J3qx

information archive

РЕГЛАМЕНТ ОРГАНИЗАЦИИ ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ И СЕРВИСАМ

Posted by j3qx на Январь 14, 2017

Содержание

1.    Цели и задачи    3

2.    Назначение и область применения    3

3.    Термины, определения, роли    3

4.    Порядок назначения владельцов, предоставления и прекращения доступа к ИТ-сервисам    4

4.1.    Порядок назначения владельца ИТ-сервиса    4

4.2.    Порядок предоставления минимального уровня доступа к ИТ-сервисам    5

4.3.    Порядок предоставления дополнительного доступа к ИТ-сервисам    5

4.4.    Порядок прекращения доступа к ИТ-сервисам    7

5.    Права и обязанности участников процесса согласования заявок    8

6.    Требования к спецификациям и заявкам на предоставление доступа к ИТ-сервисам    10

7.    Зоны ответственности    11

8.    Актуализация документа    11

  1. Цели и задачи

  1. Целью настоящего Регламента организации доступа к информационным системам и сервисам ООО «Компания» (далее — Регламент) является установление единых для ООО «Компания» (далее — Компания) правил предоставления, изменения, прекращения доступа к информационным системам и сервисам (далее – ИТ-сервис).
  2. Задачами настоящего Регламента являются:
  • организация прозрачной процедуры предоставления доступа к ИТ-сервисам;
  • контроль процесса предоставления доступа к ИТ-сервисам в соответствии с Политикой информационной безопасности Компании;
  • введение в Компании единых форм заявок на предоставление, изменение, прекращение доступа к ИТ-сервисам;
  • минимизация трудозатрат и времени предоставления доступа к ИТ-сервисам конечным Пользователям.
  1. Назначение и область применения

     

  1. Настоящий документ определяет порядок предоставления, изменения, прекращения доступа к ИТ-сервисам в Компании и зоны ответственности всех участников данных процессов.
  2. Частные требования к порядку предоставления доступа к ИТ-сервисам сотрудникам Компании определяются в соответствующих Пользовательских спецификациях ИТ-сервисов.
  3. Требования настоящего Регламента распространяются на всех сотрудников Компании, а также всех прочих лиц (подрядчики, аудиторы и т.п.), зарегистрированных в корпоративной сети Компании и получивших в установленном порядке право на доступ к ресурсам корпоративной сети в соответствии с функциональными обязанностями или в рамках договорных отношений между подрядчиком и иным третьим лицом и Компанией.
    1. Термины, определения, роли

    В настоящем документе определены следующие термины, определения, сокращения и роли:

    Базовое рабочее место – типовое автоматизированное рабочее место Пользователя с набором прав доступа к ИТ-сервисам, который назначается Сотруднику / Третьему лицу при приеме на работу (п. 4.2.2. Регламента) / установлении договорных отношений (п. 4.2.3. Регламента).

    Владелец ИТ-сервиса – лицо или группа лиц из числа Сотрудников подразделений Компании, обладающие определенными полномочиями (Технологический владелец, Бизнес-владелец).

    Бизнес-владелец ИТ-сервиса — лицо или группа лиц из числа Сотрудников подразделений Компании, ответственных за корректное использование и развитие ИТ-сервиса, обладающих полномочиями принимать решение о предоставлении/непредоставлении Пользователю доступа к ИТ-сервису в соответствии с занимаемой им должностью.

    Технологический владелец ИТ-сервиса – лицо или группа лиц из числа Сотрудников подразделений Компании, ответственных за разработку и поддержку функционирования ИТ-сервиса, обладающих достаточными экспертными знаниями для оценки корректности запрашиваемых прав доступа для выполнения служебных обязанностей.

    ДУП – департамент управления персоналом.

    ДИТ – департамент информационных технологий.

    Информационная система (ИС) – совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать Пользователей надлежащей информацией.

    Исполнитель – сотрудник ДИТ (support@example.com), ответственный за согласование и выполнение согласованной заявки на предоставление, изменение или прекращение доступа к ИТ-сервисам. В случае предоставления доступа к ИТ-сервису только Владельцем (Бизнес-владельцем или Технологическим владельцем), он (Владелец) является Исполнителем.

    ИТ-сервис – услуга, базирующаяся на использовании информационных технологий, предоставляемая ДИТ Пользователям, напрямую поддерживающая бизнес-процесс Пользователя. ИТ-сервис включает в себя человеческие ресурсы, процессы, технологии и определяется в Спецификации ИТ-сервиса.

    Код ИТ-сервиса
    – условное обозначение ИТ-сервиса.

    Минимальный уровень доступа к ИТ-сервису – доступ, определенный должностью или ролью сотрудника и установленный в спецификации соответствующего ИТ-сервиса.

    Менеджер проекта
    – Сотрудник Компании, ответственный за проведение работ Третьих лиц.

    Пользователь – сотрудник Компании или Третье лицо, которому необходим доступ к ИТ-сервисам, пользователь может выступать инициатором заявки на предоставление, изменение или прекращение доступа к ИТ-сервису.

    Пользовательская спецификация ИТ-сервиса – описание ИТ-сервиса, необходимое Пользователю для заполнения заявки.

    Технологическая спецификация ИТ-сервиса – технологическое описание организации и функционирования ИТ-сервиса.

    Руководитель – руководитель структурного подразделения Компании по должности не ниже руководителя отдела, непосредственный руководитель Сотрудника.

    Служба информационной безопасности (Служба ИБ) – подразделение, ответственное за обеспечение информационной безопасности. Отдел информационной безопасности Департамента информационных технологий.

    Служба пользовательской поддержки (СПП) – специалисты отдела сопровождения проектов ДИТ, участвующие в процессе управления инцидентами и запросами, в функциональные обязанности которых входит прием, регистрация, классификация, решение и, в случае необходимости, маршрутизация и эскалация обращений пользователей (support@example.com).

    Сотрудник
    – физическое лицо, вступившее в трудовые отношения с Компанией как с работодателем.

    Третье лицо
    – стажер, сотрудник сторонней организации, сотрудничающей с Компанией в рамках договора возмездного оказания услуг / подряда или иного договора, либо сотрудник контролирующих органов.

    OTRS (Open-source Ticket Request System) – система обработки заявок, поступающих в СПП.

    1. Порядок назначения владельцев, предоставления и прекращения доступа к ИТ-сервисам

      1. Порядок назначения владельца ИТ-сервиса

  4. Владельцы ИТ-сервиса назначаются совместным решением руководства ДИТ, Службы ИБ и заинтересованного бизнес-подразделения.
  5. Для каждого ИТ-сервиса назначается Бизнес-владелец и Технологический Владелец.
  6. Владельцы ИТ-сервиса устанавливаются в спецификации соответствующего ИТ-сервиса.
  7. При назначении Владельца ИТ-сервиса в обязательном порядке устанавливается лицо, ответственное за выполнение функций Владельца ИТ-сервиса на время его отсутствие на рабочем месте.
  8. При назначении Владельцев ИТ-сервиса, в Пользовательской спецификации ИТ-сервиса прописывается порядок и очередность их участия в согласовании заявки:
  • согласовать одному из списка;
  • согласовать всем из списка.
  1. Порядок предоставления минимального уровня доступа к ИТ-сервисам

  1. Минимальный уровень доступа к ИТ-сервисам определен в Пользовательской спецификациях соответствующих ИТ-сервисов.
  2. Минимальный уровень доступа к ИТ-сервисам новому Сотруднику предоставляется на основании следующих документов:
  • приказ о приеме на работу;
  • заявка на Базовое рабочее место (Приложение № 5), оформленная по установленной форме Руководителем и переданная в СПП.
  1. Минимальный уровень доступа к ИТ-сервисам Третьему лицу предоставляется на основании следующих документов:
  • договор с Компанией, либо предписание контролирующего органа;
  • соглашение о конфиденциальности между Компанией и организацией, предоставляющей услуги;
  • заявка на Базовое рабочее место (Приложение № 5), оформленная по установленной форме Менеджером проекта и переданная в СПП.
  1. Порядок предоставления дополнительного доступа к ИТ-сервисам

  1. Основанием для предоставления дополнительного доступа к ИТ-сервисам Сотруднику является заявка, оформленная по установленной форме (шаблон заявки в Приложении № 4) Пользователем (Сотрудником Компании) либо Руководителем и согласованная в соответствие с пунктами 4.3.4 – 4.3.11 настоящего Регламента.
  2. Основанием для предоставления дополнительного доступа к ИТ-сервисам Третьему лицу является заявка, оформленная по установленной форме (шаблон заявки в Приложении № 4) Менеджером проекта и согласованная в соответствие с пунктами 4.3.4 – 4.3.11 настоящего Регламента.
  3. Визуальная схема этапов прохождения заявки на предоставление дополнительного доступа к ИТ-сервисам Пользователям Компании представлена на Рисунке 1.

    Рисунок 1. Этапы прохождения заявки на предоставление дополнительного доступа

    к ИТ-сервисам Пользователям Компании.

  4. При прохождении всех этапов согласования, заявка направляется последующим участникам процесса согласования средствами корпоративной электронной почты с обязательным уведомлением Руководителя пользователя, путем установки в копию письма.
  5. Пользователь оформляет заявку по соответствующей форме, с обязательным обоснованием необходимости запрашиваемого уровня доступа, прикладывает ее к электронному письму и направляет на согласование по электронной почте в адрес Руководителя. Тема письма должна содержать код ИТ-сервиса, указанный в Пользовательской спецификации и ФИО Пользователя (например: 101_ИвановИИ).
  6. В случае принятия положительного решения относительно заявки, Руководитель направляет заявку в СПП, с одновременным уведомлением Пользователя. Заявки на предоставление дополнительного доступа сотрудникам филиала, внутреннего структурного подразделения, другого обособленного структурного подразделения требуют дополнительного согласования вышестоящего Руководителя соответствующего подразделения головного офиса.
  7. Сотрудник СПП, принявший заявку направляет ее на согласование Владельцу ИТ-сервиса (Бизнес-владельцу и Технологическому владельцу), указанному в Пользовательской спецификации соответствующего ИТ-сервиса, с одновременным уведомлением Руководителя о регистрации заявки.
  8. Владелец сообщает о своем решении в СПП по электронной почте.
  9. В случае принятия положительного решения обоими Владельцами ИТ-сервиса относительно заявки, специалист СПП направляет заявку в Службу ИБ на электронный адрес isd@example.com (если это определено в Приложении № 1).
  10. Специалист службы ИБ сообщает о своем решении в СПП по электронной почте.
  11. В случае принятия положительного решения специалистом ИБ относительно заявки, сотрудник СПП выполняет заявку в течение двух рабочих дней.
  12. В случае предоставления доступа к ИТ-сервису только Владельцем (Бизнес-владельцем или Технологическим владельцем), согласованная заявка отправляется сотрудником СПП Владельцу ИТ-сервиса на выполнение. При получении заявки с электронного адреса support@example.com, Владелец ИТ- сервиса выполняет заявку в течение двух рабочих дней. Заявки, принятые с других электронных адресов, отсылаются обратно отправителю со ссылкой на настоящий Регламент. После предоставления запрашиваемого доступа, Владелец ИТ-сервиса направляет уведомление об успешном выполнении заявки в адрес СПП. В случае невозможности предоставления запрашиваемого доступа, Владелец ИТ-сервиса также направляет соответствующее уведомление в адрес СПП.
  13. В случае принятия участником процесса согласования отрицательного решения относительно заявки, она направляется в адрес сотрудника СПП с обоснованием своего решения.
  14. Сотрудник СПП отправляет уведомление о результате выполнения заявки в адрес Руководителя и Пользователя, запросившего доступ к ИТ-сервису.
  15. Срок регистрации заявки сотрудником СПП и передачи ее на согласование составляет не более трех часов.
  16. Срок рассмотрения заявки (с момента получения) и отправки результата ее рассмотрения в СПП каждым участником процесса согласования составляет не более одного рабочего дня.
  17. При наличии технической возможности Исполнитель обязан исполнить согласованную заявку в течение двух рабочих дней и своевременно оказывать необходимую помощь Пользователю в поддержании корректной работы ИТ-сервиса.
  18. Основанием для отказа в согласовании заявки участниками процесса согласования может служить:
  • отсутствие необходимости предоставления Пользователю запрашиваемого уровня доступа для решения поставленных перед ним задач;
  • несоответствие занимаемой должности Пользователя запрашиваемому уровню доступа;
  • отсутствие технической возможности предоставления Пользователю запрашиваемого доступа существующими средствами;
  • наличие рисков нарушения информационной безопасности ресурсов Компании;
  • некорректное оформление заявки:
    • неверно оформленная тема письма с заявкой;
    • отсутствие развернутого обоснования необходимости запрашиваемого уровня доступа;
    • содержание в полях заявки противоречивой информации, не позволяющей однозначно определить основание или технические параметры для предоставления доступа;
    • наличие грубых ошибок при заполнении заявки;
    • заявка не актуальна (дата заполнения заявки давностью более двух недель).
  1. Порядок прекращения доступа к ИТ-сервисам

  1. Основанием для прекращения доступа к ИТ-сервисам является:
  • служебная записка, либо заявка, оформленная Руководителем, либо Менеджером проекта;
  • информация от ДУП об увольнении сотрудника;
  • служебная записка от Службы ИБ или ДИТ.
  1. Оформленная Руководителем заявка, с обязательным обоснованием необходимости прекращения доступа Пользователя к ИТ-сервису, прикладывается к электронному письму и отправляется СПП на электронный адрес support@example.com, с одновременным уведомлением Службы ИБ на электронный адрес isd@example.com.
  2. При получении заявки, сотрудник СПП отправляет уведомление Руководителю о ее регистрации, и выполняет заявку.
  3. В случае предоставления доступа к ИТ-сервису только Владельцем (Бизнес-владельцем или Технологическим владельцем), заявка на прекращение доступа к ИТ-сервисам отправляется сотрудником СПП Владельцу ИТ-сервиса на выполнение.
  4. После выполнения заявки, Владелец ИТ-сервиса направляет уведомления об успешном выполнении заявки в адрес сотрудника СПП.
  5. Сотрудник СПП направляет уведомления об успешном выполнении заявки в адрес Пользователя и Руководителя. В случае увольнения Сотрудника исполнение заявки по прекращению доступа к ИТ-сервисам должно быть выполнено в последний день работы Сотрудника в Компании.
  6. Прекращение доступа к ИТ-сервисам может произойти по следующим причинам:
  • изменение поставленных перед Пользователем задач;
  • изменение требований информационной системы или бизнес-процесса;
  • выявление (подозрение) сотрудником Службы ИБ либо Руководителем нарушений Пользователем положений настоящего Регламента или требований Спецификаций ИТ-сервиса;
  • окончание срока действия предоставленного доступа;
  • увольнение сотрудника Компании;
  • прекращение договорных отношений.
  1. При выявлении сотрудниками Службы ИБ или ДИТ неправомерных действий Пользователя, доступ ограничивается незамедлительно с одновременным уведомлением Руководителя/Менеджера проекта.
    1. Права и обязанности участников процесса согласования заявок

  2. При наличии у Пользователя настроенного Базового рабочего места и при возникновении производственной необходимости, все сотрудники Компании имеют право оформить заявку на предоставление дополнительного доступа к ИТ-сервисам в соответствие с пунктом 4.3 настоящего Регламента, направить ее на согласование Руководителю и получать информацию о статусе ее выполнения. Пользователи имеют право осуществлять обращения по вопросам функционирования и поддержки ИТ-сервиса в СПП.
  3. Руководитель имеет право рассмотреть заявку на предоставление дополнительного доступа к ИТ-сервисам и принять решение о согласовании либо отказе в согласовании на основании оценки необходимости предоставления запрашиваемого доступа для решения поставленных перед Пользователем задач. Обязанность проверки корректности оформления заявки лежит на Руководителе. Также, Руководитель имеет право оформить заявку на прекращение доступа Пользователя к ИТ-сервису.
  4. Владелец ИТ-сервиса имеет право рассмотреть заявку на предоставление дополнительного доступа к ИТ-сервису, владельцем которого он является в соответствии со спецификацией соответствующего ИТ-сервиса, и принять решение о согласовании либо отказе в согласовании на основании оценки целесообразности предоставления Пользователю запрашиваемого уровня доступа.
  5. Сотрудник Службы ИБ имеет право рассмотреть заявку на предоставление дополнительного доступа к ИТ-сервису, при необходимости запросить дополнительную информацию и принять решение о согласовании либо отказе в согласовании на основании оценки целесообразности, правомерности и соответствия занимаемой должности Пользователя запрашиваемому уровню доступа, с учетом необходимых и достаточных мер по обеспечению информационной безопасности ресурсов Компании.
  6. Исполнитель имеет право предоставить Пользователю запрашиваемый доступ на основании заявки, согласованной со всеми участниками процесса согласования в соответствии со Спецификацией ИТ-сервиса, либо отказать в связи с невозможностью предоставления доступа в виду отсутствия технической возможности.
  7. При поступлении заявки на предоставление доступа к ИТ-сервисам на адрес support@example.com, заявка автоматически регистрируется в системе OTRS.
  8. Исполнитель обязан следить за сроком предоставления доступа к ИТ-сервису, указанным в заявке, и своевременно производить отключение Пользователя от ИТ-сервиса.
  9. Отдел системного администрирования и пользовательской поддержки ДИТ обязан обеспечить хранение всех заявок на предоставление доступа к ИТ-сервисам в течение двух лет с момента поступления.
  10. Руководитель обязан уведомить Службу ИБ и Исполнителя об изменении должности Пользователя и необходимости прекращения доступа к ИТ-сервисам согласно п.4.4. в течение трех рабочих дней.
  11. Менеджер проекта обязан уведомить Службу ИБ и Исполнителя об окончании работ Третьим лицом в течение одного рабочего дня.
  12. Сотрудник ДУП обязан уведомить СПП по электронной почте о предстоящем увольнении Пользователя в течение двух рабочих дней с момента поступления в свой адрес заявления на увольнение, с обязательным указанием темы – Увольнение_ФИО сотрудника_дата увольнения (например: Увольнение_ИвановСА_2013.12.31).
  13. Все Пользователи ИТ-сервисов обязаны использовать предоставленные ИТ–сервисы только для выполнения поставленных задач.
  14. При работе с ИТ-сервисами все Пользователи обязаны соблюдать требования настоящего Регламента, спецификаций ИТ-сервисов, «Политики информационной безопасности ООО «Компания» и Частных политик информационной безопасности.
  15. При работе с ИТ-сервисами Пользователям запрещается:
  • разглашать коммерческую и служебную информацию Компании, персональные данные физических лиц, ставших известными в процессе трудовой деятельности, либо случайно;
  • осуществлять распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговый знак / знак обслуживания, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ними права третьей стороны;
  • осуществлять публикацию, загрузку, пересылку и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины (учетные записи), пароли и прочие средства для получения несанкционированного доступа, а также размещения ссылок на вышеуказанную информацию;
  • осуществлять действия, направленные на получение несанкционированного доступа к ИТ-сервису или информационному ресурсу Компании, последующее использование такого доступа, а также уничтожение или модификация программного обеспечения или данных, не принадлежащих Пользователю, без согласования с владельцами этого программного обеспечения или данных либо администраторами данного информационного ресурса. Под несанкционированным доступом в данном случае понимается любой доступ, способом, отличным от предполагавшегося Владельцем ресурса;
  • производить намеренное ухудшение условий работы корпоративной вычислительной сети Компании путем запуска вредоносных компьютерных программ или создания большой нагрузки на нее (в частности, загрузка из сети «Интернет» потокового аудио-, фото- и видео-контента);
  • производить самостоятельную установку программного обеспечения на рабочие станции Компании.
  1. Требования к спецификациям и заявкам на предоставление доступа к ИТ-сервисам

  1. Для каждого ИТ-сервиса должны быть разработаны следующие документы:
  • «Пользовательская спецификация ИТ-сервиса» — документ для общего пользования;
  • «Технологическая спецификация ИТ-сервиса» — документ для служебного пользования ДИТ и Службы ИБ.
  1. «Пользовательская спецификация ИТ-сервиса» должна содержать (шаблон спецификации в Приложении № 2):
  • наименование ИТ-сервиса;
  • код ИТ-сервиса;
  • описание ИТ-сервиса – краткий функционал и иные существенные для пользователя параметры;
  • место предоставления ИТ-сервиса – где территориально Пользователь может получить доступ к сервису;
  • время предоставления ИТ-сервиса – используется часовой пояс г. Москва;
  • время поддержки ИТ-сервиса — используется часовой пояс г. Москва;
  • перечень возможных пользователей ИТ-сервиса;
  • порядок предоставления ИТ-сервиса – при оформлении на работу, либо по заявке;
  • минимальный уровень доступа к ИТ-сервису согласно должности, либо роли;
  • перечень Владельцев и иных согласующих предоставления доступа к ИТ-сервису с указанием порядка согласования;
  • дополнительные требования к участникам процедуры предоставления ИТ-сервиса либо иные значимые моменты, не вошедшие в предыдущие разделы.
  1. Пользовательская спецификация ИТ-сервиса «Базовое рабочее место» приведена в Приложении № 3.
  2. «Технологическая спецификация ИТ-сервиса» должна содержать:
  • технологическую схему функционирования ИТ-сервиса с указанием используемого оборудования и каналов связи;
  • перечень Технологических владельцев ИТ-сервиса;
  • порядок действий в случае сбоя/остановки/восстановления ИТ-сервиса;
  • порядок резервного копирования программного обеспечения, участвующего в процессе функционирования ИТ-сервиса;
  • порядок архивирования данных;
  • порядок логирования действий всех пользователей системы.
  1. Формы заявок на предоставление доступа к ИТ-сервисам разрабатываются на основе соответствующих «Пользовательской спецификаций ИТ-сервиса» (шаблон заявки в Приложении №  4) и должны содержать:
  • наименование ИТ-сервиса;
  • ФИО Пользователя;
  • должность Пользователя;
  • имя Пользователя в сети (login);
  • имя ПК Пользователя в сети;
  • обоснование необходимости запрашиваемого доступа;
  • уровень доступа к ИТ-сервису (права);
  • длительность предоставления ИТ-сервиса;
  • требования к оформлению, порядку обработки заявки и теме электронного письма, содержащего заявку.
  1. Зоны ответственности

  1. Исполнитель несет ответственность за:
  2. соблюдение сроков исполнения заявок;
  3. прекращение предоставленного доступа по истечении срока, указанного в заявке.
  4. Исполнитель и Владелец несут ответственность за уведомление Службы ИБ о выявленных инцидентах нарушения Пользователями положений настоящего Регламента и спецификаций ИТ-сервиса, принимают участие в расследовании инцидентов нарушения ИБ в результате злоупотребления при использовании ИТ-сервисов.
  5. Технологический Владелец осуществляет разработку, утверждение, при обязательном согласовании со Службой ИБ, и поддержание в актуальном состоянии следующих документов:
  • пользовательские спецификации ИТ-сервисов, для всех ИТ-сервисов Владельцем которых он является;
  • технологические спецификации ИТ-сервиса, для всех ИТ-сервисов Владельцем которых он является;
  • формы заявок для предоставления доступа к ИТ-сервисам, для всех ИТ-сервисов Владельцем которых он является.
  1. СПП осуществляет поддержание в актуальном состоянии перечня ИТ-сервисов Компании (Приложение № 1).
  2. Отдел системного администрирования и пользовательской поддержки несет ответственность за хранение заявок в течение 2 лет с момента поступления.
  3. Руководитель несет ответственность за соблюдение сроков уведомления СПП об изменении должности Сотрудника.
  4. Менеджер проекта несет ответственность за соблюдение сроков уведомления СПП об окончании работ Третьим лицом.
  5. Служба ИБ осуществляет расследование инцидентов нарушения ИБ в результате злоупотребления при использовании ИТ-сервисов.
  6. Служба ИБ осуществляют контроль выполнения положений настоящего Регламента работниками Компании и принимает участие в расследовании инцидентов нарушения ИБ в результате злоупотребления при использовании ИТ-сервисов.
  7. ДУП осуществляет уведомление Службы ИБ и СПП о предстоящем увольнении сотрудника не позднее двух рабочих дней с момента подачи им заявления на увольнение.
  8. Все участники процесса согласования несут ответственность за решение, принятое при согласовании заявки.
  9. В случаях нарушения положений настоящего Регламента, Компания вправе привлечь сотрудника к ответственности в соответствии с принятыми в Компании нормативными документами, трудовым договором и действующим законодательством РФ.
    1. Актуализация документа

  10. Основными механизмами для пересмотра и совершенствования настоящего Регламента являются внутренние и внешние аудиты ИБ, а также анализ системы обеспечения информационной безопасности Службой ИБ в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в два года.
  11. Формы заявок для предоставления доступа к ИТ-сервису, пользовательские спецификации ИТ-сервиса и технологические спецификации ИТ-сервиса разрабатываются и утверждаются директором ДИТ при обязательном согласовании со Службой ИБ, в течение 10 рабочих дней с момента появления нового ИТ-сервиса, и актуализируются в течение 5 рабочих дней после выявления (уведомления) изменений в ИТ инфраструктуре, смене Владельцев ИТ-сервиса и т.д.
Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: