Ім'я файлу: politika-informatsionnoy-bezopasnosti-komitet-sotsialnoy-podderz
Розширення: doc
Розмір: 212кб.
Дата: 23.12.2020
скачати
Розширення: doc
Розмір: 212кб.
Дата: 23.12.2020
скачати
Порядок хранения исполненных заявок
Исполненные заявки передаются администратору информационной безопасности, и хранятся в архиве отдела в течение 1 года с момента окончания предоставления доступа к информационному ресурсу Комитета.
Копии исполненных заявок хранятся у системного администратора.
Они могут впоследствии использоваться:
для восстановления полномочий пользователей после аварий в ИС Комитета;
для контроля правомерности наличия у конкретного пользователя прав доступа к информационному ресурсу
тем или иным ресурсам системы при разборе конфликтных ситуаций;
для проверки системным администратором правильности настройки средств разграничения доступа к ресурсам системы.
В случае невозможности исполнения инициатору заявки направляется мотивированный отказ с приложением Заявки.
Политика учетных записей
Назначение
Настоящая политика определяет основные правила присвоения учетных записей пользователям информационных активов Комитета.
Положение политики
Регистрационные учетные записи подразделяются на:
пользовательские – предназначенные для идентификации/аутентификации пользователей информационных активов Комитета;
системные – используемые для нужд операционной системы;
служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.
Каждому пользователю информационных активов Комитета назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).
В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале событий операционной системы, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.
Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.
Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.
Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.
Политика использования паролей
Назначение
Настоящая политика определяет основные правила обращения с паролями, используемыми для доступа к информационным активам Комитета.
Положения политики
Положения политики закрепляются в Инструкции по организации парольной защиты в АС.
Политика реализации антивирусной защиты
Назначение
Настоящая Политика определяет основные правила для реализации антивирусной защиты в Комитета.
Положения политики
Положения политики закрепляются в Инструкции по проведению антивирусного контроля в АС.
Политика защиты АРМ
Назначение
Настоящая Политика определяет основные правила и требования по защите информации ограниченного доступа Комитета от неавторизованного доступа, утраты или модификации.
Положения политики
Во время работы с информацией ограниченного доступа должен предотвращаться ее просмотр не допущенными к ней лицами.
При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие информацию ограниченного доступа, заперты в помещении, шкафу или ящике стола или в сейфе.
Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем их размещения в помещениях с ограниченным доступом, использования паролей или иных доступных механизмов разграничения доступа.
Сотрудники получают доступ к ресурсам вычислительной сети после ознакомления с документами, регулирующими защиту персональных данных и утвержденными руководством Комитета согласно занимаемой должности.
Доступ к компонентам операционной системы и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только специалистам отдела информатизации. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей.
Доступ к корпоративной информации предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей.
Пользователям запрещается устанавливать программное обеспечение на компьютеры без согласования со специалистами отдела информатизации.
Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неразрешенного программного обеспечения.
Техническое обслуживание должно осуществляться только на основании обращения пользователя к специалистам отдела информатизации, а все обращения должны регистрироваться.
Локальное техническое обслуживание должно осуществляться только в личном присутствии пользователя.
Дистанционное техническое обслуживание должно осуществляться только со специально выделенных автоматизированных рабочих мест, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться.
При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений.
Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации (в том числе в составе АРМ) допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ.
Программное обеспечение должно устанавливаться со специальных сетевых ресурсов или съемных носителей, маркированных отделом информатизации, и в соответствии с лицензионным соглашением с его правообладателем.
Конфигурации устанавливаемых рабочих станций должны быть стандартизованы, а процессы установки, настройки и ввода в эксплуатацию - регламентированы.
АРМ, на которых предполагается обрабатывать информацию ограниченного доступа, должны быть закреплены за соответствующими сотрудниками Комитета. Запрещается использование указанных АРМ другими пользователями без согласования с администратором информационной безопасности. При передаче указанного АРМ другому пользователю, должна производится гарантированная очистка диска (форматирование).
Специалисты отдела информатизации вправе отказать в устранении проблемы, вызванной наличием на рабочем месте программного обеспечения или оборудования, установленного или настроенного пользователем в обход действующей процедуры.