|  Документ  |  Обсуждение  |  Править  |  История  | 

Материал из SecurityPolicy.ru

Содержание 1 1. Общие положения 2 2.Основные термины, сокращения и определения 3 3. Порядок использования сети Интернет 4 4. Ответственность 5 5. Внесение изменений и дополнений 6 Приложение 1 – Заявка на предоставление работнику "ВАША ОРГАНИЗАЦИЯ" доступа к сети Интернет 7 Приложение 2 - Регламент применения категорий Интернет-ресурсов

[править] 1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральным законом № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью» и другими нормативными правовыми актами, и устанавливает порядок использования сети Интернет работниками "ВАША ОРГАНИЗАЦИЯ" (далее Организация).

1.2. Действие настоящего Положения распространяется на работников Организации, подрядчиков и третью сторону.

[править] 2.Основные термины, сокращения и определения

1. Администратор ИС – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО.
2. Адрес IP – уникальный идентификатор АРМ, подключенного к ИС Организации, а также сети Интернет.
3. АРМ – автоматизированное рабочее место пользователя (персональный компьютер с прикладным ПО) для выполнения определенной производственной задачи.
4. Интернет – глобальная ИС, обеспечивающая удаленный доступ к ресурсам различного содержания и направленности.
5. ИБ – информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
6. ИС – информационная система Организации – система, обеспечивающая хранение, обработку, преобразование и передачу информации Организации с использованием компьютерной и другой техники.
7. ИТ – информационные технологии – совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации Организации с использованием средств компьютерной и другой техники.
8. Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
9. ПК – персональный компьютер.
10. ПО – программное обеспечение вычислительной техники, базы данных.
11. ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
12. ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
13. Пользователь – работник Организации, использующий ресурсы Интернет для выполнения своих должностных обязанностей.
14. Организация – "ВАША ОРГАНИЗАЦИЯ".
15. Регламент – документ «Регламент применения категорий Интернет-ресурсов». Содержит перечень групп категорий Интернет-ресурсов доступ к которым пользователям разрешен.
16. Реестр – документ «Реестр разрешенного к использованию ПО». Содержит перечень коммерческого ПО, разрешенного к использованию в Организации.
17. Третья сторона – лицо или организация, считающаяся независимой по отношению к Организации.

[править] 3. Порядок использования сети Интернет

3.1. Доступ к сети Интернет предоставляется ограниченному кругу работников Организации в целях выполнения ими своих служебных обязанностей, требующих непосредственного подключения к внешним информационным ресурсам.

3.2. Для доступа работников Организации к сети Интернет допускается применение коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.

3.3. Операции по предоставлению доступа работников Организации к сети Интернет и контролю его использования выполняются непосредственно (при участии) администраторами ИС.

3.4. Доступ работнику Организации к сети Интернет может быть инициирован Руководителем структурного подразделения в случаях:

• необходимости организации АРМ для нового работника;
• необходимости выполнения работника новых (дополнительных) обязанностей, для которых требуется доступ к внешним ресурсам.

3.5. Процесс предоставления доступа работника Организации к сети Интернет состоит из следующих этапов:

3.5.1. Подача заявки в утвержденной форме на подключение работника Организации к сети Интернет осуществляется Руководителем структурного подразделения на имя Руководителя Организации.

3.5.2. Подготовленная заявка согласовывается с начальником отдела ИТ с целью получения заключения о технической возможности подключения АРМ работника к сети Интернет.

3.5.3. В случае согласования с Руководителем Организации заявки ее оригинал передается в отдел ИТ для выполнения настроек на узле централизованного доступа к сети Интернет Организации.

3.5.4. Подключение АРМ работника выполняется на месте специалистами отдела ИТ.

3.6. АРМы, используемые для обработки критичной информации, не могут быть подключены к сети Интернет.

3.7. При использовании сети Интернет необходимо:

3.7.1. Соблюдать требования настоящего Положения.

3.7.2. Использовать сеть Интернет исключительно для выполнения своих служебных обязанностей.

3.7.3. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.

3.8. При использовании сети Интернет запрещено:

3.8.1. Использовать предоставленный Организацией доступ в сеть Интернет в личных целях.

3.8.2. Использовать специализированные аппаратные и программные средства, позволяющие работникам Организации получить несанкционированный доступ к сети Интернет.

3.8.3. Совершать любые действия, направленные на нарушение нормального функционирования элементов ИС Организации.

3.8.4. Публиковать, загружать и распространять материалы содержащие:

3.8.4.1. Конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности и способ передачи является безопасным, согласованным с администраторами ИС заранее.

3.8.4.2. Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.

3.8.4.3. Вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности любых аппаратных и программных средств, для осуществления несанкционированного доступа, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным Интернет-ресурсам, а также ссылки на вышеуказанную информацию.

3.8.4.4. Угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.

3.8.5. Фальсифицировать свой IP-адрес, а также прочую служебную информацию.

3.9. Организация оставляет за собой право блокировать или ограничивать доступ пользователей к Интернет-ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством.

3.10. Блокирование и ограничение доступа пользователей к Интернет-ресурсам осуществляется на основе Регламента применения категорий Интернет-ресурсов.

3.11. Информация о посещаемых работниками Организации Интернет-ресурсах протоколируется для последующего анализа и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а также Руководству Организации для контроля.

3.12. При подозрении работника Организации в нецелевом использовании сети Интернет инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем Организации.

3.13. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.

3.14. Содержание Интернет-ресурсов, а также файлы, загружаемые из сети Интернет, подлежат обязательной проверке на отсутствие вредоносного ПО.

[править] 4. Ответственность

4.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Организации.

[править] 5. Внесение изменений и дополнений

5.1. Изменения и дополнения в настоящее Положение вносятся работниками отдела ИТ по указанию начальника отдела, и после согласования с Руководителями служб Организации утверждаются приказом Руководителя Организации.

5.2. Все изменения и дополнения настоящего Положения вступают в силу с момента их утверждения.

[править] Приложение 1 – Заявка на предоставление работнику "ВАША ОРГАНИЗАЦИЯ" доступа к сети Интернет

ЗАЯВКА на предоставление работнику "ВАША ОРГАНИЗАЦИЯ" доступа к сети Интернет   Руководителю "ВАША ОРГАНИЗАЦИЯ"     "___"______________ 20___ года     В связи с возникшей производственной необходимостью, прошу предоставить доступ к сети Интернет следующему работнику:     (ФИО)   (должность)   (структурное подразделение)   (номер служебного телефона)   (перечень задач, решаемых с использованием сети Интернет)             Руководитель:   (наименование структурного подразделения) "___" _____________ 20___ г.     (подпись)   (фамилия и инициалы) Согласовано:

[править] Приложение 2 - Регламент применения категорий Интернет-ресурсов

1. Регламент применения категорий Интернет-ресурсов является неотъемлемой частью положения об использовании сети Интернет.

2. Доступ пользователей к сети Интернет предоставляется на основе групп категорий Интернет-ресурсов.

3. Выделяется 5 групп категорий Интернет-ресурсов:

3.1. Группа 1 – Базовая – категории сайтов доступные по-умолчанию:

3.2.1. Юриспруденция.

3.2.2. Бизнес и экономика.

3.2.3. Образование.

3.2.4. Политика.

3.2.5. Здоровье.

3.2.6. Поисковые системы.

3.2.7. Сети доставки контента.

3.2.8. Динамический контент.

3.2.9. Новости.

3.2.10. Общественные организации.

3.2.11. Путешествия.

3.2.12. Транспорт.

3.2. Группа 2 – Средства коммуникации – все категории Интернет-ресурсов доступные группе 1, а также дополнительные категории:

3.2.1. Интернет-телефония.

3.2.2. Обмен мгновенными сообщениями.

3.2.3. Веб-чаты.

3.2.4. Общедоступная электронная почта.

3.2.5. Обмен текстовыми и мультимедиа сообщениями.

3.3. Группа 3 – Информационные технологии – все категории Интернет-ресурсов доступные группе 2, а также дополнительные категории:

3.3.1. Безопасность.

3.3.2. Пиринговые сети.

3.3.3. Хранилища информации и резервное копирование.

3.3.4. Потоковый аудио и видео контент.

3.4. Группа 4 – Расширенный доступ – все категории Интернет-ресурсов доступные группе 3, а также дополнительные категории по специальному запросу.

3.5. Группа 5 – Разрешено все.

4. Предоставление пользователям доступа к сети Интернет на основе той или иной группы категорий Интернет-ресурсов осуществляется администраторами ИС на основе информации, указанной Руководителем структурного подразделения в заявке.