УТВЕРЖДАЮ - Чебоксарский электроаппаратный завод

реклама
УТВЕРЖДАЮ
Генеральный директор
ОАО
"ЧЭАЗ"
______________
" ____" __________ 2002 года
Положение
о порядке представления доступа руководителей и специалистов
ОАО «ЧЭАЗ» к информационным ресурсам сети Интернет.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение
регламентирует порядок представления доступа
руководителей и специалистов ОАО «ЧЭАЗ» к информационным ресурсам сети Интернет
( далее “Доступ”).
1.2. Каналы доступа к глобальной сети Интернет являются незащищенным
техническим каналом связи.
1.3. Термины и определения, используемые в настоящем Положении, приведены в
приложении 1. к настоящему документу и обозначены значком *.
2. РЕЖИМЫ РАБОТЫ И ОГРАНИЧЕНИЯ ИСПОЛЬЗОВАНИЕ РЕСУРСОВ
2.1. Доступ к ресурсам Интернет осуществляется в рабочее время согласно
установленному на ОАО «ЧЭАЗ» режиму работы.
2.2. Ограничения использования ресурсов Интернет касаются:
- уровня предоставляемых полномочий.
- содержания получаемой и отправляемой информации.
- количества перекачиваемой информации ( лимит трафика* ).
- времени работы ( режима работы )
Лимит трафика устанавливается по согласованию с руководителями структурных
подразделений и определяется исходя из:
- статистического анализа использованного подразделением и конкретным
пользователем трафика.
- финансовых ограничений
- соответствия извлеченной из сети Интернет информации и служебной
потребности этой информации.
2.3. ОСНОВАНИЯ ДОСТУПА К РЕСУРСАМ ИНТЕРНЕТ
2.4. Главным критерием доступа и установления отношений с конкретными видами
ресурсов является служебная необходимость доступа *.
При этом служебная необходимость должна находиться в рамках утвержденных
должностных обязанностей или иных документально оформленных служебных
распоряжений и поручений.
2.5. Пользователи к ресурсам сети Интернет допускаются для:
- Поиска и извлечения из сети Интернет информации по причине служебной
необходимости
- Приема и передачи документированной служебной информации.
3. ПОРЯДОК ОФОРМЛЕНИЯ ДОСТУПА
3.1. Для получения доступа:
3.1.1. Руководитель структурного подразделения оформляет заявку на
использование ресурсов сети Интернет по форме 1 приложения 3 к Положению и
направляет ее в адрес начальника Управления Документационного Обеспечения (УДО) владельца системой управления доступом к упомянутым ресурсам.
3.1.2. В заявке должны быть указаны:
- служебная необходимость доступа*
- полномочия пользователя.*
- примерный объем трафика (Мб в месяц) по каждому из указанных
сервисов.
3.1.3. Сотруднику подразделения, получающему доступ, подписать
- Договор об обращении с ресурсами информационной сети * ( Приложение
2)
- Инструктаж по получению необходимых навыков и знаний использования
сети Интернет
3.1.4. Владельцу запрашиваемых ресурсов определить необходимый для указанной
служебной необходимости вид доступа и полномочия для пользователя.
Результат решения оформляется в виде наряда ( Форма 2, Приложение 4 ) на
подключение к сети Интернет.
В решении указывается:
- перечень доступных сервисов * ( почта, WWW, новости и др. )
- для каждого сервиса:
 необходимый лимит трафика (Мб в месяц)
 уровень доступа *
 при необходимости – график работы в сети.
3.1.5. Администратор * ресурсов высокоскоростной системы доступа к ресурсам сети
Интернет (ВДИ) согласно наряду предоставляет доступ пользователя к указанным
ресурсам.
ОРГАНИЗАЦИИ УЧЕТА ДОСТУПА К РЕСУРСАМ ИНТЕРНЕТ.
Учет доступа к ВДИ осуществляет администратор ресурса.
Учет доступа к ресурсам Интернет включает
организацию работ по ведению карточек, регламентирующих доступ к ресурсам
Интернет.
- автоматизированный учет обращений к ресурсам Интернет.
- ведение учетных записей и прав пользователей и групп.
4.
4.1.
4.2.
-
5. ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ
5.1. Пользователь имеет право
- получать из, сети Интернет информацию для исполнения своих служебных
обязанностей и реализации задач подразделения, которое он представляет.
- получать от администратора статистические данные об объеме переданной и
принятой им информации за определенный период времени.
- подавать заявку на выделение дополнительного трафика, если это связано со
служебной необходимостью.
5.2. Пользователь обязан:
- ознакомиться с настоящим Положением, пройти инструктаж об обращении с
ресурсами сети Интернет и получить личные атрибуты доступа (имя, пароль) до
начала работы на компьютерном оборудовании
- устанавливать личный пароль доступа (если пользователю предоставлена
возможность изменять пароль)
- не изменять конфигурацию ПК и настройки программного обеспечения, бережно
относится к аппаратным средствам и сетевому оборудованию, соблюдать правила
их эксплуатации.
- рационально использовать выделенный трафик, не допускать извлечения из сети
Интернет избыточной информации ( рисунки, графики, мультимедийные
ресурсы и т.д. ), а также информации, не связанной со служебной
необходимостью.
- выполнять требования администратора доступа и работников бюро защиты
информационных ресурсов и систем ( далее –). БЗИРиС
- по запросу сетевого администратора или работников БЗИРиС предоставлять
корректную информацию о конфигурации ПК, об используемых сетевых
программах, о пользователях имеющих доступ к ПК для обеспечения безопасного
функционирования его ПК в сети Интернет.
- предоставлять доступ к ПК сотрудникам УИС и бюро защиты информации для
проверки исправности и соответствия установленным правилам работы,
- содействовать сотрудникам УИС и бюро защиты информации в выполнении ими
своих служебных обязанностей,
- знать и соблюдать требования действующего законодательства об
ответственности за правонарушения в компьютерной сфере (ст. 272,273,274 УК
Российской Федерации), а также внутренних нормативных документов и
принятых на себя договорных обязательств в части обеспечения сохранности
информационных ресурсов.
- соблюдать во время работы в сети и Интернет сетевой этикет и общепринятые
морально-этические нормы и не допускать своими действиями нанесения ущерба
репутации ОАО “ЧЭАЗ”.
- сообщать администраторам о сбоях в нормальном функционировании
программного обеспечения.
5.3. Пользователям запрещается:
- использовать оборудование для деятельности, не предусмотренной Уставом
завода и должностной инструкцией,
- создавать помехи работе других пользователей, помехи работе компьютеров и
сети, злоупотреблять электронной почтой, нарушать общепринятые моральноэтические нормы,
- устанавливать без разрешения специалистов УИС и БЗИРиС на персональных
компьютерах любое ПО, полученное из сети Интернет.
- вмешиваться в работу антивирусного ПО на своем ПК.
6. ОТВЕТСТВЕННОСТЬ ПОЛЬЗОВАТЕЛЕЙ
6.1. Пользователи использующие ресурсы Интернет несут ответственность за
отправку в сеть Интернет сведений ограниченного распостранения, а также информации,
несанкционированной лицами, имеющими право подписи исходящих документов.
6.2. Пользователи несут ответственность за
- превышение установленного лимита трафика
- использование ресурсов, не связанных со служебной необходимостью
- нарушение пунктов Договора* о порядке обращения с ресурсами, приведшее или
могущее привести к утечке конфиденциальной информации или информации,
отнесенной к коммерческой тайне.
- использование программного обеспечения, не отвечающего требованиям
безопасности при работе в сети Интернет.
- отключение средств антивирусной защиты.
6.3. При совершении нарушений п.п. 6.2 пользователь может быть лишен доступа к
ресурсам сети Интернет и подключен после устранения причин, приведших к
нарушениям.
По требованию владельца ресурса пользователь обязан письменно представить
объяснение причин, приведших к нарушению указанных пунктов.
7.
7.1.
7.2.
-
КОНТРОЛЬ НАД ПОРЯДКОМ ОБРАЩЕНИЯ С РЕСУРСАМИ СЕТИ
ИНТЕРНЕТ.
Контроль осуществляется в целях:
обеспечения безопасности корпоративной сети ОАО “ЧЭАЗ”
предотвращения утечки служебной конфиденциальной информации и
коммерческой тайны
обеспечения соблюдения договора о предоставлении услуг пользования сетью
Интернет между провайдером и предприятием
установления причин выявленных недостатков и нарушений требований
настоящего Положения и выработки мероприятий по их устранению.
Функции контроля по существу возлагаются на
Бюро по защите информационных ресурсов и систем УДО.
руководителей структурных подразделений в части передачи и извлечения
информации, необходимой для выполнения служебных обязанностей.
Приложение 1
к “Положению о порядке представления доступа руководителей и
специалистов ОАО «ЧЭАЗ» к информационным ресурсам сети Интернет”.
Термины и определения:
1. Ресурсы сети Интернет:
a. Аппаратные и программные средства управления серверами и доступом к
ресурсам обособленных ЛВС и сегментов корпоративной информационной
системы
b. Кабельные и телефонные линии связи, сетевое оборудование связи
c. Информационные ресурсы, представленные в корпоративной сети в виде
отдельных документов или массивов документов.
d. Электронная почта сети Интернет
2. Сервис Интернета – способ передачи информации. Основные виды сервисов:
a. Почта Интернет
b. WWW – страницы
c. Новости
d. специальные виды передачи данных ( в т.ч. шифрованные каналы,
протоколы управления сервисами и серверами и др.)
3. Трафик пользователя – количество получаемой и передаваемой пользователем
информации в сети Интернет за определенный период времени ( МБ ).
4. Владелец ресурсов – руководитель подразделения, на которого возложены
обязанности по обеспечению функционирования и управления доступом к
ресурсам сети Интернет.
5. Администратор ресурсов – специалист, на которого возложены обязанности по
непосредственному управлению и обеспечению доступа к ресурсам сети
Интернет.
6. Служебная необходимость доступа – необходимость использования данного
ресурса для выполнения утвержденных должностных обязанностей или иных
поручений.
7. Полномочия пользователя – право пользователя осуществлять работы по видам
сервисов, используемых в сети Интернет ( почта, WWW, новости и др. ),
управление этими сервисами.
8. Договор об обращении с ресурсами информационной сети – взаимные
обязательства между пользователем и ОАО “ЧЭАЗ” по вопросам соблюдения
установленного порядка обращения и обеспечения безопасности ресурсов
корпоративной сети и сети Интернет.
9. Уровень доступа – перечень прав пользователя для определенного сервиса.
Приложение 2
к “Положению о порядке представления доступа руководителей и
специалистов ОАО «ЧЭАЗ» к информационным ресурсам сети Интернет”.
ДОГОВОР
Настоящий договор заключен между открытым акционерным обществом «Чебоксарский
электроаппаратный завод» в лице генерального директора Соколова Николая Николаевича (далее
«Работодатель») с одной стороны и _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ (далее «Работник») с другой стороны на выполнение установленного
порядка обращения с ресурсами информационных систем, в том числе с коммерческой и служебной
тайной в ОАО «ЧЭАЗ».
2. Данный договор является неотъемлемой частью ранее заключенного трудового соглашения между
договаривающимися сторонами и дополняет его в вопросах обеспечения защиты ресурсов
информационных систем.
3. ОАО «ЧЭАЗ» подтверждает, что настоящий договор связан только с защитой ресурсов информационных
систем. Действие договора распространяется на весь период работы (обращения) работника с
коммерческой и служебной тайной, а также в течение одного года после его окончания.
4. Работник обязуется:
4.1. Соблюдать Положение о правах и обязанностях пользователей корпоративной сети ОАО "ЧЭАЗ"
4.2. Сообщить немедленно руководителю цеха (отдела), а также службе по защите ресурсов
информационных систем ОАО «ЧЭАЗ»:
- о попытке посторонних лиц получить от него сведения, содержащиеся в ресурсах
информационных систем и составляющие коммерческую или служебную тайну;
- о несанкционированных действиях (попытках) посторонних лиц по уничтожению, модификации,
искажению, копированию, блокированию информации и других форм вмешательства в ресурсы
информационных систем ОАО «ЧЭАЗ»;
- об утрате или недостаче документов, машинных и других носителей коммерческой информации;
- о возможных или существующих каналах утечки сведений, составляющих коммерческую или
служебную тайну.
4.3. Выполнять относящиеся к нему требования действующих инструкций, положений,
распорядительных документов по вопросам обеспечения сохранности ресурсов информационных
систем ОАО «ЧЭАЗ».
4.4. Не использовать в свою личную пользу коммерческую и служебную тайну ОАО «ЧЭАЗ» в любой
деятельности, не связанной с выполнением служебных обязанностей.
4.5. Не устраиваться без согласия генерального директора или лица, им уполномоченного, на работу по
совместительству на другое предприятие, так как это может привести к невольной выдаче
коммерческой и служебной тайны ОАО «ЧЭАЗ».
4.6. Сохранять коммерческую и служебную тайну предприятий и организаций, с которыми ОАО «ЧЭАЗ»
имеет деловые отношения.
5. Работодатель обязуется:
5.1. Создать надлежащие условия для работы с ресурсами информационных систем ОАО «ЧЭАЗ», а
также механизм защиты этих ресурсов.
5.2. Своевременно доводить до сведения Работника требования инструкций, положений, приказов и
других нормативно-распорядительных документов по вопросам обеспечения сохранности
коммерческой и служебной тайны и других ресурсов информационных систем ОАО «ЧЭАЗ» в части
его касающейся.
6. В случае нарушения Работником своих обязанностей, установленных настоящим договором, и нанесения
в результате этих нарушений материального и морального ущерба ОАО «ЧЭАЗ», Работодатель вправе
привлечь Работника к дисциплинарной и материальной ответственности на основании Правил
внутреннего распорядка для работающих в ОАО «ЧЭАЗ», а в случаях нанесения крупного ущерба – к
административной и уголовной ответственности.
7. Взыскание причиненного ущерба с Работника производится по распоряжению Работодателя или по
решению суда из заработанной платы и любых других сумм в размерах, предусмотренных действующим
законодательством.
Настоящий договор составлен в двух экземплярах, первый экземпляр которого находится у
Работодателя (в отделе управления персоналом), второй – выдается на руки Работнику.
1.
Работодатель _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
(подпись, дата)
Работник_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
(подпись, дата, ФИО)
Приложение 3 Форма 1
к “Положению о порядке представления доступа руководителей и
специалистов ОАО «ЧЭАЗ» к информационным ресурсам сети
Интернет”.
Начальнику УДО ______________________________
фамилия, имя, отчество
З а я в к а
на оформление допуска к информационным ресурсам сети Интернет
Для выполнения работ, предусмотренных Положением
о__________________________________________________________________________________________
наименование подразделения – заявителя
(во исполнение) ______________________________________________________________________________
указываются номера и даты приказов или других распорядительно- управленческих документов на выполнение работ
просим Вас
1. Оформить ____________________________________________________________________ ,
фамилия, имя и отчество
пользователю домена __________________________________________________________________________
указываются наименования пункта регистрации пользователей (домен)
и работающему в ___________________________________________________________________________
фирма, подразделение
в должности____________________________________________________, табельный номер _____________
допуск к
___________________________________________________________________________________
наименование информационного ресурса, к которому предстоит подключить пользователя
2. В отношении упомянутого ресурса предоставить ему (ей) следующие полномочия:
____________________________________________________________________________________.
(чтение, редактирование, запись или прочее)
____________________________________________________________________________________.
с _____________________
по _________________________.
указываются крайние даты срока действия полномочий
Руководитель
структурного подразделения
_________________________________
расшифровка ФИО и должность
Заявка согласована
Начальник УДО
__________________________________
расшифровка ФИО должностного лица
Начальник Бюро по защите
информационных ресурсов и систем
_________________________________
Расшифровка ФИО должностного лица
3. Продлить срок действия полномочий
___________________________________________________________
с ________________________ по ________________________
указываются крайние даты срока действия полномочий
Руководитель
структурного подразделения
_________________________________
расшифровка ФИО и должность
Приложение 4 Форма 2
к “Положению о порядке представления доступа руководителей и специалистов ОАО
«ЧЭАЗ» к информационным ресурсам сети Интернет
Наряд № _____
на допуск к информационным ресурсам ___________________________________________________________
______________________
подразделение, ответственное за обеспечение сохранности ИР
наименование ЛВС
от «____» _________200 __года
1.
Сведения о пользователе
Место работы
( фирма , подразделение)
Фамилия, имя и отчество допускаемого
Занимаемая должность
Табельный номер
допускаемого
Сетевое имя
2. Сведения о состоянии допуска
Наименования ресурсов
№
п/п
1
1.
2
Основание для
допуска
Аннуляция
допуска
(полномочия)
Полномочия и сроки их действия допуска
Дата и
номер
заявки
на допуск
Подразде
ление
заявитель
Характер
полномочий
Установлены
на период
Допущен
дата
3
4
5
6
7
Продлены
Администратор,
производивший
допуск
8
Дата
продле
ния
9
Дата
причины
11
12
до
10
2.
Руководитель подразделения,
оформившего наряд
______________________________
ФИО руководителя подразделения
Скачать