ГУБЕРНАТОР КУРСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 9 октября 2009 г. № 335
ОБ УТВЕРЖДЕНИИ РЕГЛАМЕНТА ИСПОЛЬЗОВАНИЯ ЕДИНОЙ
ИНФОРМАЦИОННОЙ КОММУНИКАЦИОННОЙ СРЕДЫ КУРСКОЙ ОБЛАСТИ
В соответствии с Законом
Курской области "Об информационных системах Курской области" и в целях развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации постановляю:
Утвердить прилагаемый Регламент
использования Единой информационной коммуникационной среды Курской области.
Губернатор
Курской области
А.Н.МИХАЙЛОВ
Утвержден
постановлением
Губернатора Курской области
от 9 октября 2009 г. № 335
РЕГЛАМЕНТ
ИСПОЛЬЗОВАНИЯ ЕДИНОЙ ИНФОРМАЦИОННОЙ КОММУНИКАЦИОННОЙ СРЕДЫ
КУРСКОЙ ОБЛАСТИ
1. Принятые сокращения и определения
АС - автоматизированная система.
ЕИКС Курской области - единая информационная коммуникационная среда Курской области.
ЛВС - локальная вычислительная сеть.
МЭ - межсетевой экран.
НСД - несанкционированный доступ.
ОС - операционная система.
РД - руководящий документ.
СВТ - средства вычислительной техники.
СЗИ НСД - средства защиты информации от несанкционированного доступа.
СУБД - система управления базами данных.
ФСТЭК - Федеральная служба по техническому и экспортному контролю.
ЭЦП - электронная цифровая подпись.
Участник информационного взаимодействия (Участник ЕИКС Курской области) - органы государственной власти, учреждения, организации Курской области, имеющие подключение к ЕИКС Курской области.
2. Общие положения. Основные задачи, организация,
контроль, руководство
Регламент использования ЕИКС Курской области (далее - Регламент) определяет содержание и порядок совместного использования ЕИКС Курской области и обеспечения безопасности информационных ресурсов ЕИКС Курской области.
Настоящий Регламент предназначен для практического использования участниками информационного взаимодействия при организации и проведении мероприятий по использованию ЕИКС Курской области.
Требования и рекомендации Регламента обязательны для выполнения всеми должностными лицами участников информационного взаимодействия при организации и проведении мероприятий по использованию ЕИКС Курской области.
Регламент разработан в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации", Федеральным законом "О персональных данных", Федеральным законом "О коммерческой тайне", Федеральным законом "Об электронной цифровой подписи", Указом Президента Российской Федерации от 17 марта 2008 г. № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", Указом Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера" и руководящими документами ФСТЭК России, Законом
Курской области "Об информационных системах Курской области" и постановлением
Администрации Курской области от 29.09.2008 № 306 "О мерах по противодействию коррупции".
Регламент определяет комплекс организационных и технических мероприятий по обеспечению эффективного и бесперебойного функционирования ЕИКС Курской области.
Регламент проходит согласование у руководителей участников информационного взаимодействия и утверждается Губернатором Курской области.
Доступ к ресурсам ЕИКС Курской области предоставляется сотрудникам участников информационного взаимодействия для выполнения ими должностных обязанностей.
ЕИКС Курской области предназначена для:
осуществления информационного взаимодействия, в том числе юридически значимого, между пользователями ЕИКС Курской области;
формирования и использования общих информационных ресурсов;
предоставления собственных информационных ресурсов в совместное пользование определенным участникам информационного взаимодействия для более эффективного выполнения служебных задач;
проведения единой политики в сфере информационных технологий и безопасности информации всеми участниками информационного взаимодействия.
Основными задачами Регламента являются:
определение порядка создания и формирования информационных ресурсов ЕИКС Курской области;
организация иерархической системы администрирования ЕИКС Курской области;
определение порядка использования информационных ресурсов ЕИКС Курской области;
организация электронного документооборота, в том числе юридически значимого, между пользователями ЕИКС Курской области;
определение порядка использования ЭЦП в процессе информационного взаимодействия между пользователями ЕИКС Курской области;
определение требований при подключении к сторонним информационным сетям и предоставлении доступа к информационным ресурсам ЕИКС Курской области сторонним организациям, учреждениям и предприятиям;
определение методов защиты информационных ресурсов ЕИКС Курской области и организация мероприятий по обеспечению их безопасности;
организация контроля защищенности информационных ресурсов ЕИКС Курской области.
В состав информационных ресурсов ЕИКС Курской области входят:
общие информационные ресурсы ЕИКС Курской области;
информационные ресурсы участников информационного взаимодействия, предоставленные для совместного использования в рамках ЕИКС Курской области;
информационные ресурсы участников информационного взаимодействия, входящие в состав ЕИКС Курской области, но не предназначенные для совместного использования;
устройства и средства информационного взаимодействия и защиты информации.
Информационные ресурсы, созданные или приобретенные участником информационного взаимодействия, являются его собственностью. Участник информационного взаимодействия, в рамках использования информационных ресурсов ЕИКС Курской области, обязан обеспечить проведение всех необходимых мероприятий по защите указанных информационных ресурсов на уровне не ниже установленного для информационных ресурсов ЕИКС Курской области соответствующего класса.
Общими информационными ресурсами ЕИКС Курской области являются ресурсы, созданные участниками информационного взаимодействия количеством более одного и расположенные на серверах ЕИКС Курской области. Ограничения по доступу к указанным ресурсам определяются администрацией ЕИКС Курской области. Собственником данных ресурсов является Администрация Курской области в лице уполномоченного органа, определяемого актом Губернатора Курской области.
Ответственность за обеспечение проведения мероприятий по защите и формированию информационных ресурсов участников информационного взаимодействия возлагается на руководителя участника информационного взаимодействия.
Ответственность за обеспечение проведения мероприятий по защите и формированию общих информационных ресурсов ЕИКС Курской области возлагается на администрацию ЕИКС Курской области.
Штатный состав администрации ЕИКС Курской области формируется из сотрудников органа исполнительной власти Курской области, уполномоченного в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации, и утверждается совместно со структурой администрации ЕИКС Курской области распоряжением Администрации Курской области. Для решения конкретных задач в структуру администрации ЕИКС Курской области могут быть включены по согласованию специалисты одного или нескольких участников информационного взаимодействия по представлению руководителя администрации ЕИКС Курской области или участника информационного взаимодействия.
Общее руководство в сфере развития и формирования ЕИКС Курской области и информационных ресурсов осуществляет администрация ЕИКС Курской области, для исполнения чего администрация ЕИКС Курской области наделяется следующими правами и обязанностями:
разрабатывать, согласовывать и вносить изменения и дополнения в настоящий Регламент;
самостоятельно проводить мероприятия по контролю защищенности общих информационных ресурсов ЕИКС Курской области - информационных ресурсов участников информационного взаимодействия по согласованию с руководством и привлечением специалистов данного участника информационного взаимодействия;
координировать работу по администрированию ЕИКС Курской области;
формировать реестр участников информационного взаимодействия;
подготавливать и вносить предложения по реформированию и развитию ЕИКС Курской области.
3. Заключение соглашений по присоединению к ЕИКС
Курской области заинтересованных органов,
учреждений и организаций
Настоящий Регламент определяет следующий порядок по присоединению к ЕИКС Курской области заинтересованных органов, учреждений и организаций.
1. В адрес администрации ЕИКС Курской области от заинтересованного органа, учреждения или организации направляется заявка о присоединении к ЕИКС Курской области, содержащая данные о полном наименовании, месте нахождения, основных направлениях деятельности, форме собственности и учредителях юридического лица. К заявке прилагается анкета
согласно приложению № 2. Для уточнения сведений о подавшем заявку органе, учреждении или организации, а также структуре и порядке эксплуатации их информационных систем администрацией ЕИКС Курской области запрашивается необходимая информация от подавшего заявку органа, учреждения или организации.
2. Администрация ЕИКС Курской области в течение 7 рабочих дней направляет участникам информационного взаимодействия информацию о поступившей заявке. Участник информационного взаимодействия в двухнедельный срок предоставляет свое заключение о возможности присоединения к ЕИКС Курской области подавшего заявку органа, учреждения или организации.
3. В случае непредоставления заключения в администрацию ЕИКС Курской области от участников информационного взаимодействия в указанный срок, позиция данного участника информационного взаимодействия не будет учтена при решении вопроса о предоставлении доступа к ЕИКС Курской области. В случае предоставления отрицательного заключения участником информационного взаимодействия данное заключение должно содержать четкое и мотивированное обоснование отказа, без чего оно также не будет учтено при рассмотрении вопроса о предоставлении доступа к ЕИКС Курской области.
4. Администрация ЕИКС Курской области на основании поступивших заключений и данных, поступивших от подавшего заявку органа, учреждения или организации, в течение 20 календарных дней подготавливает решение о возможности подключения к ЕИКС Курской области указанного органа, учреждения или организации, которое выносится на рассмотрение заместителю Губернатора Курской области - Управляющему делами Администрации Курской области.
5. В случае принятия положительного решения Администрацией Курской области с заинтересованным органом, учреждением или организацией заключается соглашение об обеспечении доступа к ЕИКС Курской области. Типовое соглашение
об обеспечении доступа к ЕИКС Курской области представлено в приложении № 1 к настоящему Регламенту.
6. Администрация ЕИКС Курской области вносит указанный орган, учреждение или организацию в перечень участников информационного взаимодействия и предоставляет технологические возможности для присоединения к ЕИКС Курской области.
7. В случае принятия отрицательного решения орган, учреждение или организация, подавшая заявку, информируется о данном решении в двухнедельный срок со дня принятия решения.
4. Порядок формирования, использования, разграничения
доступа единых, совместных и распределенных
информационных ресурсов
1. Формирование информационных ресурсов ЕИКС Курской области осуществляется при соблюдении следующих требований:
- эффективное использование информационных ресурсов в общественном производстве и для управления территорией;
- обеспечение необходимого уровня информационной безопасности субъектов информационных отношений;
- обеспечение структурной и функциональной устойчивости системы информационных ресурсов органов государственной власти и органов местного самоуправления;
- обеспечение экономической эффективности пользования информационными ресурсами;
- вхождение информационных ресурсов федеральных, муниципальных и иных информационных систем, расположенных на территории Курской области, в ЕИКС Курской области.
2. Формирование информационных ресурсов ЕИКС Курской области производится на основе:
- единой системы правового регулирования информационных отношений на территории Курской области;
- унификации системы документов и правил документирования на всей территории Курской области, ведения и применения регистров, кадастров, классификаторов, иных стандартов и нормативов в управлении информационными ресурсами;
- единого порядка учета, регистрации, сертификации и лицензирования в системе формирования информационных ресурсов;
- обеспечения потребителей достоверной, полной информацией;
- обеспечения совместимости информационных ресурсов в информационных системах органов государственной власти Курской области и органов местного самоуправления, организаций и общественных объединений.
3. Информационные ресурсы ЕИКС Курской области формируются на основе информации, создаваемой, обрабатываемой и накапливаемой в процессе:
- деятельности органов государственной власти Курской области, органов местного самоуправления, государственных (муниципальных) учреждений, иных организаций;
- информационного взаимодействия органов государственной власти Курской области с федеральными органами государственной власти, с органами государственной власти других субъектов Российской Федерации, организациями и гражданами.
4. Деятельность по формированию информационных ресурсов осуществляется операторами информационных систем. Решения о создании государственных информационных систем для формирования включаемых в них информационных ресурсов включаются в программы и планы работ по информатизации области.
5. В случае принятия решения о прекращении деятельности организации - оператора информационной системы, содержащей информационные ресурсы ЕИКС Курской области, собственник информационных ресурсов определяет порядок передачи информационных ресурсов иному оператору и (или) порядок дальнейшего использования таких информационных ресурсов.
6. Лица, уполномоченные создавать и формировать информационные ресурсы, предназначенные для использования в ЕИКС Курской области, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность за предоставление несоответствующей информации и несоблюдение требований по информационной безопасности в соответствии с действующим законодательством Российской Федерации.
7. Пользователями информационных ресурсов ЕИКС Курской области являются:
- территориальные органы федеральных органов исполнительной власти;
- органы государственной власти Курской области;
- органы местного самоуправления Курской области;
- организации и общественные объединения.
8. Порядок получения пользователем информации (указание места, времени, ответственных должностных лиц, необходимых процедур) определяет собственник информационных ресурсов с соблюдением требований, установленных настоящим Регламентом.
9. Собственники информационных ресурсов обеспечивают пользователей информацией из информационных ресурсов ЕИКС Курской области на основе законодательства Российской Федерации, настоящего Регламента, их уставов (положений), а также договоров на услуги по информационному обеспечению.
10. Использование информационных ресурсов должно соответствовать правовому режиму, установленному федеральным законодательством и законодательством Курской области, следующих объектов гражданских прав:
- информации, составляющей информационные ресурсы;
- программных и иных средств организации (представления) информации в информационных системах;
- материальных (бумажных, магнитных, оптических и иных) носителей информации, составляющей информационные ресурсы, а также иных технических средств обеспечения информационных систем.
Использование указанных объектов в нарушение установленного правового режима не допускается.
11. Использование государственных информационных ресурсов в интересах органов государственной власти Курской области, информационное взаимодействие между органами государственной власти Курской области, органами местного самоуправления, территориальными органами федеральных органов исполнительной власти, государственными (муниципальными) предприятиями по вопросам их компетенции и деятельности производятся на безвозмездной основе. Финансирование мероприятий по созданию и эксплуатации государственных информационных ресурсов производится за счет средств, направляемых на финансирование деятельности указанных органов (организаций) или соответствующих целевых программ.
12. Доступ граждан Российской Федерации к информации по вопросам реализации их конституционных прав и свобод, а также к информации особой социальной значимости осуществляется бесплатно.
13. Порядок накопления, обработки, использования информации и порядок доступа к ней определяются оператором информационной системы в пределах своей компетенции в соответствии с законодательством Российской Федерации.
5. Ситуационный центр (межведомственная информационная
служба) и его взаимодействие с информационными службами
органов, учреждений и организаций
Настоящий раздел определяет порядок предоставления информации, формируемой на основании данных автоматизированных информационных систем, функционирующих в исполнительных органах государственной власти Курской области и подведомственных им организациях, а также территориальных органах федеральных органов исполнительной власти и подведомственных им организациях, органов местного самоуправления и подведомственных им организациях по согласованию с ними (далее - ответственные организации) в Ситуационный центр Курской области.
В настоящем разделе используются следующие понятия:
Ситуационный центр Курской области - организационно-техническое объединение компактно размещенных технических подсистем и рабочих мест руководителей Администрации Курской области, Правительства Курской области и экспертов, предназначенное для обеспечения поддержки принятия решений исполнительными органами государственной власти Курской области, территориальными органами федеральных органов исполнительной власти и органами местного самоуправления Курской области в повседневной деятельности и в условиях чрезвычайных ситуаций.
Реальный режим времени - в любой момент времени информационная система представляет только актуальную информацию и позволяет осуществлять управление непрерывно.
Картографическая информация - формализованное представление в цифровом виде данных об объектах топографической карты, которое включает в себя цифровое описание пространственного распространения объекта, его смыслового содержания (семантика объекта цифровой топографической карты) и пространственно-логических связей.
Хранилище данных - предметно ориентированная информационная корпоративная база данных, предназначенная для подготовки отчетов, анализа бизнес-процессов и поддержки принятия решений. Хранилище данных опирается на большое число баз данных и представляет пользователям и прикладным программам информацию в соответствующем виде.
Семантическая информация - информация, предполагающая актуальную или потенциальную возможность раскрытия потребителем ее содержания, смысла, закодированного теми или иными знаковыми средствами.
Целями функционирования Ситуационного центра Курской области являются:
1. Повышение эффективности информационно-аналитического обеспечения деятельности Администрации Курской области и Правительства Курской области, исполнительных органов государственной власти Курской области за счет принятия решений на основе интегрированной информации, получаемой от участвующих в информационном взаимодействии исполнительных органов государственной власти Курской области, подведомственных им организаций, федеральных органов государственной власти и органов местного самоуправления.
2. Организация автоматизированного информационного взаимодействия исполнительных органов государственной власти Курской области в рамках создания и эксплуатации Ситуационного центра Курской области.
Территориальные органы федеральных органов исполнительной власти и подведомственные им организации, органы местного самоуправления и подведомственные им организации, представляют информацию в Ситуационный центр Курской области на основании соглашений, заключаемых между территориальными органами федеральных органов исполнительной власти и подведомственными им организациями, органами местного самоуправления и подведомственными им организациями и уполномоченным органом исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации.
Перечень ответственных организаций с указанием видов представляемой информации, периодичность ее поступления, режимы поступления в Ситуационный центр Курской области по согласованию с указанными организациями, устанавливаются актом Губернатора Курской области. Указанный акт разрабатывается в установленном порядке уполномоченным органом исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации.
Порядок представления информации в Ситуационный центр Курской области:
1. Ответственные организации обеспечивают представление информации в следующих режимах:
в регламентном режиме - состав и периодичность представления информации строго регламентированы;
в режиме реального времени - в каждый момент заранее согласованного периода времени автоматизированная информационная система ответственной организации представляет для размещения в хранилище данных Ситуационного центра Курской области оперативную информацию о процессах и (или) объектах наблюдения. Период времени, когда осуществляется представление информации, определяется планом мероприятий, проводимых в Курской области, и режимом работы Ситуационного центра Курской области;
по запросу - представление информации осуществляется по мере необходимости по предварительному запросу, определяющему период представления и состав представляемой информации.
2. Состав представляемой информации, структуры и форматы данных, способы представления информации определяются протоколом информационного взаимодействия при представлении информации в Ситуационный центр Курской области в электронном виде (далее - протокол), который утверждается уполномоченным органом исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация) и обеспечения защиты информации по согласованию с ответственными организациями.
3. Информация, передаваемая в регламентном режиме и по запросу, должна быть подписана электронной цифровой подписью должностного лица, ответственного за представление информации в Ситуационный центр Курской области.
4. Представление и сопровождение сертификатов открытых ключей электронной цифровой подписи обеспечивает в соответствии с разделом
настоящего Регламента "Единый электронный документооборот. Почтовые системы. Использование юридически значимого документооборота в ЕИКС Курской области".
5. Представление информации в регламентном режиме осуществляется в два этапа:
5.1. На первом этапе информация предоставляется в уполномоченный орган исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация) и обеспечения защиты информации для размещения в хранилище данных Ситуационного центра Курской области в полном объеме, включая классификаторы и справочники.
5.2. На втором этапе с установленной периодичностью представляются только изменения данных, происшедшие с момента предыдущей передачи.
Администрация Курской области проводит работу по внедрению в эксплуатацию единых классификаторов в рамках системы классификаторов, используемых исполнительными органами государственной власти Курской области при предоставлении информации в Ситуационный центр Курской области.
6. Передача информации осуществляется по каналам ЕИКС Курской области, курьером (на электронном носителе) или иным способом. При передаче информации курьером прием-передача информации производится в ответственной организации.
7. Для обеспечения предоставления информации в ответственных организациях назначаются должностные лица, ответственные за представление информации. Выписки из приказов о назначении должностных лиц, ответственных за представление информации, с указанием адресов электронной почты, закрепленных за ними, представляются в уполномоченный орган исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация).
8. По факту приема-передачи информации на электронном носителе составляется акт, который подписывается ответственным должностным лицом уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация) и обеспечения защиты информации, а также ответственным в организации на момент приема-передачи информации. При передаче информации по электронной почте с использованием ЭЦП получатель направляет в адрес ответственного в организации уведомление о получении информации.
9. Ответственность за своевременную подготовку и передачу информации в соответствии с Регламентом, а также за достоверность передаваемой информации несет ответственная организация.
В Ситуационном центре Курской области обрабатывается и передается открытая и конфиденциальная информация, которая подлежит защите в соответствии с требованиями действующего законодательства Российской Федерации по защите информации.
6. Требования к классу защищенности информационных
систем с ограниченным доступом. Требования
к программно-аппаратным средствам защиты информации
Обеспечение защиты конфиденциальной информации при обработке ее на средствах вычислительной техники в федеральных, муниципальных и государственных органах осуществляется в соответствии с требованиями документов ФСТЭК России по защите информации от несанкционированного доступа, Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, одобренными решением коллегии Гостехкомиссии России от 02.03.2001 № 7.2(СТР-К), нормативными и методическими документами ФСТЭК России, утвержденными 12 февраля 2008 г.
Классификация автоматизированных систем осуществляется на основании требований РД ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", совместного приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" и настоящего раздела Регламента.
При проектировании вновь создаваемых АС на базе средств вычислительной техники перечень требований по защите информации указывается проектной документацией в разделе "Специальные требования по защите информации технического задания на создание АС". Требования по защите информации разрабатываются одновременно с другими разделами технического задания с привлечением сотрудников подразделений по защите информации.
Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.
В соответствии с РД ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации" и совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 "Порядок проведения классификации информационных систем персональных данных" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:
АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;
АС, обрабатывающие персональные данные, должны быть отнесены к классам К1, К2 и К3.
Для обработки конфиденциальной информации необходимо использовать технические и программные средства, удовлетворяющие установленным в соответствии с действующим законодательством требованиям, обеспечивающим защиту информации.
Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые при этом средства защиты информации должны быть сертифицированы.
Подключение информационных систем операторов к ЕИКС Курской области должно осуществляться в соответствии с требованиями действующего законодательства в сфере защиты информации.
Средства защиты информации от несанкционированного доступа (СЗИ НСД), устанавливаемые на рабочие станции и серверы при обработке на них информации с ограниченным доступом, должны осуществлять:
- идентификацию и аутентификацию пользователей при доступе к рабочим станциям и серверам внутренней ЛВС по идентификатору и паролю;
- контроль доступа к ресурсам рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа;
- регистрацию доступа к ресурсам рабочих станций и серверов внутренней ЛВС, включая попытки НСД;
- регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов).
При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных в состав программного обеспечения рабочей станции или сервера.
7. Регистрация пользователей ЕИКС Курской области.
Доступ к информационным ресурсам. Назначение доступа
к ресурсам ЕИКС Курской области
Состав пользователей ЕИКС Курской области и их допуск к информационным ресурсам ЕИКС Курской области устанавливаются по письменному разрешению администрации ЕИКС Курской области, которое дается по рассмотрению письменного представления руководителя участника ЕИКС Курской области и строго контролируется. Все изменения состава пользователей ЕИКС Курской области, их прав должны регистрироваться.
Пользователь ЕИКС Курской области имеет доступ только к тем информационным ресурсам ЕИКС Курской области, которые разрешены для него.
Каждый администратор ЕИКС Курской области и пользователь ЕИКС Курской области должен иметь уникальные идентификаторы и пароли, а в случае использования криптографических средств защиты информации - ключи шифрования для криптографических средств, используемых для защиты информации при передаче ее по каналам связи и хранения, и для систем электронной цифровой подписи. При этом администраторы ЕИКС Курской области и пользователи ЕИКС Курской области должны нести ответственность за сохранность своих идентификаторов и паролей.
Администраторы ЕИКС Курской области и пользователи ЕИКС Курской области несут персональную ответственность за нарушения порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник участников ЕИКС Курской области должен подписывать соглашение о соблюдении установленных требований по сохранению информации ограниченного доступа и ответственности за их нарушение, а также правил работы с защищаемой информацией в ЕИКС Курской области.
8. Учет и протоколирование работы пользователей в ЕИКС
Курской области. Контроль использования ресурсов
ЕИКС Курской области
Система учета работы пользователей ЕИКС Курской области должна быть построена по иерархической схеме. В каждом участнике ЕИКС Курской области должен вестись учет работы пользователей ЕИКС Курской области данной организации с точки зрения входа/выхода пользователей в систему ЕИКС Курской области, совершаемых пользователями действий. Кроме того, в каждом участнике ЕИКС Курской области должен быть организован контроль и регистрация обращений всех пользователей ЕИКС Курской области к информационным ресурсам, обслуживаемым данным участником ЕИКС Курской области. На уровне ЕИКС Курской области должна быть реализована система центрального учета и протоколирования для получения полной информации о действиях пользователей ЕИКС Курской области и использовании ресурсов ЕИКС Курской области. При этом системы протоколирования и учета должны позволять при регистрации событий сохранять следующую информацию:
1. Дата и время события.
2. Идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие
3. Действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
]]>├────┼────────────────────────────────────────────────┼─────────┼─────────┤
│ 2. │ │ │ │
├────┼────────────────────────────────────────────────┼─────────┼─────────┤
│ 3. │ │ │ │
├────┼────────────────────────────────────────────────┼─────────┼─────────┤
│ 4. │ │ │ │
├────┼────────────────────────────────────────────────┼─────────┼─────────┤
│ 5. │ │ │ │
├────┼────────────────────────────────────────────────┼─────────┼─────────┤
│ 6. │ │ │ │
├────┼────────────────────────────────────────────────┼─────────┼─────────┤
│ 7. │ │ │ │
├────┼────────────────────────────────────────────────┼─────────┼─────────┤
│ 8. │ │ │ │
├────┼────────────────────────────────────────────────┼─────────┼─────────┤
│ 9. │ │ │ │
└────┴────────────────────────────────────────────────┴─────────┴─────────┘
1.3. Отмеченные Участником ЕИКС Курской области услуги оказываются Администрацией ЕИКС Курской области в соответствии с условиями, определенными в соответствующих статьях настоящего Соглашения.
1.4. Проведение работ, перечисленных в пункте 1.2
настоящего Соглашения, производится при наличии технической возможности проведения данных работ и в соответствии с требованиями Регламента использования Единой информационной коммуникационной среды.
1.5. Подключение к локальной сети Курской области и предоставление доступа к информационным ресурсам ЕИКС Курской области производится в течение ___ рабочих дней с момента подписания данного Соглашения.
1.6. Перечень информационных ресурсов, к которым предоставляется доступ Участнику ЕИКС Курской области, определяется в соответствии с заявкой, одобренной Администрацией ЕИКС Курской области.
1.7. Доступ Участника ЕИКС Курской области к ЕИКС Курской области осуществляется Администрацией ЕИКС Курской области в соответствии с Регламентом ЕИКС Курской области.
2. Права и обязанности Сторон
2.1. Администрация ЕИКС Курской области вправе:
2.1.1. Проводить регламентные работы с приостановкой доступа Участника ЕИКС Курской области к ресурсам ЕИКС Курской области на период проведения работ. При этом Администрация ЕИКС Курской области должна известить Участника ЕИКС Курской области о проведении данных работ не менее чем за 24 часа до начала проведения регламентных работ.
2.1.2. Приостановить доступ Участника к ресурсам ЕИКС Курской области в случае нарушения им утвержденных документов, регламентирующих работу ЕИКС Курской области, а также нарушения положений действующего законодательства на территории Российской Федерации.
2.1.3. В случае необходимости изменять условия подключения к ресурсам ЕИКС Курской области, предварительно уведомив об этом Участников ЕИКС Курской области.
2.2. Администрация ЕИКС Курской области обязана:
2.2.1. Обеспечить подключение Участника ЕИКС Курской области к ЕИКС Курской области и доступ к информационным ресурсам ЕИКС Курской области в соответствии с одобренной заявкой Участника ЕИКС Курской области.
2.2.2. Предоставлять Участникам ЕИКС Курской области необходимые идентификационные данные.
2.2.3. В соответствии со своими полномочиями принимать меры по защите информации при работе в ЕИКС Курской области и доступе к информационным ресурсам ЕИКС Курской области.
2.2.4. Незамедлительно информировать Участников ЕИКС Курской области и требовать принятия ими мер в случае обнаружения угроз информационной безопасности при работе пользователей в ЕИКС Курской области.
2.2.5. Своевременно информировать участников ЕИКС Курской области обо всех изменениях, вносимых в структуру ЕИКС Курской области, а также документов регламентирующих работу ЕИКС Курской области.
2.3. Участник ЕИКС Курской области вправе:
2.3.1. Получать доступ к информационным ресурсам ЕИКС Курской области в соответствии с документами, регламентирующими работу ЕИКС Курской области, и в объеме, указанном в заявке Администрации ЕИКС Курской области.
2.3.2. В одностороннем порядке отказаться от доступа к информационным ресурсам ЕИКС Курской области после соответствующего письменного уведомления Администрации ЕИКС Курской области.
2.4. Участник ЕИКС Курской области обязан:
2.4.1. Строго соблюдать положения документов, регламентирующих работу ЕИКС Курской области.
2.4.2. Обеспечить сохранность и невозможность передачи третьим лицам идентификационных параметров, используемых в процессе работы в ЕИКС Курской области или доступа к информационным ресурсам ЕИКС Курской области.
2.4.3. Принимать необходимые меры по защите информации при работе в ЕИКС Курской области или доступе к информационным ресурсам ЕИКС Курской области в соответствии со своими полномочиями.
2.4.4. Довести до всех пользователей и обеспечить выполнение ими всех инструкций и правил работы в ЕИКС Курской области, предоставляемых Организатором.
2.4.5. Незамедлительно устранять причины (как выявленные самим Участником ЕИКС Курской области, так и указанные Организатором) нарушений информационной безопасности при работе в ЕИКС Курской области либо неправомерного использования информационных ресурсов ЕИКС Курской области третьими лицами.
3. Ответственность Сторон
Стороны несут ответственность за неисполнение обязанностей по настоящему Соглашению в соответствии с законодательством Российской Федерации.
4. Разрешение споров
Стороны принимают необходимые меры к тому, чтобы любые спорные вопросы и разногласия, которые могут возникнуть из настоящего Соглашения или в связи с ним, были урегулированы путем переговоров.
5. Обстоятельства и действия непреодолимой силы
5.1. Стороны освобождаются от ответственности за частичное или полное неисполнение обязательств, если такое неисполнение является следствием непреодолимой силы и их последствий: землетрясение, ураган, смерч, другие признанные официально стихийные бедствия, а также военные действия, массовые заболевания, забастовки, ограничения перевозок, изменение существующего законодательства.
5.2. В случае действия обстоятельств непреодолимой силы срок выполнения настоящего Соглашения сторонами отодвигается соразмерно времени, в течение которого действуют обстоятельства непреодолимой силы и их последствия.
6. Срок действия Соглашения, условия его расторжения
6.1. Соглашение вступает в силу с момента его подписания и действует до _____________.
6.2. Настоящее Соглашение может быть расторгнуто по соглашению Сторон.
7. Дополнительные условия
7.1. Все изменения и дополнения оформляются в письменном виде и подписываются уполномоченными представителями Сторон.
7.2. По всем вопросам, не урегулированным настоящим Соглашением, Стороны руководствуются действующим законодательством.
7.3. Настоящее Соглашение составлено в двух экземплярах, имеющих одинаковую юридическую силу, по одному для каждой из Сторон.
8. Адреса и подписи Сторон
Администрация ЕИКС Курской области: Участник ЕИКС Курской области:
Приложение № 2
к Регламенту
использования Единой информационной
коммуникационной среды Курской области
АНКЕТА,
ПРИЛАГАЕМАЯ К ЗАЯВКЕ О ПРИСОЕДИНЕНИИ К ЕИКС КУРСКОЙ ОБЛАСТИ
┌─────────────────────────────────────────────────────────────────────────┐
│Наличие администратора (службы) защиты информации в организации: │
├─────────────────────────────────────────────────────────────────────────┤
│а) существует структура защиты информации │
├─────────────────────────────────────────────────────────────────────────┤
│б) возложены дополнительные обязанности на специалиста (ов) организации │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие локальной сети (далее - ЛС) в организации │
├─────────────────────────────────────────────────────────────────────────┤
│Количество ЛС в организации │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие в ЛС информации с ограниченным доступом │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие электронного документооборота │
├─────────────────────────────────────────────────────────────────────────┤
│Использование юридически значимого документооборота │
├─────────────────────────────────────────────────────────────────────────┤
│Ведение учета электронной почты │
├─────────────────────────────────────────────────────────────────────────┤
│Количество автоматизированных рабочих мест (далее - АРМ) в организации │
│(всего) │
├─────────────────────────────────────────────────────────────────────────┤
│Количество АРМ, входящих в состав ЛС │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие подключения к сетям общего пользования типа Internet или иным │
│сторонним сетям (указать тип и наименование сети): │
├─────────────────────────────────────────────────────────────────────────┤
│а) отдельные, не входящие в состав ЛС, АРМ │
├─────────────────────────────────────────────────────────────────────────┤
│б) ЛС организации │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие процедуры идентификации при осуществлении доступа: │
├─────────────────────────────────────────────────────────────────────────┤
│а) к сети "Интернет" │
├─────────────────────────────────────────────────────────────────────────┤
│б) к ЛС │
├─────────────────────────────────────────────────────────────────────────┤
│в) к АРМ │
├─────────────────────────────────────────────────────────────────────────┤
│г) к программам │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие технических средств обеспечения безопасности информации: │
├─────────────────────────────────────────────────────────────────────────┤
│а) средства антивирусной защиты (указать сетевая и/или локальная версии │
│антивируса) │
├─────────────────────────────────────────────────────────────────────────┤
│б) средства защиты информации от несанкционированного доступа │
├─────────────────────────────────────────────────────────────────────────┤
│в) сетевые экраны, анализаторы атак │
├─────────────────────────────────────────────────────────────────────────┤
│г) другие (с указанием типа и наименования используемых средств) │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие технических механизмов обеспечения безопасности информации: │
├─────────────────────────────────────────────────────────────────────────┤
│а) проведение специсследований и аттестационных испытаний АРМ и/или ЛС (с│
│указанием количества аттестованных АРМ и ЛС) │
├─────────────────────────────────────────────────────────────────────────┤
│б) шифрование информации │
├─────────────────────────────────────────────────────────────────────────┤
│при информационном обмене (указать абонентов) │
├─────────────────────────────────────────────────────────────────────────┤
│на локальных АРМ │
├─────────────────────────────────────────────────────────────────────────┤
│в) VPN-каналы (указать абонентов) │
├─────────────────────────────────────────────────────────────────────────┤
│г) сигнализация попыток нарушения защиты │
├─────────────────────────────────────────────────────────────────────────┤
│д) периодическое тестирование АРМ, ЛС и средств защиты информации на │
│предмет качества обеспечения безопасности информации (указать период │
│тестирования) │
├─────────────────────────────────────────────────────────────────────────┤
│д) системы резервного копирования │
├─────────────────────────────────────────────────────────────────────────┤
│е) другие (с указанием типа и наименования используемых механизмов) │
├─────────────────────────────────────────────────────────────────────────┤
│Использование защищенных каналов связи для передачи зашифрованной │
│информации (с грифом "Для служебного пользования" и выше до момента │
│шифрования) │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие физической охраны средств вычислительной техники и носителей │
│информации │
├─────────────────────────────────────────────────────────────────────────┤
│Используемые серверные операционные системы (указать наименование систем │
│и предназначение серверов, на которых они установлены) │
├─────────────────────────────────────────────────────────────────────────┤
│Наличие документов в сфере защиты информации, используемой в организации │
│(указать дату принятия, номер и наименование документов) │
└─────────────────────────────────────────────────────────────────────────┘
Приложение № 3
к Регламенту
использования Единой информационной
коммуникационной среды Курской области
ТИПОВАЯ ИНСТРУКЦИЯ
ПО РАБОТЕ В МЕЖДУНАРОДНОЙ ИНФОРМАЦИОННОЙ СЕТИ "ИНТЕРНЕТ"
1. Общие положения
1.1. Настоящая Инструкция устанавливает порядок использования средств вычислительной техники и связи для выхода в международную информационную сеть "Интернет". Инструкция разработана с учетом требований Федерального закона "Об информации, информационных технологиях и о защите информации", а также действующих руководящих документов по организации работ в области защиты информации, обрабатываемой на объектах вычислительной техники и средств связи, в органах исполнительной власти Курской области.
1.2. Инструкция обязательна для выполнения в органах исполнительной власти Курской области.
2. Общие требования к порядку использования
средств вычислительной техники и связи
при работе в сети "Интернет"
2.1. К эксплуатации технических средств при работе в сети "Интернет" допускаются лица, в должностные обязанности которых входит работа со средствами вычислительной техники и связи (для компьютерной техники - прошедшие обучение на операторов ЭВМ). Для работы на конкретном объекте средств вычислительной техники и связи при работе в сети "Интернет" допускаются лица, внесенные в список пользователей, допущенных к работе на объектах вычислительной техники и средств связи, который утверждается руководителем уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации и обеспечения защиты информации) (далее - уполномоченный орган).
В списке указываются фамилия, имя, отчество пользователей и их должности.
2.2. Технические средства должны эксплуатироваться с соблюдением требований, указанных в руководстве пользователю производителя технического средства.
2.3. Исходящая корреспонденция, отправляемая открытыми каналами электронной почты (E-mail сети "Интернет"), подлежит строгому учету.
2.4. Запрещается работа со служебной информацией на рабочем месте без проведения работ по защите информации. Для недопущения несанкционированного доступа к системе "Интернет" лиц, не включенных в список, должен быть установлен пароль на загрузку операционной системы и на вход в BOIS. Указанный пароль, а также пароли, используемые для доступа к информационным и вычислительным сетям, должны держаться в тайне. Ответственность за работу с внешними носителями информации (дискетами, zip и т.п.) возлагается на оператора ЭВМ.
3. Работа в вычислительных сетях
3.1. Установка протоколов, имена компьютеров определяются системным администратором. Самостоятельная смена настроек и протоколов запрещена.
3.2. Компьютеры, которые обрабатывают информацию конфиденциального характера, не могут быть подсоединены к вычислительным и информационным сетям общего пользования без предварительного проведения работ по защите информации от несанкционированного доступа в соответствии с действующим законодательством по вопросам защиты информации.
4. Доступ к ресурсам сети "Интернет"
4.1. Для выполнения задач, связанных с исполнением служебных обязанностей, пользователю предоставляется доступ к ресурсам сети "Интернет". Доступ к ресурсам сети "Интернет" в других целях запрещен.
4.2. Доступ предоставляется пользователю на основании заявки от руководителя подразделения в адрес уполномоченного органа.
4.3. Доступ к ресурсам сети "Интернет" блокируется системным администратором уполномоченного органа без предварительного уведомления.
4.4. При возникновении нештатных ситуаций уполномоченный орган оставляет за собой право ограничивать доступ к ресурсам сети "Интернет", содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и российским законодательством.
5. Правила работы с ресурсами сети "Интернет"
5.1. При работе с ресурсами сети "Интернет" недопустимо:
- разглашение сведений конфиденциального характера, ставших известными пользователю по служебной необходимости либо иным путем;
- распространение защищенных авторскими правами материалов, затрагивающих патент, торговую марку, коммерческую тайну, копирайт или иные права собственности и/или авторские и смежные права третьей стороны;
- публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам сети "Интернет", а также размещения ссылок на вышеуказанную информацию.
5.2. При работе с ресурсами сети "Интернет" запрещено:
- загружать и запускать файлы без предварительной проверки на наличие вирусов установленным антивирусным пакетом;
- использовать анонимные проксисерверы;
- использовать программные и аппаратные средства, позволяющие получить доступ к ресурсу сети "Интернет", запрещенному к использованию системным администратором департамента информационно-коммуникационных технологий и безопасности информации Курской области;
- сохранять пароль на компьютере (процедура используется для доступа к защищенному паролем ресурсу сети "Интернет", интрасети и т.д.), если компьютер используется несколькими пользователями;
- покидать рабочее место при работе информационного трафика большого объема;
- менять настройки браузера сети, поставленные системным администратором уполномоченного органа, за исключением случаев, когда пользователю для исполнения служебных обязанностей необходим доступ к информационному ресурсу. Ответственность за безопасность работы при изменении браузера сети возлагается на пользователя;
- структурное подразделение Администрации Курской области несет финансовую ответственность за действия своих сотрудников.
6. Доступ к электронной почте
6.1. Для выполнения задач, связанных с исполнением служебных обязанностей, пользователю предоставляется доступ к системе электронной почты. Использование системы электронной почты в других целях запрещено.
6.2. Доступ к системе электронной почты предоставляется пользователю на основании заявки от руководителя структурного подразделения Администрации Курской области в адрес уполномоченного органа.
6.3. Содержимое электронного почтового ящика пользователя может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя.
6.4. При возникновении нештатных ситуаций доступ к серверу электронной почты блокируется системным администратором уполномоченного органа без предварительного уведомления.
7. Правила работы с электронной почтой
Администрации Курской области
7.1. При работе с системой электронной почты Администрации Курской области запрещено:
- использовать адрес почты Администрации Курской области для оформления подписок, без предварительного согласования с системным администратором уполномоченного органа;
- открывать и сохранять исполняемые вложенные файлы (файлы, имеющие расширения exe, bat и т.п.), полученные от неизвестных отправителей, а также вложенные файлы с незнакомыми расширениями;
- публиковать свой адрес либо адреса других пользователей на общедоступных интернет-ресурсах (форумы, конференции и т.п.);
- отправлять сообщения с вложенными файлами, общий объем которых превышает 5 Мб, без предварительного согласования с системным администратором уполномоченного органа;
- открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами;
- осуществлять массовую рассылку почтовых сообщений (более 10) внешним адресатам без согласования с ними;
- осуществлять рассылку почтовых сообщений рекламного характера без предварительного согласования с системным администратором уполномоченного органа;
- осуществлять рассылку через электронную почту материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования, или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли, и прочие средства для получения несанкционированного доступа к платным ресурсам сети "Интернет", а также ссылки на вышеуказанную информацию;
- распространять защищенные авторскими правами материалы, затрагивающие патент, торговую марку, коммерческую тайну, копирайт и иные права собственности и/или авторские и смежные права третьей стороны;
- распространять информацию, содержание и направленность которой запрещены международным и российским законодательством;
- распространять информацию ограниченного доступа;
- предоставлять пароль доступа к своему почтовому ящику.
8. Порядок установки и смены паролей
На компьютерах, используемых для обработки информации, устанавливаются пароли. Пароли устанавливаются самим пользователем или системным администратором уполномоченного органа. Индификаторы (имена) и пароли для доступа к ресурсам локальных и глобальных вычислительных сетей определяются пользователем, ответственным за эксплуатацию вычислительной техники.
