Положение о допуске в Интернет
Примерный образец
Утверждено
Директором
Компании ______________________
(название организации)
г. Москва 26 сентября 2010 г.
ПОЛОЖЕНИЕ О ДОПУСКЕ В ИНТЕРНЕТ
Настоящая инструкция регламентирует организационно-техническое обеспечение процессов предоставления, изменения и прекращения действия полномочий (удаления учетных записей пользователей), а также создание, удаление и изменение состава групп безопасности и рассылки в автоматизированной системе ООО "Элекскор" (АС ООО "Элекскор").
Термины и определения
Сервер - аппаратно-программный комплекс, исполняющий функции хранения и обработки запросов пользователей и не предназначенный для локального доступа пользователей (выделенный сервер, маршрутизатор и другие специализированные устройства) ввиду высоких требований по обеспечению надежности, степени готовности и мер безопасности информационной системы предприятия.
Рабочая станция - персональный компьютер (терминал), предназначенный для доступа пользователей к ресурсам Автоматизированной системы предприятия, приема передачи и обработки информации.
Автоматизированная система - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки данных и информации и производства вычислений.
Системный администратор - должностное лицо, в обязанности которого входят обслуживание всего аппаратно-программного комплекса компании, управление доступом к сетевым ресурсам, а также поддержание требуемого уровня отказоустойчивости и безопасности данных, их резервное копирование и восстановление.
Администратор баз данных - должностное лицо, отвечающее за выработку требований к базам данных (серверам БД), их проектирование, реализацию, эффективное использование и сопровождение.
Пользователь - сотрудник Компании, использующий ресурсы информационной системы предприятия для выполнения должностных обязанностей.
Учетная запись - информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.)
Пароль - секретная строка символов (букв, цифр, специальных символов), предъявляемая пользователем компьютерной системе для получения доступа к данным и программам. Пароль является средством защиты данных от несанкционированного доступа.
Изменение полномочий - процесс создания удаления, внесения изменений в учетные записи пользователей АС, создание, удаление, изменение наименований почтовых ящиков и адресов электронной почты, создание, удаление изменение групп безопасности и групп почтовой рассылки, а также другие изменения, приводящие к расширению (сокращению) объема информации либо ресурсов, доступных пользователю АС.
1. Общие положения
Организационное и техническое обеспечение процессов изменения полномочий во всех подсистемах Компании возлагается на сотрудников отдела системного администрирования (ОСА) и администраторов служб, содержащих механизмы подтверждения подлинности пользователей по учетным записям и значениям паролей либо иные средства проверки подлинности.
С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику Компании, допущенному к работе с конкретной подсистемой АС, должно быть сопоставлено персональное уникальное имя - учетная запись пользователя и пароль, под которым он будет регистрироваться и работать в системе. Некоторым сотрудникам при наличии производственной необходимости могут быть сопоставлены несколько учетных записей. Использование несколькими сотрудниками при работе в АС одного и того же имени пользователя (группового имени) запрещено.
Основанием для изменения полномочий (предоставления, изменения либо прекращения действий прав доступа пользователя АС) является Письменная заявка руководителя подразделения, сотруднику которого требуется изменить полномочия доступа к системе на имя руководителя ОСА (Приложение N 1).
Проведение операций сотрудниками, не уполномоченными на проведение подобных действий, - запрещено и идентифицируется как факт несанкционированного доступа.
2. Порядок создания, изменения и удаления учетных записей, групп безопасности и почтовой рассылки
Оформленная "Заявка на внесение изменений в списки пользователей" (Приложение N 1) поступает руководителю ОСА. Руководитель ОСА в соответствии с предоставленной в Заявке информацией дает задание системному администратору (администратору БД) на внесение необходимых изменений. Проведение изменений, указанных системным администратором (администратором БД), без наличия задания руководителя ОСА либо, лица его замещающего, категорически запрещено.
После получения бланка заявки с отметками об исполнении руководитель ОСА осуществляет проверку внесенных изменений на соответствие требованиям заявителя и передает бланк заявки с отметками об исполнении заявителю.
При создании новой учетной записи, группы безопасности, группы рассылки вместе с бланком исполненной заявки руководитель ОСА передает заявителю информацию для использования вновь созданных учетных записей групп безопасности/почтовой рассылки (первичный пароль, адрес электронной почты и т.п.).
Копия исполненной заявки с отметками об исполнении и подписью заявителя остается на хранении у руководителя ОСА не менее 1 года.
Изменение полномочий учетных записей и состава групп безопасности и почтовой рассылки.
После получения задания от руководителя ОСА системный администратор вносит соответствующие изменения в базу данных учетных записей и ставит отметку об исполнении задания на бланке заявки.
Все изменения в списках доступа должны быть выполнены системным администратором не позднее одного часа с момента получения задания на внесение изменений от руководителя ОСА.
Бланк заявки с отметкой об исполнении возвращается руководителю ОСА, при необходимости внесения изменений в списки доступа к объектам баз данных бланк заявки с отметкой об исполнении передается администратору баз данных.
Администратор баз данных, получив задание, вносит соответствующие изменения в списки доступа к объектам баз данных и ставит отметку об исполнении задания на бланке заявки (Приложение N 1). Все изменения в списках доступа должны быть выполнены администратором баз данных не позднее одного часа с момента получения задания на внесение изменений.
Все необходимые изменения в списки доступа должны быть внесены администратором баз данных не позднее одного часа с момента получения задания.
Выполнив задание, администратор баз данных ставит отметку об исполнении на бланке заявки (Приложение N 1) и возвращает заявку руководителю ОСА.
По окончании процедур изменения списков доступа системный администратор и администратор баз данных вносят соответствующую запись в "Журнал изменения списков доступа".
Создание новых учетных записей пользователей групп безопасности и почтовой рассылки.
Получив задание от руководителя ОСА, системный администратор создает необходимые объекты безопасности, присваивает первичный пароль вновь созданной учетной записи, при необходимости создает почтовый ящик пользователя.
При задании первичного пароля учетной записи пользователя администратор обязан установить отметку "Потребовать смену пароля при первом входе в систему". Допускается в качестве первичного пароля использовать простые или повторяющиеся комбинации.
После выполнения задания системный администратор ставит отметку об исполнении задания и передает бланк заявки, а также дополнительную информацию, необходимую для использования вновь созданного объекта безопасности (первичный пароль, "имя" учетной записи, адрес электронной почты и т.п.), руководителю ОСА.
Заявка на внесение изменений в списки доступа должна быть обработана и исполнена системным администратором не позднее одного часа с момента получения задачи от руководителя ОСА.
По окончании процедур создания нового объекта в списках доступа системный администратор вносит соответствующую запись в "Журнал учета изменения списков доступа".
Удаление учетных записей пользователей групп безопасности и почтовой рассылки.
Получив задание от руководителя ОСА, системный администратор удаляет необходимые объекты безопасности из всех указанных в задании списков доступа.
После выполнения задания системный администратор ставит отметку об исполнении задания и передает бланк заявки с отметкой об исполнении руководителю ОСА.
Бланк заявки с отметкой об исполнении возвращается руководителю ОСА, при необходимости внесения изменений в списки доступа к объектам баз данных бланк заявки с отметкой об исполнении передается администратору баз данных.
Администратор баз данных, получив задание, вносит соответствующие изменения в списки доступа к объектам баз данных и ставит отметку об исполнении задания на бланке заявки (Приложение N 1).
Бланк заявки с отметками об исполнении возвращается руководителю ОСА.
Задача "на внесение изменений в списки доступа", предполагающая удаление, сокращение полномочий, должна быть обработана и исполнена системным администратором и администратором баз данных не позднее 30 мин. с момента получения задачи от руководителя ОСА.
По окончании процедур удаления объекта в списках доступа системный администратор и администратор баз данных вносят соответствующую запись в "Журнал учета изменения списков доступа".
3. Служебные учетные записи и группы
Служебные учетные записи - объекты безопасности, содержащие реквизиты, необходимые для нормального функционирования некоторых служб и сервисов (например: задачи резервного копирования и восстановления, служба автоматического обновления ОС и т.п.). Служебные учетные записи не предназначены для локального входа в систему, работа сотрудников ДИТ с использованием реквизитов служебных учетных записей - запрещена.
Служебные группы безопасности и почтовой рассылки - объекты безопасности, необходимые для управления доступом к служебному ПО и рассылки уведомлений, предназначенных техническому персоналу ДИТ.
Создание, удаление и изменение служебных объектов безопасности производятся системным администратором либо администратором баз данных только по письменной (электронной) заявке руководителя ОСА.
Самостоятельное создание, изменение либо удаление служебных учетных записей системным администратором (администратором баз данных) - запрещено.
Категорически запрещается использование встроенной учетной записи Administrator (SA для SQL-сервера и т.п.) - для повседневной работы, для запуска служб и сервисов либо для доступа к сетевым ресурсам. Использование встроенных учетных записей допускается только в случаях, требующих реквизитов именно этой учетной записи (восстановление AD, восстановление поврежденных данных системы, в некоторых случаях - проведение обновлений системы и т.п.).
Решение о необходимости применения реквизитов служебных учетных записей принимает системный администратор (администратор БД).
Каждый факт использования служебной учетной записи должен фиксироваться в "Журнале использования служебных учетных записей" с указанием времени входа в систему, времени выхода из системы, информации об администраторе, применявшем служебную учетную запись, и обоснованием необходимости применения.
Порядок создания, изменения, удаления служебных учетных записей, групп безопасности и почтовой рассылки.
Основанием для создания, изменения, удаления служебной учетной записи, группы безопасности и почтовой рассылки является "Заявка на создание объекта безопасности" (Приложение N 2) от сотрудника ДИТ на имя руководителя ДИТ.
После получения "Заявки на создание объекта безопасности" руководитель ОСА рассматривает поступивший запрос и формирует задание для системного администратора (администратора баз данных).
Исполнив полученное задание, администратор заполняет отметку об исполнении задания и передает бланк заявки с отметкой об исполнении руководителю ОСА. Вместе с бланком заявки руководителю ОСА передается информация о произведенных изменениях.
По окончании системный администратор (администратор баз данных) вносит соответствующую запись в "Журнал учета изменения списков доступа", а также вносит информацию об изменениях в "Базу данных служебных учетных записей".
Руководитель ОСА проверяет правильность исполнения задания и вносит отметку, подтверждающую исполнение заявки.
4. Доступ к ресурсам Интернет
Для исполнения задач, связанных с производственной деятельностью, сотрудникам "ИСТОК" может быть предоставлен доступ к ресурсам Интернет. Доступ к ресурсам Интернет в других целях - запрещен.
Требуемый уровень доступа предоставляется сотруднику компании на основании заявки "на изменение списков доступа" от руководителя подразделения на имя руководителя ОСА. После ознакомления под роспись о принятых в "ИСТОК" "Правилах работы с ресурсами сети Интернет" (Приложение N 4).
Системный администратор ОСА обязан ежедневно проводить анализ использования ресурсов Интернет и не реже одного раза в неделю представлять отчет об использовании интернет-ресурсов сотрудниками компании руководителю ОСА.
В случае обнаружения значительных отклонений в параметрах работы средств обеспечения доступа к ресурсам Интернет от среднестатистических значений, системный администратор обязан немедленно сообщить об этом руководителю ОСА для принятия последующих решений.
Руководитель ОСА обязан не реже одного раза в месяц представлять аналитический отчет об использовании ресурсов Интернет и предложения об изменении списка доступных ресурсов руководителю ДИТ.
Руководители структурных подразделений вправе требовать от руководителя ОСА отчет об использовании ресурсов Интернет сотрудниками своего подразделения.
Доступ к ресурсам Интернет может быть блокирован системным администратором без предварительного уведомления при возникновении нештатных ситуаций либо в иных случаях, предусмотренных организационными документами.
5. Электронная почта
Для исполнения задач, связанных с производственной деятельностью, сотрудникам "ИСТОК" может быть предоставлен доступ к системе электронной почты "ИСТОК". Использование системы электронной почты Компании в других целях - запрещено.
Доступ к системе электронной почты предоставляется сотруднику компании на основании "Заявки на изменение списков доступа" от руководителя подразделения на имя руководителя ОСА. После ознакомления под роспись о принятых в Компании "Правилах работы с корпоративной электронной почтой" (Приложение N 5).
Электронная почта является собственностью компании и может быть использована только в служебных целях. Использование электронной почты в других целях категорически запрещено.
Содержимое электронного почтового ящика сотрудника может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя.
Системный администратор ОСА обязан ежедневно проводить анализ использования системы обмена электронной почтой и не реже одного раза в неделю представлять статистически отчет о функционировании системы руководителю ОСА.
В случае обнаружения значительных отклонений в параметрах работы средств обеспечения работы системы электронной почты, системный администратор обязан немедленно сообщить об этом руководителю ОСА для принятия решений.
Доступ к серверу электронной почты может быть блокирован системным администратором без предварительного уведомления при возникновении нештатных ситуаций либо в иных случаях, предусмотренных организационными документами.
6. Требования к паролям
Первичный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), устанавливаемых системным администратором при создании новой учетной записи.
Установку первичного пароля производит системный администратор при создании новой учетной записи. Ответственность за сохранность первичного пароля лежит на системном администраторе.
Первичный пароль может содержать несложную комбинацию символов либо повторяющиеся символы.
При создании первичного пароля системный администратор обязан установить опцию, требующую смену пароля при первом входе в систему, а также уведомить владельца учетной записи о необходимости произвести смену пароля.
Первичный пароль также используется при сбросе забытого пароля на учетную запись. В любом случае при использовании первичного пароля все требования настоящего документа сохраняются.
Основной пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только сотруднику организации, используемая для подтверждения подлинности владельца учетной записи.
Установку основного пароля производит пользователь при первом входе в систему с новой учетной записью.
При выборе пароля необходимо руководствоваться "Требованиями к паролям" (Приложение N 3).
Пользователь несет персональную ответственность за сохранение в тайне основного пароля. Запрещается сообщать пароль другим лицам, в т.ч. сотрудникам ИТ-отдела, записывать его, а также пересылать открытым текстом в электронных сообщениях.
Пользователь обязан не реже одного раза в месяц производить смену основного пароля, соблюдая требования настоящего документа.
В случае компрометации пароля (либо подозрении на компрометацию), необходимо немедленно сообщить об этом в Отдел ИТ и изменить основной пароль.
Восстановление забытого основного пароля пользователя осуществляется системным администратором путем изменения (сброса) основного пароля пользователя на первичный пароль на основании письменной либо электронной заявки пользователя.
Устная заявка пользователя на изменение пароля не является основанием для проведения таких изменений.
Для предотвращения угадывания паролей системный администратор обязан настроить механизм блокировки учетной записи при трехкратном неправильном вводе пароля.
Разблокирование учетной записи пользователя осуществляется системным администратором на основании заявки владельца учетной записи.
Административный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная системному администратору (администратору БД, администратору приложения), используемая при настройке служебных учетных записей, учетных записей служб и сервисов, а также специальных учетных записей.
7. Локальные учетные записи
Локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования сотрудниками ДИТ при настройке системы и не предназначены для повседневной работы.
Создание и использование локальных учетных записей на рабочих станциях, подключенных к ВС "ИСТОК" и входящих в состав домена DOMAIN.RU либо в состав какого-либо из его поддоменов, - запрещены.
Встроенная учетная запись Guest (гость) должна быть заблокирована на всех рабочих станциях в составе ВС "ИСТОК" при первоначальном конфигурировании операционной системы.
8. Специальные учетные записи
К специальным учетным записям относятся: реквизиты доступа к активному сетевому оборудованию, учетные записи для доступа к базам данным, а также все учетные записи, реквизиты которых не хранятся в едином каталоге AD.
Создание специальных учетных записей производится системным администратором в порядке и на основаниях, предусмотренных п. 4 настоящей Инструкции.
Реквизиты специальных учетных записей (Login и пароль) должны храниться в запечатанном конверте у руководителя ДИТ.
При изменении реквизитов специальной учетной записи новые реквизиты запечатываются в конверт и сдаются на хранение руководителю департамента ИТ, а конверт со старыми реквизитами уничтожается.
Источник - "Кадровик. Кадровое делопроизводство", 2010, № 10