Регламентация допуска и использования конфиденциальных информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях. Также устанавливается система разграничения доступа, которая предполагает определение для всех пользователей ККС информационных и программных ресурсов (в рамках АС или более детально), доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Допуск сотрудников подразделений ОАО «СИБИРЬТЕЛЕКОМ» к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем ККС должны производиться установленным порядком согласно «Инструкция по внесению изменений в списки пользователей ККС и наделению их полномочиями доступа к ресурсам системы». Основными пользователями информации в ККС ОАО «СИБИРЬТЕЛЕКОМ» являются сотрудники его структурных подразделений. Уровень полномочий каждого пользователя определяется на основе типовых ролей пользователей. Один пользователь может иметь сразу несколько ролей.

При организации доступа необходимо соблюдать следующие требования:

  • открытая и конфиденциальная информация, информация, составляющая коммерческую тайну, размещаются по возможности на разных информационных ресурсах (это упрощает обеспечение защиты);
  • каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
  • сотрудник службы информационной безопасности имеет право на просмотр, контроль и визирование уровней доступа пользователей к информационным ресурсам, но не имеет доступа к изменению уровней доступа, а также к информации, данным уровнем предоставляемой;
  • при выполнении наиболее ответственных технологических операций, правильность введенной информации подтверждается иным должностным лицом (вышестоящим, или специально выделенным для данной операции и не имеющим права ввода информации).

Все сотрудники ОАО «СИБИРЬТЕЛЕКОМ», допущенные к работе (пользователи) и обслуживающий персонал ККС (информационные посредники), должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы.

При подключении пользователя (потребителя) к конкретному информационному ресурсу (АС, база данных, информационный каталог и т.п.), и  до начала его работ с ним,  необходимо ознакомить пользователя с:

  • перечнем конфиденциальной информации и информации, составляющей коммерческую тайну, расположенной или обрабатываемой данным информационным ресурсом, в части касающейся пользователя. Ознакомление производится «под роспись»;
  • уровнем полномочий пользователя и его действиями в случае обнаружения фактов непреднамеренного или преднамеренного доступа к конфиденциальной информации и информации, составляющей коммерческую тайну. Ознакомление производится «под роспись»;
  • организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации;
  • особыми требованиями по обработке конфиденциальной информации и информации, составляющей коммерческую тайну, (в случае их наличия). Ознакомление производится «под роспись».

Обработка защищаемой информации в подсистемах ККС ОАО «СИБИРЬТЕЛЕКОМ» должна производиться в соответствии с утвержденными технологическими инструкциями для данных подсистем.

Для пользователей защищенных рабочих станций (то есть рабочих станций, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

При увольнении сотрудника, или его переводе на другую должность, все текущие права допуска к защищаемой информации блокируются. Доступ сотрудника к защищаемым информационным ресурсам, в случае его перевода на иную должность, осуществляется в соответствии с «Инструкцией по внесению изменений в списки пользователей ККС и наделению их полномочиями доступа к ресурсам системы».

Ссылка на основную публикацию
Adblock detector