ACL – Список контроля доступа
VPN - (Virtual Private Network) – «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях
АИБ – администратор информационной безопасности
АРМ – Автоматизированное рабочее место
АС – Автоматизированная система
БД – База данных
ЖЦ – Жизненный цикл
ЗИ – Защита информации
ИБ – Информационная безопасность
ИС – Информационная система
ИТС – Информационно-телекоммуникационная система
КЗ – Контролируемая зона
ЛВС – Локально-вычислительяная сеть
МЭ – Межсетевой экран
НСД – Несанкционированный доступ
ОС – Операционная система
ПБ – Политики безопасности
ПК – Персональный компьютер
ПО – Программное обеспечение
СВТ – Средства вычислительной техники
СЗИ – Средство защиты информации
СКЗИ – Средство криптографической защиты информации
СМИБ – Система менеджмента информационной безопасности
СПД – Система передачи данных
СУБД – Система управления базами данных
СУИБ – Система управления информационной безопасностью
СЭД – Система электронного документооборота
ЭП – Электронная подпись
Список контроля доступа (ACL) – правила фильтрации сетевых пакетов, настраиваемые на маршрутизаторах и МЭ, определяющие критерии фильтрации и действия, производимые над пакетами.
АС – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
АИБ – специалист или группа специалистов учреждения, осуществляющих контроль за обеспечением ЗИ в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Анализ риска – систематическое использование информации для определения источников и оценки риска.
Аудит ИБ – процесс проверки выполнения установленных требований по обеспечению ИБ. Может проводиться как самим обществом (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.
Доступ к информации – возможность получения информации и ее использования.
Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.
Идентификатор доступа – уникальный признак субъекта или объекта доступа.
Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информация – это актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом.
ИБ – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.
ИС – совокупность ПО и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач.
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационные активы – ИС, информационные средства, информационные ресурсы.
Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для ПК; СВТ и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании ИС и обеспечивающие их эксплуатацию.
Информационные ресурсы – совокупность содержащейся в БД информации и обеспечивающих ее обработку информационных технологий.
Инцидент ИБ – действительное, предпринимаемое или вероятное нарушение ИБ, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов учреждения.
Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.
Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность – доступ к информации только авторизованных пользователей.
Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности, которой, может оказать негативное влияние на функционирование ИС, привести к причинению материального или иного вида ущерба.
ЛВС – группа ПК, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.
МЭ – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью и внешними сетями (сетью Интернет).
Мониторинг ИБ – постоянное наблюдение за объектами, влияющими на обеспечение ИБ, сбор, анализ и обобщение результатов наблюдения под заданные цели. Объектом мониторинга в зависимости от целей может быть АС или ее часть, информационные технологические процессы учреждения, информационные услуги учреждения и пр.
НСД – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.
Обработка риска – процесс выбора и осуществления мер по модификации риска.
Остаточный риск – риск, остающийся после обработки риска.
ПК – электронно-вычислительная машина.
Политика ИБ – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его ИБ.
Пользователь ЛВС – пользователи ИС (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.
Принятие риска – решение принять риск.
ПО – совокупность прикладных программ, установленных на сервере или ПК.
Рабочая станция – ПК, на котором пользователь сети выполняет свои служебные обязанности.
Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в ОС (сети, БД, приложении и т.п.). Регистрационная запись создается АИБ при регистрации пользователя в ОС компьютера, в системе управления БД, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п.
Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.
Система менеджмента информационной безопасности (СМИБ) – та часть общей системы менеджмента, которая основана на подходе рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и совершенствовании ИБ.
Системный администратор – сотрудник учреждения, занимающийся сопровождением АС, отвечающий за функционирование локальной сети учреждения и ПК.
Собственник – лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив.
СКЗИ – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).
Угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.
Управление ИБ – совокупность целенаправленных действий, осуществляемых в рамках политики ИБ в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).
Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению ИБ учреждения при реализации угроз в информационной сфере.
Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.
ЭП – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
- Вводные положения
Политика ИБ Моя охота определяет цели и задачи системы обеспечения ИБ и устанавливает совокупность правил, требований и руководящих принципов в области ИБ.
Основными целями политики ИБ являются ЗИ и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности.
Общее руководство обеспечением ИБ, ответственность за организацию мероприятий по обеспечению ИБ, контроль соблюдения требований ИБ, функционирования АС осуществляет заведующий отделом информатизации, выполняющий функции АИБ.
Должностные обязанности АИБ закрепляются в должностной инструкции заведующего отделом информатизации.
Руководители организаций ответственны за обеспечение выполнения требований ИБ в своих подразделениях.
Работники обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящей Политики и других документов ИБ.
Политика ИБ направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.
Наибольшими возможностями для нанесения ущерба обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне общества), либо иметь непреднамеренный ошибочный характер. Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.
Для противодействия угрозам ИБ на основе имеющегося опыта составляется прогностическая модель предполагаемых угроз и модель нарушителя. Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ при минимальных ресурсных затратах.
Разработанная на основе прогноза политика ИБ и в соответствии с ней построенная система управления ИБ является наиболее правильным и эффективным способом добиться минимизации рисков нарушения ИБ. Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.
Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.
Задачами настоящей политики являются:
- определение Политик ИБ, а именно:
- Политика реализации антивирусной защиты;
- Политика учетных записей;
- Политика предоставления доступа к информационному ресурсу;
- Политика использования паролей;
- Политика защиты АРМ;
- Политика конфиденциального делопроизводства;
- Определение порядка сопровождения АС.
Настоящая Политика распространяется на все организации, работающие в ИС, и обязательна для исполнения всеми работниками и должностными лицами.
3.5. Период действия и порядок внесения изменений
Плановая актуализация настоящей политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.
Внеплановая актуализация политики ИБ производится в обязательном порядке в следующих случаях:
- при изменении действующего законодательства РФ в области ИБ и ЗИ;
- при изменении муниципальных правовых актов, а также документов, положений, руководств, касающихся ИБ;
- при происшествии и выявлении инцидента (инцидентов) по нарушению ИБ.
Ответственность за актуализацию политики ИБ (плановую и внеплановую) несет АИБ.
Контроль исполнения требований настоящей политики и поддержанием ее в актуальном состоянии возлагается на АИБ.
- Политики ИБ
Настоящая Политика определяет основные правила предоставления работникам доступа к защищаемым информационным ресурсам.
К работе с информационным ресурсом допускаются пользователи, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящей политикой.
Каждому работнику, допущенному к работе с конкретным информационным ресурсом, присваивается уникальная роль пользователя, под которой он будет работать в ИС.
В случае необходимости некоторым сотрудникам могут быть присвоены несколько уникальных ролей. Использование несколькими сотрудниками при работе одну и то же учетную запись ЗАПРЕЩЕНО.
Процедура присвоения роли, для работника инициируется заявкой (приложение № 1).
В заявке указывается:
- должность (с полным наименованием организации), фамилия, имя и отчество работника;
- основание для присвоения роли.
Заявку подписывает руководитель организации подтверждающий, что указанный сотрудник действительно принят в штат.
Заявка согласуется с АИБ и передается ему на исполнение. АИБ рассматривает представленную заявку и совершает необходимые операции по созданию/присвоению/удалению роли у учетной записи пользователя, присвоению ему начального значения пароля и минимальных прав доступа к ресурсам.
По окончании назначения роли учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.
Минимальные права в ИС, определенные роль «Физическое лицо», а также присвоение начальной роли производится автоматически при авторизации пользователя на информационном ресурсе.
Процедура предоставления (изменения) прав доступа пользователя к ресурсам инициируется заявкой пользователя (приложение №2).
В заявке указывается:
- должность, фамилия, имя и отчество работника;
- наименование информационного актива (системы, ресурса, подсистемы), к которому необходим допуск (или изменение полномочий пользователя);
- полномочия, исключаемые из компетенции пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных информационных ресурсах ИС) с указанием разрешенных видов доступа к ресурсу (ролей).
По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.
При наступлении момента прекращения срока действия полномочий пользователя (окончание договорных отношений, увольнение работника) учетная запись должна немедленно блокироваться.
Руководитель организации обязан своевременно подавать заявки на блокирование учетной записи работника (приложение №3) не позднее, чем за сутки до момента прекращения срока действия полномочий пользователя.
В заявке указывается:
- должность, фамилия, имя и отчество работника;
- имя пользователя (учетной записи) данного работника;
- дата прекращения полномочий пользователя.
Заявку подписывает руководитель организации, утверждая тем самым факт прекращения срока действия полномочий пользователя.
АИБ рассматривает представленную заявку и исполняет её.
По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.
В случае необходимости сохранения персональных документов (профайла пользователя) на АРМ работника, после прекращения срока действия его полномочий, работник (или его непосредственный руководитель) должен своевременно (не позднее, чем за 3 суток до момента прекращения срока действия своих полномочий) подать заявку на блокирование учетной записи пользователя с указанием срока хранения указанной информации.
Такая заявка должна быть предварительно согласована с АИБ, и после выполнения действий по блокированию учетной записи выполняются требования по сохранению данных.
Исполненные заявки передаются АИБ, и хранятся в течение 5 лет с момента окончания предоставления доступа к информационному ресурсу.
- Они могут впоследствии использоваться:
- для восстановления полномочий пользователей после аварий в ИС;
- для контроля правомерности наличия у конкретного пользователя прав доступа к информационному ресурсу тем или иным ресурсам системы при разборе конфликтных ситуаций;
- для проверки АИБ правильности настройки средств разграничения доступа к ресурсам системы.
В случае невозможности исполнения инициатору заявки направляется мотивированный отказ с приложением заявки.
Настоящая политика определяет основные учетные записи пользователей ИС.
Регистрационные учетные записи подразделяются на:
- пользовательские – предназначенные для идентификации/аутентификации пользователей информационных активов ИС;
- системные – используемые для нужд ОС;
- служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.
Каждый пользователь ИС имеет уникальную пользовательскую учетную запись. Не допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю.
Запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей.
Системные регистрационные учетные записи формируются ОС и должны использоваться только в случаях, предписанных документацией на ОС.
Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.
Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.
Настоящая политика определяет основные правила обращения с паролями, используемыми для доступа к защищаемым информационной системы.
Положения политики закрепляются в Инструкции по парольной защите в АС.
-
Политика антивирусной защиты
- Назначение
Настоящая Политика определяет основные правила для реализации антивирусной защиты в ИС.
Положения политики закрепляются в Инструкции по проведению антивирусного контроля в АС.
Настоящая Политика определяет основные правила и требования по защите персональных данных и иной конфиденциальной информации, внесенной в ИС от неавторизованного доступа, утраты или модификации.
Во время работы с конфиденциальной информацией должен предотвращаться ее просмотр недопущенными к ней лицами.
При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие конфиденциальную информацию, заперты в помещении, шкафу или ящике стола, или в сейфе.
Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем их размещения в помещениях с ограниченным доступом, использования паролей или иных доступных механизмов разграничения доступа.
Сотрудники получают доступ к ресурсам вычислительной сети после ознакомления с документами, утвержденными политикой информационной безопасности, а именно с инструкциями по обращению с носителями конфиденциальной информации, Перечнем сведений конфиденциального характера.
Доступ к компонентам ОС и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только сотрудникам отдела информатизации с согласия АИБ. Конечным пользователям предоставляется доступ только к тем функциональным возможностям компонентов и программ, которые необходимы для выполнения их должностных обязанностей.
Доступ к информации предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей.
Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неавторизованных программ.
Техническое обслуживание должно осуществляться только на основании обращения пользователя в отдел информатизации.
При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений.
Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации (в том числе в составе АРМ) допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ.
ПО должно устанавливаться со специальных ресурсов или съемных носителей и в соответствии с лицензионным соглашением с его правообладателем.
Конфигурации устанавливаемых рабочих станций должны быть стандартизованы, а процессы установки, настройки и ввода в эксплуатацию – регламентированы.
АРМ, на которых предполагается обрабатывать конфиденциальную информацию, должны быть закреплены за соответствующими пользователями. Запрещается использование указанных АРМ другими пользователями без согласования с АИБ. При передаче указанного АРМ другому пользователю, должна производиться гарантированная очистка диска (форматирование).
АИБ вправе отказать в устранении проблемы, вызванной наличием на рабочем месте ПО или оборудования, установленного или настроенного пользователем в обход действующей процедуры.
Под профилактикой нарушений политик ИБ понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений ИБ и проведение разъяснительной работы по ИБ среди пользователей.
Проведение в ИС регламентных работ по ЗИ предполагает выполнение процедур контрольного тестирования (проверки) функций СЗИ, что гарантирует ее работоспособность с точностью до периода тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной в ИС степенью периодичности.
Задача предупреждения в ИС возможных нарушений ИБ, решается по мере наступления следующих событий:
- включение в состав ИС новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС;
- изменение конфигурации программных и технических средств ИС (изменение конфигурации ПО обеспечения рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС;
- при появлении сведений о выявленных уязвимых местах в составе операционных систем и/или ПО, технических средств, используемых в ИС.
АИБ собирает и анализирует информацию о выявленных уязвимых местах в составе ОС и/или ПО относительно ИС. Источниками подобного рода сведений могут служить официальные издания и публикации различных компаний, общественных объединений и других организаций, специализирующихся в области ЗИ (при необходимости может заключаться договор).
АИБ организовывает периодическую проверку СЗИ ИС путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам (при необходимости может заключаться договор).
Для решения задач контроля защищенности ИС используются инструментальные средства для тестирования реализованных в составе СЗИ ИС средств и функций защиты. По результатам профилактических работ, проводимых в ИС, необходимо сделать соответствующие записи в специальном журнале (Журнале проверки исправности и технического обслуживания).
Плановая разъяснительная работа по правилам настоящих политик, а также инструктаж сотрудников по соблюдению требований нормативных и регламентных документов по ИБ, проводится АИБ ежеквартально.
Внеплановая разъяснительная работа по правилам настоящих политик, а также инструктаж сотрудников по соблюдению требований нормативных и регламентных документов по ИБ, проводится при пересмотре настоящих политик, при возникновении инцидента или угроз его возникновения нарушения правил настоящих политик.
Прием на работу новых сотрудников должен сопровождаться ознакомлением их с правилами и требованиями настоящих политик.
АИБ, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения ИБ, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.
В случае обнаружения подсистемой ЗИ факта нарушения ИБ или осуществления НСД к защищаемым информационным ресурсам ИС рекомендуется уведомить АИБ и далее следовать его указаниям.
Действия АИБ при признаках нарушения политик ИБ регламентируются следующими внутренними документами:
- Инструкцией пользователя АС;
- Политикой ИБ;
- Должностными обязанностями АИБ;
После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.
Ответственность за выполнение правил ПБ несет каждый пользователь в рамках своих служебных обязанностей и полномочий.
На основании ст. 192 Трудового кодекса Российской Федерации пользователи, нарушающие требования ПБ, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.
Все работники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный в результате нарушения ими правил политики ИБ (Ст. 238 Трудового кодекса РФ).
За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ПК, следствием которых явилось нарушение работы ПК (АС обработки информации), уничтожение, блокирование или модификация защищаемой информации, пользователи ИС несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.
Приложения
Перечень приложений к политике ИБ
|
НОМЕР ПРИЛОЖЕНИЯ |
НАИМЕНОВАНИЕ ПРИЛОЖЕНИЯ |
КРАТКОЕ ОПИСАНИЕ СОДЕРЖАНИЯ |
ПРИМЕЧАНИЕ |
|
1 |
Форма заявления на создание (продление) учетной записи пользователя |
Содержит форму заявления, которое должен написать руководитель пользователя для создания пользовательской учетной записи в ИС |
Включено в настоящий документ
|
|
2 |
Форма заявления на предоставление прав пользователю (изменение) прав пользователя к ресурсам |
Содержит форму заявления, оформляемого руководителем пользователя для наделения пользователя новыми полномочиями для работы с информационными ресурсами ИС |
Включено в настоящий документ
|
|
3 |
Форма заявления на блокировку учетной записи пользователя |
Содержит форму заявления, оформляемого руководителем пользователя для блокирования учетной записи пользователя |
Включено в настоящий документ
|
Приложение 1
к Политике информационной безопасности
СОГЛАСОВАНО
Администратор информационной безопасности
______________ (Ф.И.О)
«___» __________ 20__г.
ЗАЯВКА № __________
на присвоение роли учетной записи пользователя
Прошу создать (продлить) учетную запись пользователя:
|
Наименование организации |
|
|
Ф.И.О. пользователя, должность, телефон |
|
|
Ф.И.О. непосредственного руководителя, должность, телефон |
|
Пользователь приступает к работе с: «___» _______________ 20__г
по «___» _______________ 20__г.
(указывается при необходимости)
Обоснование служебной необходимости:_______________________________________________________________
_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
________________________________________________ ___________________ «___» _______________ 20__г.
(Фамилия И.О. руководитель организации) (подпись) (дата)
С правилами работы в мобильном приложении Моя охота ознакомлен(а)
________________________________________________ ___________________ «___» _______________ 20__г.
(Фамилия И.О. работника) (подпись) (дата)
Выполнено: __________________________________ _______________________________________________
(назначенное имя пользователя) (адрес почты)
Системное время: ____чч____мм
(Подпись) (Фамилия И.О.)
Дата: «___» _______________ 20____ г.
Приложение 2
к Политике информационной безопасности
СОГЛАСОВАНО
Администратор
информационной безопасности
______________ (Ф.И.О)
«___» __________ 20__г.
ЗАЯВКА № __________
на предоставление (изменение) прав доступа пользователя к ресурсам
Прошу изменить полномочия по работе с информационным ресурсом:
|
Наименование организации |
|
|
Ф.И.О. работника, должность, телефон |
|
|
Имя в системе (указывается если есть) |
|
|
Ф.И.О. непосредственного руководителя, должность, телефон |
|
|
Наименование информационного ресурса |
|
|
Старые полномочия (если были) |
|
|
Новые полномочия |
|
Изменения вступают в силу с: «___» _______________ 20__г. по «___» _______________ 20__г.
(указывается при необходимости)
Обоснование служебной необходимости:_____________________________________________________________
___________________________________________________________________________________________________
___________________________________________________________________________________________________
________________________________________________ ___________________ «___» _______________ 20__г.
(Фамилия И.О. руководителя организации) (подпись) (дата)
С правилами работы в мобильном приложении Моя охота ознакомлен(на)
________________________________________________ ___________________ «___» _______________ 20__г.
(Фамилия И.О. сотрудника) (подпись) (дата)
Выполнено: _____________________________________________________________________________________
(назначенное имя пользователя, описание выполненных действий)
Системное Время: ____чч____мм
(Подпись) (Фамилия И.О.)
Дата: «___» _______________ 20__г.
Приложение 3
к Политике информационной безопасности
СОГЛАСОВАНО
Администратор
информационной безопасности
______________ (Ф.И.О)
«___» __________ 20__г.
ЗАЯВКА № __________
На блокировку учетной записи пользователя
Прошу заблокировать учетную запись пользователя:
|
Наименование организации |
|
|
Ф.И.О. работника, должность, телефон |
|
|
Имя в системе |
|
|
Ф.И.О. непосредственного руководителя, должность, телефон |
|
Срок действия полномочий прекратить с: «___» _______________ 20__г.
Обоснование блокировки:__________________________________________________________________________
__________________________________________________________________________________________________
__________________________________________________________________________________________________
________________________________________________ ___________________ «___» _______________ 20__г.
(Фамилия И.О. руководителя организации) (подпись) (дата)
С гарантированным хранением данных в течении _________________________________________________________________________________________________
(указывается срок хранения данных пользователя)
Пользователь блокирован
Системное Время: ____чч____мм
(Подпись) (Фамилия И.О.)
Дата: «___» _______________ 20____ г.
