J3qx

information archive

Регламент предоставления доступа к инфраструктурному оборудованию

Posted by j3qx на Август 27, 2016

Регламент предоставления доступа к инфораструктурному оборудованию

OOO «Фирма»

Редакция 1

Приложение. Журнал выдачи ключей к серверному помещению/телекоммуникационному шкафу    7

Цели и задачи

  1. Настоящий «Регламент предоставления доступа к инфраструктурному оборудованию ООО «Фирма» (далее – Регламент) развивает положения «Политики информационной безопасности ООО «Фирма» в части формирования процедуры физического доступа сотрудников ООО «Фирма» (далее – Компания) к оборудованию информационных систем Компании, размещенному в серверных помещениях/телекоммуникационных шкафах.
  2. Целью настоящего Регламента является минимизация рисков несанкционированного доступа к информационным системам Компании.
    1. Термины, определения и сокращения

    В настоящем документе определены следующие термины, определения, сокращения и роли:

    Телекоммуникационный шкаф – специализированная сборная либо сварная конструкция, используемая для размещения активного и/или пассивного серверного и телекоммуникационного оборудования.

    Серверное помещение — выделенное технологическое помещение со специально созданными и поддерживаемыми условиями для размещения и функционирования серверного и телекоммуникационного оборудования.

    Третье лицо – стажер, сотрудник сторонней организации, сотрудничающей с Компанией в рамках договора возмездного оказания услуг / подряда или иного договора, либо сотрудник контролирующих органов.

    Сотрудник
    – физическое лицо, вступившее в трудовые отношения с Компанией как с работодателем.

    Служба информационной безопасности (Служба ИБ) – подразделение, ответственное за обеспечение информационной безопасности. Отдел информационной безопасности Департамента информационных технологий.

    Охрана – сотрудники Компании либо Третье лицо, предоставляющее услуги охраны предприятия, обеспечивающие пропускной режим в Компании, сохранность материальных ценностей, а также предотвращающие несанкционированный доступ.

    Общие термины, определения и сокращения в области информационной безопасности приведены в документе «Политика информационной безопасности ООО «Фирма».

    1. Общие положения

  3. Серверное, сетевое и иное инфраструктурное оборудование должно размещаться в телекоммуникационных шкафах, недоступных для посторонних лиц. Все телекоммуникационные шкафы должны запираться на ключ, который хранится у охраны в опечатанной тубе.
  4. По возможности телекоммуникационные шкафы должны размещаться в серверных помещениях с ограниченным доступом. Серверные помещения должны запираться на ключ, который хранится у охраны в опечатанной тубе.
  5. В случае отсутствия физической охраны помещений Компании порядок по предоставлению доступа в серверные помещения/телекоммуникационные шкафы (п. 4 настоящей Политики), а также хранение ключей от серверных помещений/телекоммуникационных шкафов должен осуществлять:
    1. ответственный сотрудник отдела системного администрирования и пользовательской поддержки, в случае размещения помещения Компании в Москве;
    2. руководитель регионального подразделения, в случае размещения помещения Компании в регионах РФ.
  6. Помещения, где размещаются телекоммуникационные шкафы относятся к зоне высокой защищенности и оборудуются техническими средствами охраны в соответствии со Стандартом безопасности объектов ООО «Фирма».
    1. Порядок доступа

  7. В целях контроля доступа к инфраструктурному оборудованию Служба ИБ составляет список сотрудников Компании, имеющих право доступа к серверным помещениям/телекоммуникационным шкафам (далее — Список). Список согласовывается с руководителями подразделений Компании, занимающихся сопровождением оборудования, установленного в серверных помещениях/телекоммуникационных шкафах, и утверждается приказом управляющего директора.
  8. Оригинал приказа храниться в Службе ИБ. Копия приказа со Списком хранится у охраны.
  9. При необходимости предоставления на регулярной основе права доступа сотруднику, не входящему в Список, руководитель сотрудника отправляет заявку по электронной почте службе ИБ (isd@example.com) в свободной форме с указанием ФИО сотрудника, должности, причины необходимости включения в Список. Служба ИБ готовит изменения в приказ о предоставлении физического доступа к инфраструктурному оборудованию.
  10. В случае увольнения/перевода на другую должность сотрудника, включенного в Список, Служба ИБ готовит изменения в приказ о предоставлении физического доступа к инфраструктурному оборудованию.
  11. В случае необходимости проведения работ в серверном помещении/телекоммуникационном шкафу Третьим лицом, инициатор работ заранее отправляется уведомление в Службу ИБ на электронный ящик isd@example.com. Уведомление оправляется в свободной форме с обязательным указанием названия организации и ФИО работника, который будет проводить работы.
  12. Все лица, имеющие доступ к серверным помещениям/телекоммуникационным шкафам в обязательном порядке отмечаются при получении/возврате ключей в Журнале выдачи ключей к серверному помещению/телекоммуникационному шкафу (далее – Журнал,
    Приложение № 1), который хранится на охране.
  13. Перед заполнением сотрудником Журнала, охрана должна убедиться в том, что сотрудник имеет право доступа к серверному помещению/телекоммуникационному шкафу в соответствии с утвержденным Списком и предоставленным сотрудником удостоверением личности (постоянный пропуск ООО «Фирма», паспорт или иной документ с фотографией).
  14. После внесения всех данных в Журнал (кроме указания времени возврата ключей), охрана выдает сотруднику опечатанную тубу с ключами к серверному помещению/телекоммуникационному шкафу.
  15. Третьи лица должны сопровождаться одним из сотрудников, имеющих право доступа к серверному помещению/телекоммуникационному шкафу. В этом случае в Журнал заносится информация об организации и ФИО работника, который будет проводить работы.
  16. Сотрудник, по завершению необходимых работ, должен убедиться в надёжном закрытии дверей телекоммуникационного шкафа и серверного помещения (если имеется).
  17. По завершению необходимых работ сотрудник возвращает на охрану тубу с ключами. Туба опечатывается личной печатью сдавшего ее сотрудника. В Журнале записывается время возврата ключей охране.
  18. Журнал должен содержать данные, в которых отражаются дата, время получения/возврата ключей к серверному помещению/телекоммуникационному шкафу, цель доступа, ФИО, должность, подпись, а также ФИО работника и наименование организации для лиц не входящих в список на постоянный доступ к серверным помещениям/телекоммуникационным шкафам.
    1. Размещение оборудования на территории третьих лиц

  19. В случае размещения инфраструктурного оборудования в центрах обработки данных на территории Третьего лица, ответственность за контроль доступа к оборудованию Компании несет Третье лицо в рамках заключенного договора об оказании услуг.
  20. Процедура контроля доступа Третьего лица должна соответствовать следующим условиям:
    1. наличие регламента предоставления доступа в помещения, где размещено инфраструктурное оборудование Компании;
    2. наличие круглосуточного поста охраны;
    3. наличие работоспособной системы видеонаблюдения;
    4. доступ к инфраструктурному оборудованию Компании должен предоставляться только Сотрудникам Компании по удостоверению личности и по отдельным заявкам.
    1. Порядок доступа к оборудованию в экстренных случаях

  21. В случае возникновения аварийной ситуации, либо непосредственной опасности для здания/помещения, которое арендуется Компанией и где расположено телекоммуникационное оборудование, арендодатель, а также сотрудник Департамента безопасности Компании вправе беспрепятственно войти в арендуемое Компанией помещение в любое время суток для устранения аварийной ситуации.
  22. После проведения работ по устранению аварийной ситуации в Журнале должна быть сделала запись о предоставленном доступе. Туба с ключами должна быть опечатана сотрудником Департамента безопасности.
    1. Права и обязанности

  23. Право доступа в серверное помещение/телекоммуникационные шкафы с использованием ключей и печатей для опечатывания тубы имеют только сотрудники, состоящие в Списке.
  24. Служба ИБ обязана:
    1. Составлять и обновлять список сотрудников Компани, имеющих право доступа к серверному помещению/телекоммуникационному шкафу;
    2. при предоставлении права доступа к серверному помещению/телекоммуникационному шкафу удостовериться, что сотруднику необходим доступ для исполнения должностных обязанностей;
    3. регулярно, но не реже одно раза в месяц просматривать Журнал, сравнивать его с утвержденным списком доступа и полученными заявками на доступ к серверному помещению/телекоммуникационному шкафу;
    4. отзывать права доступа при увольнении сотрудника, а также при отсутствии необходимости доступа;
    5. расследовать все нарушение процедуры доступа в серверные помещения;
    6. обеспечивать печатями персонал, допущенный к работам в серверных помещениях.
  25. Лица, имеющие доступ в серверное помещение, обязаны:
    1. при посещении серверного помещения следовать цели посещения, в соответствии с производственной необходимостью;
    2. своевременно сообщать в Службу ИБ (isd@example.com) об утрате/потери печати для опечатывания тубы с ключами к серверному помещению/телекоммуникационному шкафу;
    3. сопровождать лиц, не входящих в список допуска, во время их работы в серверном помещении/телекоммуникационном шкафу.
  26. При проведении работ категорически запрещается вносить в серверное помещение какие–либо носители информации, детали, узлы, инструменты и прочие предметы, не предназначенные для выполнения работ.
    1. Актуализация документа

  27. Основными механизмами для пересмотра и совершенствования настоящего Регламента являются внутренние и внешние аудиты ИБ, а также анализ системы обеспечения информационной безопасности Службой ИБ в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в два года.
  28. Приложение. Журнал выдачи ключей к серверному помещению/телекоммуникационному шкафу

    Журнал выдачи ключей

    к серверному помещению/телекоммуникационному шкафу

    Дата

    Время

    Цель

    ФИО

    Подпись

    ФИО, Организация

    (для лиц, не входящих в список на постоянный доступ к серверным помещениям/ телекоммуникационным шкафам)

    Получение ключей

    Возврат ключей

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: