Генеральный директор
________________ _______________________
Стандартная форма
Приложение
к Договору №___________________
от «_____»____________ 201_г.
Стандартная оговорка об обязательствах в области информационной безопасности при выполнении работ (оказании услуг) с использованием информационных средств ПАО «ВЧНГ»
Общие положения
Информация – это важный и жизненно необходимый ресурс Клиента. Поэтому информацию следует защищать также надежно, как и любой другой ценный актив Клиента. Клиент не сможет достичь своих основополагающих целей, если его работники не будут своевременно и в полном объеме получать информацию, необходимую для выполнения их работы. Помимо этого, крайне важно минимизировать риски и ущерб, связанные с возможным раскрытием информации, ее искажением и компрометацией. Полное решение этих задач невозможно без вовлечения Оператора в деятельность по реализации стандартов информационной безопасности Клиента.
В связи с этим Клиент предъявляет к Оператору ряд требований в области информационной безопасности.
1. Подготовка персонала
1.1. К выполнению работ (оказанию услуг) по Договору, связанных с использованием информационных средств Клиента, допускается персонал Оператора, согласованный с отделом по безопасности Клиента и прошедший ознакомление со стандартами по информационной безопасности Клиента.
1.2. Клиентом и Оператором назначаются ответственные лица за обеспечение и координацию вопросов информационной безопасности в период выполнения обязательств по Договору.
2. Порядок допуска к информационным ресурсам и обеспеченность информационно-техническими ресурсами
2.1. Временный доступ к информационным ресурсам Клиента может быть предоставлен сотруднику Оператора (Пользователю) через систему управления доступом Identity and Access Management (IAM) или по письменной заявке руководителя куратора Договора согласно процедурам, принятым Клиентом.
2.2. При регистрации Пользователя в качестве нового пользователя автоматизированной системы (АС) Клиента, ему сообщается начальное значение пароля, которое он обязан сменить при первом же подключении к АС.
2.3. На период исполнения обязательств по Договору Оператору предоставляется Клиентом стационарный персональных компьютер на территории Клиента, если иное не оговорено в Договоре, для доступа к информационным ресурсам Клиента.
3. Общие требования при работе с информационно-техническими ресурсами
3.1. Пользователь обязан использовать пароли, удовлетворяющие следующим требованиям сложности:
3.1.1. Длина пароля должна быть не менее 8 символов;
3.1.2. Пароль должен содержать цифры, специальные символы, заглавные и строчные буквы (в случае невозможности использования в автоматизированной системе специальных символов в системе для исключения подбора необходимо использовать переключение раскладки клавиатуры);
3.1.3. Запрещено использовать в качестве пароля или как его составную часть личные данные Пользователя;
3.1.4. Запрещается использовать в паролях более 2х символов расположенных рядом на клавиатуре (например: qwe или wsx), словарные слова (русские и английские), словарные слова, записанные на другой раскладке клавиатуры (например: пароль – gfhjkm или test - еуые), словарные слова с заменой части букв на спецсимволы или цифры по определенной похожести (например: banan – b@n@n, loop – l00p);
3.2. Пользователю категорически запрещается записывать пароль в любых легко доступных местах (например: столе, стене, мониторе, на и под клавиатурой и т. д.).
3.3. Прежде чем покинуть свое рабочее место, Пользователь должен либо выключить свой компьютер, либо заблокировать его (комбинацией клавиш Win+L).
3.4. Пользователю категорически запрещается сообщать кому-либо, даже администратору сети, свои пароли (для входа в сеть, для доступа к почтовому ящику и др.). По общему правилу пароль должен храниться в тайне. В приглашениях для ввода пароля запрещается устанавливать метку «запомнить пароль». В случае непреднамеренного разглашения пароля, его необходимо срочно изменить.
3.5 Пользователь обязан периодически (не реже чем раз в 60 дней) производить смену пароля.
3.6 Пользователь обязан строго соблюдать установленные Клиентом правила обеспечения информационной безопасности при работе с программными и техническими средствами автоматизированных рабочих мест (АРМ) локальной вычислительной сети (ЛВС) Клиента.
Пользователь обязан для установки дополнительного программного обеспечения, необходимого для выполнения служебных обязанностей, подавать заявку установленной Клиентом формы в Службу технической поддержки Клиента (HelpDesk). Пользователь обязан знать и строго выполнять правила работы со средствами защиты информации (если они установлены на АРМ); Пользователь обязан при работе с системой SAP-R3 в обязательном порядке закрывать все приложения, работающие в сети "Интернет"; Пользователь обязан, в конце рабочего дня закрывать все связи с информационными ресурсами Клиента и сети "Интернет"; Пользователь обязан, уничтожать в шредерах копии и черновики документов, содержащих информацию Клиента, не являющуюся открытой информацией; Пользователь обязан, использовать систему электронной почты исключительно для выполнения своих служебных обязанностей. Система электронной почты не предназначена для применения в личных целях. Пользователю категорически запрещается открывать доступ из сети к каталогам и дискам компьютеров, если иное не предусмотрено Договором. Пользователю категорически запрещается копировать информацию Клиента на любые электронные носители и компьютеры, не принадлежащие Клиенту, если иное не предусмотрено Договором, а так же записывать и хранить сведения конфиденциального характера на неучтённых носителях информации (гибких магнитных дисках, флэш-носителях и т. п.). Запрещается использовать чужой электронный почтовый ящик, входить в сеть или подключаться к информационным ресурсам под чужим именем. Отправка Пользователем электронного письма с почтового ящика Клиента, в случае предоставления такового Клиентом, (имя_Пользователя@rosneft. ru), рассматривается как отправка письма на фирменном бланке Оператора, со всеми вытекающими требованиями к оформлению и содержанию. Категорически запрещается рассылать электронные сообщения по всем адресам системы электронной почты (спам), а также использовать систему электронной почты для агитации или рекламы коммерческих предприятий, пропаганды религиозных или политических идей и для других целей, не связанных с выполнением обязанностей по Договору. Запрещается рассылать почтовые сообщения оскорбительного или провокационного содержания. Пользователю запрещается использовать систему электронной почты для передачи (выгрузки) или получения (загрузки) материалов, защищенных авторским правом, торговых секретов, внутренней финансовой информации или аналогичных документов, если иное не предусмотрено условиями Договора. Если по электронной почте получено сообщение от неизвестного внешнего адресата (за исключением адресата системы электронной почты Клиента), то Пользователь обязан удалить такое сообщение, не открывая (не читая) его. Пользователи не могут использовать код доступа, получать доступ к файлу или извлекать и сохранять информацию на любые носители, если у них нет на это соответствующих полномочий выданных Клиентом. Пользователь не имеет права читать сообщения другого Пользователя, не получив на это разрешения последнего. Все коды доступа к компьютерам должны быть предоставлены уполномоченным лицам Клиента. Нельзя применять коды доступа, не известные Клиенту. Запрещается использовать компоненты программного и аппаратного обеспечения АС и АРМ, включая использование сети "Интернет" и системы электронной почты Клиента, в целях, отличных от условий предусмотренных Договором, (в том числе посещать страницы развлекательных сайтов в сети "Интернет", запускать игровые программы и т. д.). Пользователям запрещается направлять сведения конфиденциального характера, принадлежащие Клиенту, по электронной почте. Передача сведений конфиденциального характера возможна только с использованием рекомендованных службой безопасности Клиента средств защиты информации. Запрещается использовать публичные почтовые ящики электронной почты (например, , Mail. ru, , и т. п.) для осуществления какого-либо из видов деятельности в рамках выполнения работ по Договору. Использование публичных почтовых ящиков электронной почты осуществляется только при согласовании с Клиентом и при использовании средств защиты, рекомендованных службой безопасности Клиента. Категорически запрещается загружать программы из сети Internet и запускать их, а также загружать без необходимости любые другие файлы, если иное не оговорено Договором. Любой файл, полученный из сети Internet, должен считаться потенциально опасным. Запрещается открывать и запускать такие файлы без предварительной проверки на наличие вирусов (вредоносных программ) отделом по безопасности Клиента. Пользователю запрещается удалять или отключать антивирусное программное обеспечение. Перед использованием «чужих» носителей информации Пользователь обязан предоставлять их для проверки на наличие вирусов (вредоносных программ) в отдел по безопасности Клиента. Запрещается умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению сбойной ситуации, несанкционированному доступу и т. д. Запрещается самостоятельно разрабатывать или использовать не регламентированные (не относящиеся к производственному процессу) программы, если иное не предусмотрено Договором. Запрещается подключать к компьютерам модемы, сотовые телефоны, КПК и т. д. без согласования с отделом по безопасности Клиента. Запрещается подключать к компьютерному оборудованию Клиента любые периферийные устройства без согласования со Службой технической поддержки Клиента. Запрещается включать в электрические розетки структурированной кабельной системы (СКС) Клиента, предназначенные для компьютерного оборудования, любое бытовое электрооборудование, особенно электронагревательные приборы. Запрещается самовольно без согласования со Службой технической поддержки Клиента и отделом по безопасности Клиента вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства. Запрещается оставлять включенным без присмотра АРМ (покидая рабочее место необходимо поступать в соответствии с п.3.3) Запрещается отправлять на оргтехнику общего пользования без непосредственного контроля любую информацию, не являющуюся открытой информацией. Запрещается оставлять без присмотра на рабочем месте, а так же в устройствах печати и копирования, машинные носители информации и распечатки, содержащие защищаемую информацию (сведения, составляющие коммерческую тайну), а также любую информацию, не являющуюся открытой информацией. Запрещается размещать информацию, не относящуюся к открытой информации, на общедоступных ресурсах ЛВС Клиента, а также на иных ресурсах, не принадлежащих Клиенту (в том числе на ресурсах в сети "Интернет" ). Запрещается осуществлять обработку сведений конфиденциального характера в присутствии посторонних (не допущенных к данной информации) лиц. Пользователь обязан немедленно поставить в известность ответственное лицо от Клиента в случае утери персональной ключевой дискеты, при подозрении компрометации личных ключей и паролей, сбоях в работе сети, а также при обнаружении:3.40.1. Нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах (АС) как Клиента так и Оператора или иных фактов совершения в его отсутствие попыток несанкционированного доступа (НСД) к компьютерному оборудованию;
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
