Положение об использовании информационной системы

1.1. Настоящее Положение устанавливает порядок использования информационной системы работниками «ВАША ОРГАНИЗАЦИЯ» (далее Организация).

1.2. Действие настоящего Положения распространяется на работников Организации, подрядчиков и третью сторону.

• Администратор ИС – технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО.
• АРМ – автоматизированное рабочее место пользователя (персональный компьютер с прикладным ПО) для выполнения определенной производственной задачи.
• ИБ – информационная безопасность – комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
• ИС – информационная система Организации – система, обеспечивающая хранение, обработку, преобразование и передачу информации Организации с использованием компьютерной и другой техники.
• ИТ – информационные технологии – совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации Организации с использованием средств компьютерной и другой техники.
• Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
• ПК – персональный компьютер.
• ПО – программное обеспечение вычислительной техники, базы данных.
• ПО вредоносное – ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
• ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
• Пользователь – работник Организации, использующий ресурсы информационной системы для выполнения своих должностных обязанностей.
• Право на доступ - Совокупность правил, регламентирующих порядок и условия доступа пользователя ИС к ее ресурсам.
• Привилегия на доступ - Исключительное право на доступ к ресурсам ИС.
• Организация – «ВАША ОРГАНИЗАЦИЯ».
• Реестр – документ «Реестр разрешенного к использованию ПО». Содержит перечень коммерческого ПО, разрешенного к использованию в Организации.
• Третья сторона – лицо или организация, считающаяся независимой по отношению к Организации.
• Учетная запись - Информация о пользователе ИС: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.).

3.1. ИС используется для обмена в рамках Организации служебной информацией в виде электронных сообщений и документов в электронном виде.

3.2. В ИС Организации допускается применение коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.

3.3. Для контроля функционирования ИС Организации и выполнения требований настоящего Положения Руководителем отдела ИТ назначаются ответственные лица из числа администраторов ИС.

3.4. Доступ к ресурсам ИС Организации имеют только зарегистрированные пользователи, ознакомившиеся с требованиями внутренних организационно-распорядительных документов Организации по ИБ.

3.5. Процедура регистрации (создание учетной записи) работника Организации в ИС может быть инициирована Руководителем структурного подразделения в случаях:

• необходимости организации АРМ для нового работника;
• необходимости выполнения работниками новых (дополнительных) обязанностей, для которых требуется доступ к ИС.

3.6. Процесс регистрации работника Организации в ИС состоит из следующих этапов:

3.6.1. Подача заявки в утвержденной форме на подключение работника Организации к ИС осуществляется Руководителем структурного подразделения на имя Руководителя Организации.

3.6.2. В случае согласования Руководителем Организации заявки ее оригинал передается в отдел ИТ для регистрации учетной записи пользователя в ИС Организации – пользователю присваивается уникальный идентификатор, выдается временный пароль, предоставляются минимальные для выполнения служебных обязанностей права и привилегии (при необходимости) на доступ к ресурсам ИС.

3.6.3. Подключение АРМ работника к ИС Организации выполняется на месте специалистами отдела ИТ.

3.7. В рамках ИС Организации осуществляется регулярный пересмотр прав доступа (1 раз в 6 месяцев) и привилегий (1 раз в 3 месяца) пользователей.

3.8. При получении информации от Руководителя структурного подразделения об увольнении или смене должности работника Организации права и привилегии на доступ к ресурсам ИС отзываются, учетная запись удаляется или блокируется.

3.9. При использовании ИС Организации необходимо:

3.9.1. Знать требования внутренних организационно-распорядительных документов Организации по ИБ.

3.9.2. Иметь первоначальные навыки использования АРМ и ИС Организации.

3.9.3. Использовать ИС Организации исключительно для выполнения своих служебных обязанностей.

3.9.4. Рассматривать исполнение требований ИБ, устанавливаемых администраторами ИС, как обязательное условие продолжения своей работы в ИС Организации.

3.9.5. Ставить в известность администраторов ИС о любых фактах нарушения требований ИБ.

3.9.6. Ставить в известность администраторов ИС о любых фактах сбоев ПО, некорректного завершения значимых операций, а также повреждения технических средств.

3.9.7. Незамедлительно выполнять предписания администраторов ИС Организации.

3.9.8. Незамедлительно предоставлять АРМ администраторам ИС Организации для контроля.

3.9.9. При необходимости прекращения работы на некоторое время корректно закрывать все активные задачи, блокировать АРМ.

3.9.10. В случае необходимости продолжения работы по окончании рабочего дня проинформировать об этом администратора ИС.

3.10. При использовании ИС Организации запрещено:

3.10.1. Использовать АРМ и ИС Организации в личных целях.

3.10.2. Передавать:

3.10.2.1. Конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности и способ передачи является безопасным, согласованным с администраторами ИС заранее.

3.10.2.2. Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.

3.10.2.3. Информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также осуществить несанкционированный доступ, а также ссылки на вышеуказанную информацию.

3.10.2.4. Угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.

3.10.3. Самовольно вносить изменения в конструкцию, конфигурацию, размещение АРМ и других узлов ИС Организации.

3.10.4. Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему АРМ.

3.10.5. Запускать на АРМ ПО, не входящее в Реестр разрешенного к использованию ПО.

3.10.6. Защищать информацию, способами не согласованными с администраторами ИС заранее.

3.10.7. Осуществлять поиск средств и путей повреждения, уничтожения технических средств и ресурсов ИС или осуществлять попытки несанкционированного доступа к ним.

3.10.8. Использовать для выполнения служебных обязанностей локальные учетные записи АРМ.

3.11. Информация о посещаемых ресурсах ИС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а так же Руководству Организации.

3.12. При подозрении работника Организации в нецелевом использовании ИС инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководством Организации.

3.13. По факту выясненных обстоятельств составляется Акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно внутренним положениям и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.

3.14. Все электронные сообщения и документы в электронном виде, передаваемые посредством ИС Организации подлежат обязательной проверке на отсутствие вредоносного ПО.

4.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и организационно-распорядительными документами Организации.

5.1. Изменения и дополнения в настоящее Положение вносятся работниками отдела ИТ по указанию начальника отдела, и после согласования с Руководителями служб Организации утверждаются приказом Руководителя Организации.

5.2. Все изменения и дополнения настоящего Положения вступают в силу с момента их утверждения.