Версия для слабовидящих
г. Уфа, Проспект Октября 170/1
пн-пт 09:00-18:00
Автономная некоммерческая организация дополнительного профессионального образования
«АКАДЕМИЯ БЕЗОПАСНОСТИ»
УТВЕРЖДАЮ
Ректор АНО ДПО «АКАДЕМИЯ БЕЗОПАСНОСТИ»
______________Даукаев И.М.
«15» июля 2025г.
ПОЛОЖЕНИЕ О ДОСТУПЕ К ИНФОРМАЦИОННЫМ СИСТЕМАМ И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫМ СЕТЯМ
1.Общие положения
1.1. Настоящее положение о доступе к информационным системам и информационно-телекоммуникационным сетям (далее – Положение) разработано в соответствии с:
- Федеральным законом «Об образовании в Российской Федерации» от 29.12.2012 N 273-ФЗ,
- Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ,
- Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ,
- постановлением Правительства РФ от 20.10.2021 № 1802 «Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации», иными нормативными правовыми актами Российской Федерации в области образования, информации и защиты информации, а также Уставом АНО ДПО «АКАДЕМИЯ БЕЗОПАСНОСТИ» (далее – Организация).
1.2. Настоящее Положение является локальным нормативным актом, регламентирующим порядок организации доступа к информационным системам и информационно-телекоммуникационным сетям, используемым в деятельности Организации, и обязательно для исполнения всеми сотрудниками, обучающимися и иными лицами, имеющими доступ к указанным ресурсам.
1.3. Положение определяет общие принципы, требования и процедуры, направленные на обеспечение безопасного и эффективного использования информационных ресурсов Организации, а также защиту информации от несанкционированного доступа, использования, раскрытия, изменения или уничтожения.
1.4. Положение подлежит пересмотру и обновлению по мере необходимости, но не реже одного раза в год, с учетом изменений в законодательстве Российской Федерации и внутренних потребностях Организации.
1.5. Целями настоящего Положения являются:
обеспечение реализации права на доступ к информации, образовательным ресурсам и информационным технологиям для сотрудников и обучающихся Организации;
создание условий для эффективного использования информационных систем и сетей в образовательном процессе, научно-исследовательской деятельности и административном управлении;
обеспечение безопасности информационных ресурсов Организации, защита от несанкционированного доступа, вредоносного программного обеспечения и других угроз;
соблюдение требований законодательства Российской Федерации в области защиты информации, персональных данных и интеллектуальной собственности;
предотвращение использования информационных систем и сетей Организации для совершения противоправных действий, распространения незаконной информации и нарушения прав третьих лиц;
повышение уровня информационной культуры и грамотности сотрудников и обучающихся Организации.
1.6. Действие настоящего Положения распространяется на всех сотрудников Организации, включая административно-управленческий персонал, педагогических работников, учебно-вспомогательный персонал, а также на обучающихся по программам дополнительного профессионального образования и иных лиц, имеющих доступ к информационным системам и сетям Организации.
1.7. К информационным системам и информационно-телекоммуникационным сетям Организации, на которые распространяется действие настоящего Положения, относятся:
локальная вычислительная сеть (ЛВС) Организации;
доступ к сети Интернет, предоставляемый Организацией;
официальный сайт Организации;
электронная почта Организации;
информационные системы управления образовательным процессом (например, системы дистанционного обучения, электронные библиотеки);
системы хранения и обработки персональных данных;
другие информационные ресурсы, используемые в деятельности Организации.
1.8. Положение также распространяется на использование личных устройств (компьютеров, ноутбуков, планшетов, смартфонов) сотрудников и обучающихся при подключении к информационным системам и сетям Организации.
2. Основные понятия, используемые в настоящем Положении:
2.1. Информационная система (ИС) – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
2.2. Информационно-телекоммуникационная сеть (ИТС) – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
2.3. Доступ к информации – возможность получения информации и ее использования.
2.4. Авторизация – процесс предоставления пользователю прав на выполнение определенных действий в информационной системе или сети.
2.5. Аутентификация – процедура проверки подлинности пользователя путем сравнения введенных им данных (например, логина и пароля) с данными, хранящимися в системе.
2.6. Идентификация – присвоение пользователю уникального имени (идентификатора) в информационной системе или сети.
2.7. Учетная запись – запись, содержащая информацию, необходимую для идентификации и авторизации пользователя в информационной системе или сети.
2.8. Пользователь – лицо, имеющее доступ к информационным системам и сетям Организации.
2.9. Администратор – лицо, ответственное за управление и обеспечение безопасности информационных систем и сетей Организации.
2.10. Информационная безопасность – состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий, которые могут нанести ущерб ее владельцам или пользователям.
2.11. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.12. Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и локальными нормативными актами Организации.
2.13. Иные понятия, используемые в настоящем Положении, применяются в значениях, определенных законодательством Российской Федерации.
3. Общие принципы организации доступа к информационным системам и сетям:
3.1. Законность – доступ к информационным системам и сетям предоставляется в соответствии с требованиями законодательства Российской Федерации и локальными нормативными актами Организации.
3.2. Необходимость – доступ предоставляется только к тем информационным ресурсам, которые необходимы пользователю для выполнения его должностных обязанностей или учебных задач.
3.3. Минимальные привилегии – пользователям предоставляются минимально необходимые права доступа для выполнения их задач.
3.4. Персональная ответственность – каждый пользователь несет персональную ответственность за свои действия в информационных системах и сетях Организации.
3.5. Регулярный контроль – Организация осуществляет регулярный контроль за соблюдением правил доступа и информационной безопасности.
3.6. Обучение и информирование – Организация обеспечивает обучение и информирование пользователей о правилах доступа, информационной безопасности и защите персональных данных.
3.7. Разделение полномочий – функции управления доступом и обеспечения информационной безопасности должны быть разделены между различными сотрудниками Организации.
3.8. Учет и аудит – все действия пользователей в информационных системах и сетях должны быть зарегистрированы и доступны для аудита.
3.9. Организация доступа к информационным системам и сетям осуществляется на основе следующих принципов:
централизованное управление учетными записями пользователей;
использование надежных методов аутентификации (например, парольная защита, двухфакторная аутентификация);
дифференцированный подход к определению прав доступа в зависимости от ролей и задач пользователей;
мониторинг и контроль действий пользователей в информационных системах и сетях;
реагирование на инциденты информационной безопасности и нарушения правил доступа.
4. Ответственность за организацию и обеспечение доступа к информационным системам и сетям
4.1. Организации несет сотрудник, назначенный приказом руководителя Организации.
4.2. Ответственное лицо:
разрабатывает и актуализирует настоящее Положение;
организует создание и управление учетными записями пользователей;
определяет уровни доступа к информационным ресурсам;
осуществляет мониторинг и контроль за соблюдением правил доступа и информационной безопасности;
проводит обучение и консультации для пользователей по вопросам использования информационных систем и сетей;
реагирует на инциденты информационной безопасности и нарушения правил доступа;
взаимодействует с подразделениями Организации по вопросам обеспечения информационной безопасности.
4.3. В своей деятельности ответственное лицо руководствуется законодательством Российской Федерации, локальными нормативными актами Организации и настоящим Положением.
4.4. Руководитель Организации утверждает настоящее Положение и обеспечивает его выполнение всеми сотрудниками и обучающимися. Руководитель Организации также несет ответственность за обеспечение необходимых ресурсов для реализации настоящего Положения и поддержания информационной безопасности Организации.
4.5. Настоящее Положение является основой для разработки иных локальных нормативных актов Организации, регламентирующих вопросы информационной безопасности и защиты информации.
4.6. В своей деятельности Организация руководствуется нормативными документами, в частности:
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- Приказ Рособрнадзора от 14.08.2020 № 831 «Об утверждении Требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети «Интернет» и формату представления информации».
1.1. Настоящее положение о доступе к информационным системам и информационно-телекоммуникационным сетям (далее – Положение) разработано в соответствии с:
- Федеральным законом «Об образовании в Российской Федерации» от 29.12.2012 N 273-ФЗ,
- Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ,
- Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ,
- постановлением Правительства РФ от 20.10.2021 № 1802 «Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации», иными нормативными правовыми актами Российской Федерации в области образования, информации и защиты информации, а также Уставом АНО ДПО «АКАДЕМИЯ БЕЗОПАСНОСТИ» (далее – Организация).
1.2. Настоящее Положение является локальным нормативным актом, регламентирующим порядок организации доступа к информационным системам и информационно-телекоммуникационным сетям, используемым в деятельности Организации, и обязательно для исполнения всеми сотрудниками, обучающимися и иными лицами, имеющими доступ к указанным ресурсам.
1.3. Положение определяет общие принципы, требования и процедуры, направленные на обеспечение безопасного и эффективного использования информационных ресурсов Организации, а также защиту информации от несанкционированного доступа, использования, раскрытия, изменения или уничтожения.
1.4. Положение подлежит пересмотру и обновлению по мере необходимости, но не реже одного раза в год, с учетом изменений в законодательстве Российской Федерации и внутренних потребностях Организации.
1.5. Целями настоящего Положения являются:
обеспечение реализации права на доступ к информации, образовательным ресурсам и информационным технологиям для сотрудников и обучающихся Организации;
создание условий для эффективного использования информационных систем и сетей в образовательном процессе, научно-исследовательской деятельности и административном управлении;
обеспечение безопасности информационных ресурсов Организации, защита от несанкционированного доступа, вредоносного программного обеспечения и других угроз;
соблюдение требований законодательства Российской Федерации в области защиты информации, персональных данных и интеллектуальной собственности;
предотвращение использования информационных систем и сетей Организации для совершения противоправных действий, распространения незаконной информации и нарушения прав третьих лиц;
повышение уровня информационной культуры и грамотности сотрудников и обучающихся Организации.
1.6. Действие настоящего Положения распространяется на всех сотрудников Организации, включая административно-управленческий персонал, педагогических работников, учебно-вспомогательный персонал, а также на обучающихся по программам дополнительного профессионального образования и иных лиц, имеющих доступ к информационным системам и сетям Организации.
1.7. К информационным системам и информационно-телекоммуникационным сетям Организации, на которые распространяется действие настоящего Положения, относятся:
локальная вычислительная сеть (ЛВС) Организации;
доступ к сети Интернет, предоставляемый Организацией;
официальный сайт Организации;
электронная почта Организации;
информационные системы управления образовательным процессом (например, системы дистанционного обучения, электронные библиотеки);
системы хранения и обработки персональных данных;
другие информационные ресурсы, используемые в деятельности Организации.
1.8. Положение также распространяется на использование личных устройств (компьютеров, ноутбуков, планшетов, смартфонов) сотрудников и обучающихся при подключении к информационным системам и сетям Организации.
2. Основные понятия, используемые в настоящем Положении:
2.1. Информационная система (ИС) – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
2.2. Информационно-телекоммуникационная сеть (ИТС) – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
2.3. Доступ к информации – возможность получения информации и ее использования.
2.4. Авторизация – процесс предоставления пользователю прав на выполнение определенных действий в информационной системе или сети.
2.5. Аутентификация – процедура проверки подлинности пользователя путем сравнения введенных им данных (например, логина и пароля) с данными, хранящимися в системе.
2.6. Идентификация – присвоение пользователю уникального имени (идентификатора) в информационной системе или сети.
2.7. Учетная запись – запись, содержащая информацию, необходимую для идентификации и авторизации пользователя в информационной системе или сети.
2.8. Пользователь – лицо, имеющее доступ к информационным системам и сетям Организации.
2.9. Администратор – лицо, ответственное за управление и обеспечение безопасности информационных систем и сетей Организации.
2.10. Информационная безопасность – состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий, которые могут нанести ущерб ее владельцам или пользователям.
2.11. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.12. Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и локальными нормативными актами Организации.
2.13. Иные понятия, используемые в настоящем Положении, применяются в значениях, определенных законодательством Российской Федерации.
3. Общие принципы организации доступа к информационным системам и сетям:
3.1. Законность – доступ к информационным системам и сетям предоставляется в соответствии с требованиями законодательства Российской Федерации и локальными нормативными актами Организации.
3.2. Необходимость – доступ предоставляется только к тем информационным ресурсам, которые необходимы пользователю для выполнения его должностных обязанностей или учебных задач.
3.3. Минимальные привилегии – пользователям предоставляются минимально необходимые права доступа для выполнения их задач.
3.4. Персональная ответственность – каждый пользователь несет персональную ответственность за свои действия в информационных системах и сетях Организации.
3.5. Регулярный контроль – Организация осуществляет регулярный контроль за соблюдением правил доступа и информационной безопасности.
3.6. Обучение и информирование – Организация обеспечивает обучение и информирование пользователей о правилах доступа, информационной безопасности и защите персональных данных.
3.7. Разделение полномочий – функции управления доступом и обеспечения информационной безопасности должны быть разделены между различными сотрудниками Организации.
3.8. Учет и аудит – все действия пользователей в информационных системах и сетях должны быть зарегистрированы и доступны для аудита.
3.9. Организация доступа к информационным системам и сетям осуществляется на основе следующих принципов:
централизованное управление учетными записями пользователей;
использование надежных методов аутентификации (например, парольная защита, двухфакторная аутентификация);
дифференцированный подход к определению прав доступа в зависимости от ролей и задач пользователей;
мониторинг и контроль действий пользователей в информационных системах и сетях;
реагирование на инциденты информационной безопасности и нарушения правил доступа.
4. Ответственность за организацию и обеспечение доступа к информационным системам и сетям
4.1. Организации несет сотрудник, назначенный приказом руководителя Организации.
4.2. Ответственное лицо:
разрабатывает и актуализирует настоящее Положение;
организует создание и управление учетными записями пользователей;
определяет уровни доступа к информационным ресурсам;
осуществляет мониторинг и контроль за соблюдением правил доступа и информационной безопасности;
проводит обучение и консультации для пользователей по вопросам использования информационных систем и сетей;
реагирует на инциденты информационной безопасности и нарушения правил доступа;
взаимодействует с подразделениями Организации по вопросам обеспечения информационной безопасности.
4.3. В своей деятельности ответственное лицо руководствуется законодательством Российской Федерации, локальными нормативными актами Организации и настоящим Положением.
4.4. Руководитель Организации утверждает настоящее Положение и обеспечивает его выполнение всеми сотрудниками и обучающимися. Руководитель Организации также несет ответственность за обеспечение необходимых ресурсов для реализации настоящего Положения и поддержания информационной безопасности Организации.
4.5. Настоящее Положение является основой для разработки иных локальных нормативных актов Организации, регламентирующих вопросы информационной безопасности и защиты информации.
4.6. В своей деятельности Организация руководствуется нормативными документами, в частности:
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- Приказ Рособрнадзора от 14.08.2020 № 831 «Об утверждении Требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети «Интернет» и формату представления информации».
