заявка согласуется с администратором
информационной безопасности и передается
системному администратору (программисту)
на исполнение.
По окончании внесения изменений
в заявке делается отметка о выполнении
задания за подписями исполнителей.
- Порядок
удаления учетной записи пользователя
При наступлении момента прекращения
срока действия полномочий пользователя
(окончание договорных отношений, увольнение
сотрудника) учетная запись должна немедленно
блокироваться.
Предпочтительно использовать
механизмы автоматического блокирования
учетных записей уволенных сотрудников,
используя соответствующие ИС. При невозможности
автоматического блокирования учетных
записей, сотрудникам сопоставляются
временные учетные записи (с фиксированным
сроком действия), о чем делается отметка
в заявке при ее исполнении и в обязательном
порядке доводится до инициатора заявки.
Допускается регистрация постоянных
учетных записей при отсутствии механизмов
автоматической блокировки. В этом случае
начальник кадровой службы обязан своевременно
подавать заявки на блокирование учетной
записи сотрудника не позднее, чем
за сутки до момента прекращения срока
действия полномочий пользователя.
В заявке указывается:
должность сотрудника, фамилия,
имя и отчество сотрудника;
имя пользователя (учетной записи)
данного сотрудника;
дата прекращения полномочий
пользователя.
Заявку подписывает начальник
кадровой службы, утверждая тем самым
факт прекращения срока действия полномочий
пользователя.
Администратор информационной
безопасности рассматривает представленную
заявку и передает заявку на исполнение
системному администратору (программисту).
По окончании внесения изменений
в заявке делается отметка о выполнении
задания за подписями исполнителей.
В случае необходимости сохранения
персональных документов (профайла пользователя)
на АРМ сотрудника, после прекращения
срока действия его полномочий, сотрудник
(или его непосредственный руководитель)
должен своевременно (не позднее, чем за
3 суток до момента прекращения срока действия
своих полномочий) подать заявку на блокирование
учетной записи пользователя с указанием
срока хранения указанной информации.
Заявка должна подаваться даже в случае
применения механизмов автоматической
блокировки учетных записей уволенных
сотрудников.
Такая заявка должна быть предварительно
согласована с администратором информационной
безопасности, и после выполнения действий
по блокированию учетной записи передается
системному администратору для исполнения
требования по сохранению данных.
- Порядок
хранения исполненных заявок
Исполненные заявки передаются
администратору информационной безопасности,
и хранятся в архиве в течение 5 лет с момента
окончания предоставления доступа к информационному
ресурсу.
Копии исполненных заявок хранятся
у системного администратора.
Они могут впоследствии использоваться:
для восстановления полномочий
пользователей после аварий в ИС предприятия;
для контроля правомерности
наличия у конкретного пользователя прав
доступа к информационному ресурсу
тем или иным ресурсам системы
при разборе конфликтных ситуаций;
для проверки системным администратором правильности настройки средств
разграничения доступа к ресурсам системы.
В случае невозможности исполнения
инициатору заявки направляется мотивированный
отказ с приложением заявки.
- .
Политика учетных записей
Назначение
Настоящая политика определяет
основные правила присвоения учетных
записей пользователям информационных
активов Управления.
Положение политики
Регистрационные учетные записи
подразделяются на:
пользовательские – предназначенные
для идентификации/аутентификации пользователей
информационных активов Управления;
системные – используемые для
нужд операционной системы;
служебные – предназначенные
для обеспечения функционирования отдельных
процессов или приложений.
Каждому пользователю информационных
активов роедприятия назначается уникальная
пользовательская регистрационная учетная
запись. Допускается привязка более одной
пользовательской учетной записи к одному
и тому же пользователю (например, имеющих
различный уровень полномочий).
В общем случае запрещено создавать
и использовать общую пользовательскую
учетную запись для группы пользователей.
В случаях, когда это необходимо, ввиду
особенностей автоматизируемого бизнес-процесса
или организации труда (например, посменное
дежурство), использование общей учетной
записи должно сопровождаться отметкой
в журнале учета машинного времени, которая
должна однозначно идентифицировать текущего
владельца учетной записи в каждый момент
времени. Одновременное использование
одной общей пользовательской учетной
записи разными пользователями запрещено.
Системные регистрационные
учетные записи формируются операционной
системой и должны использоваться только
в случаях, предписанных документацией
на операционную систему.
Служебные регистрационные
учетные записи используются только для
запуска сервисов или приложений.
Использование системных или
служебных учетных записей для регистрации
пользователей в системе категорически
запрещено.
- Политика
использования паролей
Назначение
Настоящая политика определяет
основные правила обращения с паролями,
используемыми для доступа к защищаемым
информационным активам предприятия.
Положения
политики
Сотруднику запрещается:
Сообщать свой пароль кому-либо.
Хранить пароли, записанные
на бумаге, в легко доступном месте.
Использовать один и тот же
пароль для доступа к различным информационным
системам.
Сотрудник обязан:
В случае подозрения на то, что
пароль стал кому-либо известен, поменять
пароль и сообщить о факте компрометации
сотруднику отдела информационной безопасности.
Немедленно сообщить сотруднику
отдела информационной безопасности в
случае получения от кого-либо просьбы
сообщить пароль.
Менять пароль, каждые 90 дней.
Создавать пароль, соответствующий
следующим требованиям:
Минимальная длина пароля должна
быть 8 символов;
Пароль должен содержать символы
в различных регистрах, а также цифры и
специальные символы (!@#$%^&*()-_+=~[]{}|\:;'"<>,.?/).
Сотруднику рекомендуется выбирать
пароль с помощью следующей процедуры:
Выбрать фразу, которую легко
запомнить. Например, “Однажды, в студеную
зимнюю пору, я из лесу вышел.”
Выбрать первые буквы из каждого
слова “овсзпяилв”.
Набрать полученную последовательность,
переключившись на английскую раскладку
клавиатуры: “jdcpgzbkd ”
Выбрать номер символа, который
будет записываться в верхнем регистре
и после которого будет специальный символ. Например, это будет третий
символ, а в качестве специального символа
выбран “$”. Получаем, “jdC$pgzbkd ”.
Компания оставляет за собой
право:
Осуществлять периодическую
проверку стойкости паролей пользователей,
используемых сотрудниками для доступа
к информационным системам.
Принимать меры дисциплинарного
характера к сотрудникам, нарушающим положения
настоящей политики.
- Политика реализации антивирусной защиты
Назначение
Настоящая Политика определяет
основные правила для реализации антивирусной
защиты в Управлении.
Положения
политики
1. Объекты антивирусной защиты.
К объектам антивирусной защиты относятся:
- Серверы;
- Компьютеры (ноутбуки), принадлежащие
предприятию, подключенные или периодически
подключаемые к ИС;
- Компьютеры (ноутбуки), принадлежащие
предприятию, не подключенные к
ИС, но по специфике их использования
предполагается копирование (перенос)
информации, содержащейся в них,
на ресурсы ИВС или обратно;
- Компьютеры (ноутбуки), принадлежащие
третьим лицам и подключаемые
к ИС предприятия в рамках
заключенных договоров на выполнение
работ (оказания услуг);
- Шлюз (шлюзы), соединяющий ИС предприятия
с сетью Интернет и другими
сетями;
- Корпоративная система электронной
почты.
2. Средства антивирусной защиты.
К средствам антивирусной защиты относятся
утилиты, программы и программные комплексы,
предназначенные для обнаружения и уничтожения
вредоносных программ, а также ликвидации
последствий, от их воздействий. Все средства
антивирусной защиты можно условно разделить
на основные и вспомогательные.
2.1. Основные антивирусные средства.
Для постоянной защиты объектов должны
использоваться программные комплексы
в корпоративном исполнении, состоящие
из клиентских программ (модулей), устанавливаемых
на каждом из объектов защиты, программ
(модулей) централизованного администрирования,
управления и обновления антивирусных
баз и самих программ (модулей).Основные
антивирусные средства должны:
- Быть официально приобретены,
и использоваться согласно приобретенной
лицензии (лицензиям);
- Быть однородными по составу,
т.е. должны быть выпущены одним
производителем.
*Допускается использование средств
антивирусной защиты других производителей
на отдельных объектах защиты,
таких, как шлюзы в Интернет (другие
сети) и система корпоративной
электронной почты;
- Обеспечивать возможность управления
(администрирования, конфигурирования,
удаленной установки, контроля работы,
запуска заданий и т.п.) всеми
клиентскими программами с единой
консоли (панели) управления администратора;
- Обеспечивать загрузку обновлений
антивирусных баз и программного
обеспечения через Интернет с
серверов обновлений производителя
и централизованную установку
полученных обновлений с сервера
ИС клиентскими программами, без вмешательства
пользователей, с периодичностью не реже
1 раза в час;
- Обеспечивать проверку в режиме
реального времени Интернет-трафика,
входящих и исходящих сообщений электронной
почты, файлов, к которым обращается пользователь
или операционная система;
- Обеспечивать недоступность настроек
клиентских программ, а также
их отключения и деинсталляции
для обычных пользователей ИС;
- Иметь возможность оперативного
оповещения пользователей и должностных
лиц, отвечающих за антивирусную
защиту, обо всех случаях срабатывания
антивирусной защиты;
- Иметь в составе средство
формирования отчетов.
2.2. Вспомогательные антивирусные средства.