Регламент администрирования сервиса

Обязанности администраторов

1. 
   Администраторы каталога ВМ должны использовать только единую диспетчерскую службу Дирекции ИТ для взаимодействия с другими администраторами.
   
2. 
   Инфраструктурные администраторы, сетевые администраторы и администраторы аудита должны использовать корпоративную почту или единую диспетчерскую службу Дирекции ИТ для взаимодействия с другими администраторами. В случаях аварийных ситуаций им разрешается использование мобильных телефонов для коммуникаций с остальными администраторами.
   
3. 
   Администраторам запрещена передача журналов безопасности или их частей подразделениям, либо сторонним организациям, если это не предусмотрено настоящим регламентом или законодательством РФ.
   
4. 
   После утверждения или обновления регламента администрирования СВРС, администраторы должны ознакомиться с настоящим регламентом до начала работы.
   
5. 
   Администраторы должны использовать для работы с инфраструктурой СВРС только свою персональную учетную запись, а также хранить в тайне соответствующий ей пароль и не допускать его компрометации. В случае компрометации пароля администратор обязан немедленно его изменить и сообщить об этом в единую диспетчерскую службу Дирекции ИТ.
   
6. 
   Администраторы несут полную ответственность за все действия, выполняемые ими при доступе к инфраструктуре СВРС.
   
7. 
   Администратор несет полную ответственность за все действия, произведенные в СВРС, совершенные от имени его учетной записи.
   
8. 
   Администраторы должны использовать лицензионное ПО и средства антивирусной защиты для выполнения своих обязанностей.
   
9. 
   Администраторам запрещается:
   

• 
  Осуществлять доступ к СВРС с использованием чужих атрибутов доступа (логин и пароль) или воспользовавшись чужим сеансом;
  
• 
  Препятствовать работе сервиса или инфраструктуры СВРС;
  
• 
  Использовать, публиковать и передавать информацию, содержащую вредоносное ПО и вирусы, либо их компоненты (за исключением использования подобного ПО в специальных лабораториях в целях выполнения учебной программы);
  
• 
  Осуществлять несанкционированный доступ к сервисам;
  
• 
  Предпринимать попытки взлома механизмов безопасности СВРС;
  
• 
  Использовать системы электронной почты для массовой рассылки нежелательных сообщений (спама).
  

10. 
    В случае нарушения администратором регламента администрирования СВРС доступ администратора к ряду сервисов может быть ограничен с последующим применением дисциплинарных, административных или иных мер, а предоставление СВРС соответствующему Институту может быть прекращено.
    

4. Администраторы каталога ВМ

   1. 
      Администратор каталога ВМ – представитель Института, выполняющий определённые функции по администрированию выделенных Институту пулов виртуальных машин согласно данному регламенту. Как правило, функции Администратора каталога ВМ выполняет Администратор подразделения.
      
   2. 
      Администраторы каталога ВМ должны использовать предоставленные вычислительные ресурсы только для тех задач, для которых данные вычислительные ресурсы были выделены.
      
   3. 
      Администраторы каталога ВМ должны управлять предоставленными вычислительными ресурсами через ПО Citrix Studio, средствами удаленного администрирования серверов, а также по иным регламентам и инструкциям инфраструктурных администраторов.
      
   4. 
      Администраторы каталога ВМ должны самостоятельно с помощью ПО Citrix Studio или по инструкциям инфраструктурных администраторов выполнять создание каталога машин и иные операции на предоставленных вычислительных ресурсах с использованием соответствующих инструкций, в том числе:
      

• 
  Запуск, перезапуск и остановка как всего каталога машин, так и частных ВМ;
  
• 
  Настройки и редактирование золотого образа;
  
• 
  Разворачивание и обновление каталога машин с использованием золотого образа;
  
• 
  Предоставление доступа к каталогу машин определенным группам безопасности из Active Directory.
  

1. 
   Администраторы каталога ВМ на предоставленных им вычислительных ресурсах, а именно - в золотом образе: полностью и самостоятельно осуществляют администрирование и управляют всеми данными, конфигурациями и процессами (при наличии дополнительных регламентов, положений и инструкций - в соответствии с ними), в том числе:
   

• 
  Операционной системой и ее настройками;
  
• 
  Контролем доступа к приложениями;
  
• 
  Драйверами устройств;
  
• 
  Утилитами поддержки виртуализации;
  
• 
  Системным ПО;
  
• 
  Прикладным ПО;
  
• 
  Базами данных и СУБД;
  
• 
  Сервисами и информационными системами;
  
• 
  Антивирусом и персональным межсетевым экраном.
  

1. 
   Администраторы каталога ВМ самостоятельно обеспечивают и восстанавливают работоспособность каталога машин, а также обеспечивают наличие перечисленных выше компонентов.
   
2. 
   Настройки некоторых из перечисленных выше компонентов дополнительно должны быть согласованы с инфраструктурными администраторами, сетевыми администраторами или администраторами аудита. Это относится к компонентам, непосредственно взаимодействующими с внешней средой по отношению к предоставленному вычислительному ресурсу. Сюда входят сетевые настройки (в том числе IP-адреса) и топология подключения к сети, драйвера устройств, утилиты поддержки виртуализации.
   
3. 
   Администраторам каталога ВМ запрещается самовольно без согласования с инфраструктурными или сетевыми администраторами назначать сетевые настройки (в том числе IP-адрес и MAC-адрес).
   
4. 
   Администраторы каталога ВМ должны самостоятельно обрабатывать заявки Пользователей по использованию сервиса.
   
5. 
   Администраторы каталога ВМ должны исключить возможность неосторожного причинения вреда (действием или бездействием) инфраструктуре СВРС.
   
6. 
   Администраторам каталога ВМ запрещается использовать средства администрирования (в т. ч. ошибки и уязвимости в ПО) для получения доступа к ресурсам, доступ к которым им явно не предоставлен.
   
7. 
   Администратор каталога ВМ должен на предоставленных ему вычислительных ресурсах:
   

• 
  Своевременно устанавливать обновления безопасности на ОС;
  
• 
  Своевременно устанавливать и обновлять актуальные версии драйверов, утилит для виртуализации;
  
• 
  Своевременно выключать, удалять каталог машин при завершении цикла работ, а также освобождать иные предоставленные вычислительные ресурсы с уведомлением инфраструктурных администраторов;
  
• 
  Своевременно исключать из группы безопасности AD, которой предоставлен доступ к каталогу машин, пользователей, потерявших право использования СВРС;
  
• 
  Оперативно устранять проблемы внутри ОС, если они влияют на пул вычислительных ресурсов, в том числе обнаруживать и восстанавливать «зависшие» приложения;
  
• 
  Обеспечить наличие не менее 5% свободного дискового пространства на всех предоставленных вычислительных ресурсах. В дополнение к этому на каждом логическом разделе размером более гигабайта обеспечить не менее 512 мегабайт свободного места;
  
• 
  Обеспечить защиту развернутой операционной системы и иного развернутого ПО на предоставленных вычислительных ресурсах, а также данных на уровне приложения и данных на уровне ОС в соответствии с законодательством РФ, нормативными актами УрФУ и требованиями развернутого ПО.
  

1. 
   Администраторам каталога ВМ запрещается фальсификация сетевых адресов (включая IP-адрес и MAC-адрес), а также других идентификационных данных, используемых в сетевых протоколах, при передаче данных в сети Интернет, без согласования с инфраструктурными и сетевыми администраторами.
   
2. 
   Администраторам каталога ВМ запрещается использование вычислительных ресурсов СВРС в качестве маршрутизатора сетевого уровня, прокси-сервера (как TCP-прокси, так и HTTP-прокси, SOCKS-прокси и иные), сервера виртуальной частной сети (VPN), трансляции адресов (NAT) и иных сервисов предоставления доступа в корпоративную сеть, либо туннельных сервисов, а также устанавливать ПО для данных задач, без согласования с инфраструктурными и сетевыми администраторами.
   
3. 
   Администратор каталога ВМ должен самостоятельно своевременно создавать консистентные резервные копии золотых образов и, если необходимо, данных приложений, размещенных в пуле вычислительных ресурсов, а также управлять созданными резервными копиями.
   
4. 
   Администраторы каталога ВМ не должны создавать чрезмерную необоснованную нагрузку на пул вычислительных ресурсов и корпоративную сеть, а также организовать атаки (в том числе и DDOS-атаки).
   
5. 
   Администраторы каталога ВМ должны бережно и экономно использовать предоставленные вычислительные ресурсы. При возможности оптимизации развернутых приложений и сервисов с целью сокращения потребления вычислительных ресурсов, они должны быть оптимизированы Администратором каталога ВМ.
   
6. 
   Для получения возможности воспользоваться вычислительными ресурсами из пула вычислительных ресурсов Администратору каталога ВМ необходимо иметь почтовый ящик в почтовом домене «@urfu.ru».
   
7. 
   Администратор каталога ВМ должен указать мобильный телефон и контактный адрес электронной почты в едином каталоге пользователей для обеспечения возможности оперативной коммуникации в случае аварий.
   
8. 
   Администраторам каталога ВМ запрещено размещать на предоставленных вычислительных ресурсах ИСПДн, персональные данные, сведения составляющие государственную тайну и иные виды конфиденциальной информации без согласования с Управлением информационной безопасности УрФУ и инфраструктурными администраторами.
   
9.