Ім'я файлу: politika-informatsionnoy-bezopasnosti-komitet-sotsialnoy-podderz
Розширення: doc
Розмір: 212кб.
Дата: 23.12.2020
скачати
Розширення: doc
Розмір: 212кб.
Дата: 23.12.2020
скачати
Политики информационной безопасности
Политика предоставления доступа к информационному ресурсу
Назначение
Настоящая Политика определяет основные правила предоставления сотрудникам доступа к информационным ресурсам Комитета.
Положение политики
К работе с информационным ресурсом допускаются пользователи, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящей политикой.
Каждому сотруднику Комитета, допущенному к работе с конкретным информационным ресурсом Комитета, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в ИС.
В случае производственной необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в Комитете одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.
Порядок создания (продления) учетной записи пользователя
Процедура регистрации (создания учетной записи), так же продления срока действия временной учетной записи пользователя для сотрудника Комитета инициируется заявкой руководителя подразделения, в котором работает данный сотрудник (Приложение № 1).
В заявке указывается:
должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;
основание для регистрации учетной записи (номер приказа о принятии на работу в Комитет или иного договорного документа, определяющего необходимость предоставления сотруднику доступа к информационным ресурсам Комитета).
Заявку подписывает руководитель подразделения Комитета подтверждающий, что указанный сотрудник действительно принят в штат.
Заявка согласуется с администратором информационной безопасности и передается системному администратору.
Системный администратор рассматривает представленную заявку и совершает необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и минимальных прав доступа к сетевым ресурсам Комитета, таких как право регистрации на АРМ сотрудника и пользования корпоративной электронной почтой.
По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.
Минимальные права в ИС Комитета, определенные выше, а также присвоение начального пароля производится администратором информационной безопасности, при согласовании заявки на предоставление (изменение) прав доступа пользователя к информационным ресурсам.
Порядок предоставления (изменения) полномочий пользователя
Процедура предоставления (или изменения) прав доступа пользователя к ресурсам Комитета инициируется заявкой сотрудника (Приложение № 2).
В заявке указывается:
должность, фамилия, имя и отчество сотрудника;
имя пользователя (учетной записи) данного сотрудника;
наименование информационного актива (системы, ресурса), к которому необходим допуск (или изменение полномочий пользователя);
полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных информационных ресурсах ИС) с указанием разрешенных видов доступа к ресурсу (ролей).
Заявку подписывает руководитель подразделения Комитета, в котором числится сотрудник согласно штатному расписанию, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных задач ресурсам ИС Комитета.
Администратор информационной безопасности рассматривает представленную заявку и вносит необходимые изменения в списки полномочий пользователей соответствующих информационных ресурсов.
По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.
Порядок удаления учетной записи пользователя
При наступлении момента прекращения срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.
Предпочтительно использовать механизмы автоматического блокирования учетных записей уволенных сотрудников, используя соответствующие ИС.
Допускается регистрация постоянных учетных записей при отсутствии механизмов автоматической блокировки. В этом случае руководителю подразделения Комитета, в котором числится такой сотрудник согласно штатному расписанию, вменяется в обязанность своевременно подавать заявки на блокирование учетной записи сотрудника (Приложение №3) не позднее, чем за сутки до момента прекращения срока действия полномочий пользователя.
В заявке указывается:
должность сотрудника, фамилия, имя и отчество сотрудника;
имя пользователя (учетной записи) данного сотрудника;
дата прекращения полномочий пользователя.
Заявку подписывает руководитель подразделения Комитета, утверждая тем самым факт прекращения срока действия полномочий пользователя.
Администратор информационной безопасности рассматривает представленную заявку и производит блокировку учетной записи пользователя.
По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.
В случае производственной необходимости сохранения персональных документов (профайла пользователя) на АРМ сотрудника Комитета после прекращения срока действия его полномочий руководитель подразделения Комитета должен своевременно (не позднее, чем за 3 суток до момента прекращения срока действия полномочий пользователя) подать заявку на блокирование учетной записи пользователя с указанием срока хранения указанной информации. Заявка должна подаваться даже в случае применения механизмов автоматической блокировки учетных записей уволенных сотрудников.
Такая заявка должна быть предварительно согласована с администратором информационной безопасности, и после выполнения действий по блокированию учетной записи передается системному администратору для исполнения требования по сохранению данных.