Защита и конфиденциальность информации
1. Защита информации это сложный процесс, который зависит как от функционирования информационной системы, так и от пользователя. Взаимодействие пользователя и системы – обязательное условия надежной защиты информации. В рамках этого взаимодействия каждый пользователь должен соблюдать нижеуказанные правила.
2. Все рабочие данные являются собственностью Компании и не могут быть предоставлены в общий доступ или опубликованы за пределами Информационной системы без получения на это специального разрешения. Компетентным лицом, выдающим такие разрешения в отношении рядовых сотрудников, является Руководитель отдела, а в отношении руководящих кадров Генеральный директор компании.
3. Доступ в информационную систему Компании предусматривает создание сетевого счета. Создание сетевого счета производится в следующем порядке:
3.1. Руководитель отдела (заявитель) подает Главному бухгалтеру заявление о создании счета в информационной системе Компании. Подавать заявления такого рода имеют право исключительно руководители отделов и только в отношении подчиненных непосредственно им сотрудников. Заявление должно быть составлено по соответствующей форме, содержащийся в Приложении №3 к данной процедуре.
3.2. Главный бухгалтер проверяет правильность оформления заявления и выясняет с Заявителем все возможные неточности или неясные моменты. Неправильно или неоднозначно заполненное заявление не принимается к рассмотрению.
3.3. После подписания Заявления Главным Бухгалтером, оно передается IT Специалисту.
3.4. IT Специалист создает счет в соответствии со спецификацией, содержащейся в заявлении. Счету присваивается временный пароль.
3.5. IT Специалист, создающий новый счет, сообщает пользователю название счета и временный пароль. Сообщение этой информации производится с соблюдением процедуры конфиденциальности. Пользователя следует поставить в известность об обязанности срочного изменения пароля и хранения этого пароля без передачи его другим лицам.
3.6. IT Специалист, создающий новый счет, сообщает подателю заявления об окончании процедуры создания нового счета. Заявление передается для хранения в архиве.
4. Никому нельзя сообщать пароль своего сетевого счета, так как это может привести к несанкционированному доступу неуполномоченных лиц к конфиденциальным данным. Следует использовать пароль, который сложно отгадать (пароль не может быть словом, заглавные и прописные буквы, цифры и т.п.) Информационная система предусматривает минимальную длину пароля - 6 знаков и минимальную частоту смены пароля - 90 дней.
5. В случае неправильных изменений вследствие несанкционированного доступа и использования сетевого счета в информационной системе Компании, ответственность за это несет владелец этого счета, без учета того, кто фактически ввел неправильные изменения.
6. Все ресурсы сети Компании обеспечены системой прав доступа. Использование этих ресурсов требует предоставления пользователю соответствующих прав. Предоставление или изменение всех прав доступа к ресурсам информационной системы Компании производится в следующем порядке:
6.1. Руководитель отдела (Заявитель) предоставляет Главному бухгалтеру заявление о предоставлении или изменении прав доступа в информационной системе Компании. Заявителями могут быть только руководители отделов и исключительно в отношении подчиненных непосредственно им сотрудников. Заявление должно быть составлено по соответствующей форме в соответствии с Приложением №4. Если заявление касается предоставления прав доступа в «1С – Предприятие» – применяется процедура, указанная в п. 12.5 настоящей Процедуры.
6.2. Главный бухгалтер проверяет правильность заявления и выясняет с Заявителем все возможные неточности или неясные моменты. Неправильно или неоднозначно заполненное заявление не будет принято к рассмотрению.
6.3. После подписания Заявления Главным Бухгалтером Компании, оно направляется для исполнения IT Специалисту.
6.4. Специалисты предоставляет или изменяет права доступа в соответствии со спецификацией, указанной в заявлении.
6.5. Лицо, предоставляющее или изменяющее права доступа, сообщает заявителю и пользователю о завершении процедуры предоставления или изменения прав доступа.
7. Для создания/изменения параметров почтовых ящиков предусмотрена процедура аналогичная, описанной в пунктах 9.3, 9.6, 9.8. Форма заявления приведена в Приложении №4.
8. В случае прекращения трудовых отношений между Компанией и работником, имеющим счет в информационной системе, непосредственный руководитель отдела обязан незамедлительно предоставить заявление об удалении счета пользователя из информационной системы. Удаление счета из информационной системы Компании производится в следующем порядке:
8.1. Руководитель отдела (Заявитель) предоставляет Главному бухгалтеру заявление об удалении счета из информационной системы Компании. Подавать заявление имеют право только руководители отделов и исключительно в отношении подчиненных непосредственно им сотрудников. Заявление должно быть составлено по соответствующей форме, приведенной в Приложении №6.
8.2. Главный бухгалтер проверяет правильность заявления и выясняет с заявителем все возможные неточности или неясные моменты. Неправильно или неоднозначно заполненное заявление не принимается к рассмотрению.
8.3. После подписания Заявления Главным Бухгалтером Компании, оно передается для исполнения IT Специалисту.
8.4. IT Специалист удаляет счет в соответствии со спецификацией, указанной в заявлении.
8.5. IT Специалист, удаляющий счет, уведомляет заявителя о завершении процедуры удаления счета. Заявление передается на хранение в архив.
9. Отходя от компьютера во время работы, следует заблокировать клавиатуру (клавиши Ctrl+Alt+Del -> Блокировка рабочей станции). Следует использовать опции обеспечения безопасности – пароль «Screen saver» или опцию автоматического включения «Screen saver» по истечении нескольких минут отсутствия активности пользователя.
10. Нельзя оставлять носители информации (дискеты, компакт-диски, Flash-накопители) в дисководах в то время, когда они не используются. Носители информации следует беречь от механических повреждений. Не следует хранить дискеты рядом с мониторами, динамиками или иными источниками электромагнитного излучения. Носители информации, содержащие конфиденциальные данные, следует хранить в закрытом месте с целью предотвращения несанкционированного доступа к ним других лиц.
11. Нельзя хранить важную информацию на локальном диске С. Все важные или конфиденциальные данные должны храниться в папке «Мои документы».
12. Нельзя размещать конфиденциальные или важные данные на сервере в папке «USER».