- •Календарний план
- •Реферат
- •Перелік умовних скорочень
- •Розділ 1. Огляд та аналіз нормативно-правового простору
- •1.1. Огляд законів України із забезпечення захисту інформації
- •1.2. Аналіз нормативно-методичних документів України з захисту інформації
- •Огляд та аналіз міжнародних стандартів по створенню політики інформаційної безпеки
- •Розділ 2. Нормативні посилання
- •Розділ 3. Бізнес-модель об’єкту комерційного підприємства
- •3.1. Охоронна сигналізація
- •3.2. Відеоспостереження та контроль доступу
- •3.3. Система пожежної сигналізації
- •3.4. Основні вимоги техніки безпеки
- •Розділ 4. Розробка корпоративного документа «політика інформаційної безпеки»
- •4.1. Введення
- •4.2. Політики інформаційної безпеки Компанії
- •4.3. Організація системи управління інформаційною безпекою
- •4.4. Політики інформаційної безпеки
- •4.5. Політика облікових записів
- •4.6. Політика захисту арм
- •4.7. Порядок супроводу іс Компанії
- •Висновки
- •Перелік використаних джерел
4.4. Політики інформаційної безпеки
Політика надання доступу до інформаційного ресурсу
Справжня Політика визначає основні правила надання співробітник ам доступу до захищається інформаційних ресурсів Компанії.
До роботи з інформаційним ресурсом допускаються користувачі, ознайомлені з правилами роботи з інформаційним ресурсом та відповідальності ью за їх порушення, а також справжньою п олітікой.
Кожному співробітник у Компанії, допущеному до роботи з конкретним інформаційним ресурс про м, повинно бути порівнювати персональне унікальне ім'я (обліковий запис користувача), під яким він буде реєструватися і працювати в ІС.
У разі необхідності деяким співробітник ам можуть бути співставлені кілька унікальних імен (облікових записів). Використання декількома співробітник ами при роботі в Управлінні одного і того ж імені користувача («групового імені») ЗАБОРОНЕНО.
Порядок створення (продовження) облікових записів користувачів
Процедура реєстрації (створення облікового запису), так само продовження терміну дії тимчасової облікового запису користувача для співробітник а Компанії ініціюється заявкою (Додаток № 1).
У заявці вказується:
посада (з повним найменуванням підрозділу), прізвище, ім'я та по батькові співробітник а;
підставу для реєстрації облікового запису (номер наказу про прийняття на роботу в Компанії чи іншого договірного документа, що визначає необхідність надання співробітник у доступу до інформаційних ресурсів Компанії).
Заявку підписує начальник кадрової служби підтверджує, що зазначений співробітник дійсно прийнятий в штат Компанії.
Заявка узгоджується з адміністратором інформаційної безпеки і передається системному адміністраторові (програмісту).
Системний адміністратор рассматрива е т представлену заявку та скоїв е т необхідні операції по створенню (видалення) облікового запису користувача, присвоєнню йому початкового значення пароля і мінімальних прав доступу до ресурсів Компанії.
Після закінчення реєстрації облікового запису користувача в заявці робиться відмітка про виконання завдання за підписами виконавців.
Мінімальні права в ІС Компанії, визначені вище, а також привласнення початкового пароля проводиться адміністратором інформаційної безпеки, п ри узгодженні заявки на надання (зміна) прав доступу користувача до інформаційних ресурсів.
П орядок надання (зміни) повноважень користувача
Процедура надання (або зміни) прав доступу користувача до ресурсів Компанії ініціюється заявкою співробітник а (Додаток № 2).
У заявці вказується:
посада, прізвище, ім'я та по батькові співробітник а;
ім'я користувача (облікового запису) даного співробітник а;
найменування інформаційного активу (системи, ресурсу), до якого необхідний допуск (або зміну повноважень користувача);
повноваження, яких необхідно позбавити користувача або які необхідно додати користувачеві (шляхом зазначення розв'язуваних користувачем завдань на конкретних інформаційних ресурсах ІС) із зазначенням дозволених видів доступу до ресурсу (ролей).
Заявки а узгоджується з а дміністратор ом інформаційної безпеки і передається системному адміністраторові (програмісту) на виконання.
По закінченні внесення змін у заявці робиться відмітка про виконання завдання за підписами виконавців.
Порядок видалення облікового запису користувача
При настанні моменту припинення терміну дії повноважень користувача (закінчення договірних відносин, звільнення співробітник а) обліковий запис повинен негайно блокуватися.
Переважно використовувати механізми автоматичного блокування облікових записів звільнених співробітник ів, використовуючи відповідні ІС. При неможливості автоматичного блокування облікових записів, співробітник ам зіставляються тимчасові облікові записи (з фіксованим терміном дії), про що робиться відмітка в заявці при її виконанні і в обов'язковому порядку доводиться до ініціатора заявки.
Допускається реєстрація постійних облікових записів за відсутності механізмів автоматичного блокування. У цьому випадку начальник кадрової служби зобов'язаний своєчасно подавати заявки на блокування облікового запису співробітник а (Додаток №3) не пізніше, ніж за добу до моменту припинення терміну дії повноважень користувача.
У заявці вказується:
посаду співробітник а, прізвище, ім'я та про тчество співробітник а;
ім'я користувача (облікового запису) даного співробітник а;
дата припинення повноважень користувача.
Заявку підписує начальник кадрової служби, стверджуючи тим самим факт припинення терміну дії повноважень користувача.
Адміністратор інформаційної безпеки рассматрива е т представлену заявку і передає заявку на виконання системного адміністратора (програмісту).
По закінченні внесення змін у заявці робиться відмітка про виконання завдання за підписами виконавців.
У разі необхідності збереження персональних документів (профайла користувача) на АРМ співробітник а, після припинення терміну дії його повноважень, співробітник (або його безпосередній керівник) повинен своєчасно (не пізніше, ніж за 3 доби до моменту припинення терміну дії своїх повноважень) подати заявку на блокування облікового запису користувача із зазначенням терміну зберігання зазначеної інформації. Заявка повинна подаватися навіть у разі застосування механізмів автоматичного блокування облікових записів звільнених співробітник ів.
Така заявка повинна бути попередньо погоджена з адміністратором інформаційної безпеки, і після виконання дій з блокування облікового запису передається системному адміністра т кричу для виконання вимоги щодо збереження даних.
Порядок зберігання виконаних заявок
Виконані заявки переду ю ться адміністратору інформаційної безпеки, і храняться в архіві протягом 5 років з моменту закінчення надання доступу до інформаційного ресурсу Компанії.
Коп ії виконаних заявок зберігаються у системного адміністратора.
Вони можуть згодом використовуватися:
для відновлення повноважень користувачів після аварій в ІС Компанії;
для контролю правомірності наявності у конкретного користувача прав доступу до інформаційного ресурсу
тих чи інших ресурсів системи при розборі конфліктних ситуацій;
для перевірки системним адміністратором правильності настройки засобів розмежування доступу до ресурсів системи.
У разі неможливості виконання ініціатору заявки направляється мотивований відмову з додатком з аявкі.