Читайте также:
|
Общие положения
3.1.1. Все работники Банка должны осуществлять свою деятельность в соответствии с должностными инструкциями, содержащими функциональные обязанности. Функциональные обязанности реализуются через определенные роли в ИС и правами доступа к ресурсам КС.
3.1.2. Основанием для назначения (изменения, аннулирования, блокирования) прав доступа может являться:
приказ о приеме/перемещении/увольнении работника;
приказы и распоряжении о возложении на работника дополнительных функциональных обязанностей;
изменения в должностной инструкции работника;
критичное сочетание ролей, которое не должно выполняться работником в рамках предоставленного ему набора прав доступа к ИС [2].
3.1.3. Перечень ролей, правил и прав доступа и их описание разрабатывается Владельцем ИС или ресурса КС на этапе проектирования ИС, согласуется с УИБ СБ и документируется.
3.1.4. При распределении и назначении ролей не допускается:
монополизация в рамках одной роли всех прав и обязанностей в отношении отдельных процессов деятельности Банка;
сосредоточения в рамках одной роли прав и обязанностей, позволяющих реализовывать неограниченный доступ к ИС Банка;
совмещения в рамках одной роли (в любой комбинации) задач управления, контроля и реализации функций.
3.1.5. Предоставление (изменения, аннулирования, блокирования) прав доступ к ИС и ресурсам КС Банка осуществляется на основании заявок установленной формы.
3.1.6. В типовых формах заявок на предоставление доступа отражаются наборы ролей в ИС и прав доступа к ресурсам КС, которые могут быть предоставлены работникам Банка.
3.1.7. Предоставление доступа к ИС и ресурсам КС по заявке включает в себя следующие этапы:
· формирования заявки;
· согласование заявки;
· исполнение заявки;
· регистрация и контроль исполнения заявки;
3.1.8. Типовые формы заявок разрабатываются работниками Департамента разработки бизнес-процессов и описания продуктов на основании информации, предоставляемой Владельцами ИС или ресурса КС, на этапе ввода в эксплуатацию ИС.
3.1.9. Утверждение и внесение изменений в типовые формы заявок осуществляется по согласованию с ответственными лицами (Владелец ИС или ресурса КС, УИБ СБ).
3.1.10. Типовые формы Заявок размещены на корпоративном портале («Узлы» à «Информационно-технологический блок» à «Шаблоны заявок»), в общей папке на почтовом сервере Outlook («Общие папки» à «Все общие папки» à «Заявки» à «Заявки на предоставление доступа к ИС, ПО»). Также работники могут получить типовые формы Заявок в службе Helpdesk / у Работника ИТ-филиала по запросу.
3.1.11. Доступ к ИC Банка лицам, не являющимся штатными работниками Банка для целей выполнения ими обязанностей, установленных условиями договоров, предписаний, а также выполнения иных работ, определяется распорядительными документами Банка, договором со сторонней организацией, предписанием на проведение аудиторской проверки, либо иным документом, являющимся основанием для предоставления прав доступа и осуществляется только по согласованию с УИБ СБ.
3.1.12. Доступ лицам, указанным в п.3.1.11., оформляется аналогичным способом оформления доступов работникам Банка. Работники Банка, пригласившие и курирующие лиц, получивших доступ к ИС и КС Банка, несут ответственность за своевременное информирование УИБ о необходимости блокирования доступа к ИС и КС Банка по выполнении работ.
3.2. Порядок прохождения заявок на предоставление доступа:
3.2.1. Формирование заявки:
· Руководитель Подразделения оформляет решение о предоставлении/изменении/аннулировании/блокировании прав доступа работника к ИС и ресурсам КС Банка в виде стандартной заявки в электронной форме.
· Заявка может быть направлена на согласование только Руководителем Подразделения, работнику которого необходимо предоставить доступ[3].
· При оформлении заявки Руководитель Подразделения руководствуется принципом минимальной достаточности.
· Заявка заполняется на каждого работника индивидуально.
· Руководитель Подразделения несет ответственность за правильность оформления Заявки в части прав доступа работника своего подразделения.
3.2.2. Согласование заявки:
· Заявка направляется на согласование работнику, указанному в списке согласующих лиц первым, после получения согласования от работника, указанного первым в списке согласующих лиц, Заявка направляется работнику, указанному следующим в списке согласующих лиц и т.д.
· В последнюю очередь Руководитель подразделения направляет Заявку в ИТБ (Отдел сервисной службы далее - helpdesk).
· При получении Заявки на предоставление доступа к ИС и ресурсам КС Банка Работник службы HelpDesk, убедившись в том, что Заявка оформлена правильно и согласована со всеми ответственными за ИС, ИА и/или ресурс работниками, направляет заявку в УИБ СБ, посредством системы Service Desk.
· Работник УИБ СБ:
- проверяет соответствие запрашиваемых прав и привилегий доступа в Заявке, установленным в Банке требованиям по информационной безопасности;
- проверяет отсутствие совмещения критичных прав доступа в ИС,
- принимает окончательное решение о целесообразности и объемах представляемых работникам прав доступа c помощью действия в системе ServiceDesk (действие – «Согласовано»/«Не согласовано», с причинной отказа, в случае если выбрано действие «Не согласовано») и вложенным файлом с ЭЦП.
· При получении сообщения от работника УИБ СБ о невозможности согласования Заявки (с указанием причин отказа), работники HelpDesk отклоняют эту Заявку в системе ServiceDesk с указанием причины отказа
· В случае получения сообщения об отказе согласования / исполнения Заявки (с указанием причин отказа), Руководитель подразделения может направить скорректированную (по результатам предоставленных замечаний) Заявку на повторное согласование.
3.2.3. Исполнение заявки:
· Заявки о предоставлении и изменении работникам прав доступа к ИС и ресурсам КС обязательны для исполнения ИТБ, только если заявка оформлена и согласована в соответствии с настоящим порядком.
· При отсутствии замечания со стороны работников УИБ СБ работники HelpDesk/ИТ филиала передают заявку на исполнение Работнику, ответственному за предоставление доступа к соответствующим ИС и ресурсам КС Банка.
· Работник, ответственный за предоставление доступа к соответствующим ИС и ресурсам КС Банка сообщает о результатах выполнении заявки в HelpDesk.
· Helpdesk сообщает о результатах выполнения заявки руководителю подразделения и работнику, которому необходимо предоставить доступ.
3.2.4. Регистрация и контроль исполнения.
· Информация обо всех этапах прохождения заявки на предоставление доступа и результатах каждого из этапов хранится в системе учета заявок в ServiceDesk.
· После исполнения заявки доступ на редактирование в данных заявках должен быть закрыт. Разрешено лишь добавление комментариев. Доступ к информации о прохождении заявки должен протоколироваться в системе ServiceDesk.
· Для осуществления контроля предоставления доступа на всех этапах УИБ СБ имеет доступ на чтение и оставление комментариев ко всем данным по заявке.
Дата добавления: 2015-07-08; просмотров: 233 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Подразделения Банка, взаимодействующие в рамках настоящего Порядка | | | Протоколирование и контроль. |