постановление Губернатора Курской области от 17.08.2018 № 336-пг
О внесении изменений в постановление Губернатора Курской области от 09.10.2009 N 335 "Об утверждении Регламента использования Единой информационной коммуникационной среды Курской области"
ГУБЕРНАТОРКУРСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 17 августа2018 г. N 336-пг
О внесенииизменений в постановление Губернатора Курской
области от09.10.2009 N 335 "Об утверждении Регламента
использованияЕдиной информационной коммуникационной среды
Курскойобласти"
Во изменениепостановления Губернатора Курской области от09.10.2009 N 335 "Об утверждении Регламента использования Единойинформационной коммуникационной среды Курской области" постановляю:
1. Внести вРегламент использования Единой информационной коммуникационной среды Курскойобласти, утвержденный постановлением Губернатора Курской области от 09.10.2009N 335 "Об утверждении Регламента использования Единой информационнойкоммуникационной среды Курской области" (в редакции постановленияГубернатора Курской области от 27.05.2014 N 242-пг), изменения, изложив его вновой редакции (прилагается).
2. Признатьутратившим силу пункт 3 изменений, которые вносятся в постановления ГубернатораКурской области, утвержденных постановлением Губернатора Курской области от27.05.2014 N 242-пг "О внесении изменений в постановления ГубернатораКурской области".
Губернатор
Курской области
А.Н.МИХАЙЛОВ
Утвержден
постановлением
ГубернатораКурской области
от 9 октября2009 г. N 335
(в редакциипостановления
ГубернатораКурской области
от 17 августа2018 г. N 336-пг)
РЕГЛАМЕНТ
ИСПОЛЬЗОВАНИЯЕДИНОЙ ИНФОРМАЦИОННОЙ КОММУНИКАЦИОННОЙ СРЕДЫ
КУРСКОЙ ОБЛАСТИ
1.Принятые сокращения и термины
АС -автоматизированная система.
ЕИКС Курскойобласти - единая информационная коммуникационная среда Курской области.
ЛВС - локальнаявычислительная сеть.
МЭ - межсетевойэкран.
НСД -несанкционированный доступ.
ОС -операционная система.
ИС -информационная система.
ПО - программноеобеспечение.
РД - руководящийдокумент.
СВТ - средствавычислительной техники.
СЗИ НСД -средства защиты информации от несанкционированного доступа.
СУБД - системауправления базами данных.
ФСТЭК -Федеральная служба по техническому и экспортному контролю.
ЭП - электроннаяподпись.
ЦУС - Центруправления сетью.
УКЦ -Удостоверяющий Ключевой центр.
ИСММК -Индивидуальный Симметричный Межсетевой Мастер-ключ.
ПАК -программно-аппаратный комплекс.
СЦ ГКО -Ситуационный центр Губернатора Курской области.
Дистрибутивключей - файл с расширением .dst, создаваемый впрограмме ViPNet Удостоверяющий и ключевой центр или ViPNet Manager для каждогопользователя сетевого узла ViPNet. В этом файлепомещены адресные справочники, ключевая информация и файл лицензии, необходимыедля обеспечения первичного запуска и последующей работы программы ViPNet на сетевом узле. Для обеспечения работы программы ViPNet дистрибутив ключей необходимо установить на сетевойузел.
АдминистрацияЕИКС Курской области - орган исполнительной власти Курской области,уполномоченный в сфере развития и использования информационных технологий натерритории Курской области (региональной информатизации) и обеспечения защитыинформации.
Ядро ЕИКСКурской области - оборудование и коммутационные сети, принадлежащее илиарендуемые Администрацией ЕИКС Курской области.
АдминистраторЕИКС Курской области - сотрудник(-и) АдминистрацииЕИКС Курской области, который отвечает за администрирование и защиту ядра ЕИКСКурской области.
Претендент -органы исполнительной власти Курской области, органы местного самоуправленияКурской области, подведомственные учреждения и организации Курской области исторонние организации, желающие подключиться к ЕИКС Курской области, в томчисле к защищенному сегменту сети ViPNet ЕИКС.
Участникинформационного взаимодействия (Участник ЕИКС Курской области) - органыисполнительной власти Курской области, органы местного самоуправления Курскойобласти, подведомственные учреждения и организации Курской области и сторонниеорганизации, имеющие подключение к ЕИКС Курской области.
УчастокЕИКС Курской области - оборудование и коммутационные сети, принадлежащее илиарендуемые Участником ЕИКС Курской области.
Локальныйадминистратор - сотрудник(-и) Участника ЕИКС Курскойобласти, который отвечает за администрирование и защиту Участка ЕИКС Курской области,находящегося в ответственности Участника ЕИКС Курской области.
Абонент ЕИКСКурской области - сотрудник(-и) Участника ЕИКС Курскойобласти, имеющий доступ к информационным ресурсам ЕИКС Курской области (в томчисле Локальный администратор Участника ЕИКС Курской области).
Операторинформационной системы - орган государственной власти Курской области, органместного самоуправления, территориальный орган федерального органаисполнительной власти или организация, осуществляющие деятельность поэксплуатации информационной системы, в том числе по обработке информации,содержащейся в ее базах данных.
Защищенныйсегмент сети ViPNet ЕИКС - сегмент сети ЕИКС, ккоторому подключение осуществляется посредством программных ипрограммно-аппаратных средств ViPNet.
Владелец сети ViPNet - орган государственной власти Курской области,орган местного самоуправления, территориальный орган федерального органаисполнительной власти или организация, которой принадлежит право использованияи администрирования сети ViPNet.
Администраторсети ViPNet - лицо, отвечающее за конфигурированиесети ViPNet, создание и обновление справочно-ключевойинформации для сетевых узлов ViPNet, настройкумежсетевого взаимодействия с доверенными сетями и обладающее правом доступа кпрограмме ViPNet Managerили ViPNet ЦУС и (или) ViPNetУКЦ.
Сеть ViPNet 1366 - сеть, владельцем которой являетсяАдминистрация ЕИКС Курской области.
Абонентскийпункт - сетевой узел ViPNet, который являетсяначальной или конечной точкой передачи данных.
ПользовательАбонентского пункта - обладатель неисключительных прав наПО ViPNet из ViPNet-сети, атакже владелец ключевой информации для доступа в сеть.
2.Общие положения. Основные задачи, организация,
контроль,руководство
Регламентиспользования ЕИКС Курской области (далее - Регламент) определяет содержание ипорядок совместного использования ЕИКС Курской области и обеспечениябезопасности информационных ресурсов ЕИКС Курской области.
НастоящийРегламент предназначен для практического использования участниками информационноговзаимодействия при организации и проведении мероприятий по использованию ЕИКСКурской области.
Требования ирекомендации Регламента обязательны для выполнения всеми должностными лицамиучастников информационного взаимодействия при организации и проведениимероприятий по использованию ЕИКС Курской области.
Регламентразработан в соответствии с Федеральным законом "Об информации,информационных технологиях и о защите информации", Федеральным законом"О персональных данных", Федеральным законом "О коммерческойтайне", Федеральным законом "Об электронной подписи", УказомПрезидента Российской Федерации от 17 марта 2008 г. N 351 "О мерах пообеспечению информационной безопасности Российской Федерации при использованииинформационно-телекоммуникационных сетей международного информационногообмена", Указом Президента Российской Федерации от 6 марта 1997г. N 188 "Об утверждении Перечня сведений конфиденциальногохарактера", руководящими документами ФСТЭК России и Законом Курскойобласти "Об информационных системах Курской области".
Регламентопределяет комплекс организационных и технических мероприятий по обеспечениюэффективного и бесперебойного функционирования ЕИКС Курской области.
Регламентпроходит согласование у руководителей участников информационного взаимодействияи утверждается Губернатором Курской области.
Доступ кресурсам ЕИКС Курской области предоставляется Абонентам ЕИКС Курской областидля выполнения ими должностных обязанностей.
ЕИКС Курскойобласти предназначена для:
осуществленияинформационного взаимодействия, в том числе юридически значимого, междуАбонентами ЕИКС Курской области;
формирования ииспользования общих информационных ресурсов;
предоставлениясобственных информационных ресурсов в совместное пользование определеннымучастникам информационного взаимодействия для более эффективного выполненияслужебных задач;
проведенияединой политики в сфере информационных технологий и безопасности информациивсеми участниками информационного взаимодействия.
Основнымизадачами Регламента являются:
определениепорядка создания и формирования информационных ресурсов ЕИКС Курской области;
организацияиерархической системы администрирования ЕИКС Курской области;
определениепорядка использования информационных ресурсов ЕИКС Курской области;
организацияэлектронного документооборота, в том числе юридически значимого, междупользователями ЕИКС Курской области;
определениепорядка использования ЭП в процессе информационного взаимодействия междуУчастниками ЕИКС Курской области;
определениетребований при подключении к сторонним информационным сетям и предоставлениидоступа к информационным ресурсам ЕИКС Курской области сторонним организациям,учреждениям и предприятиям;
определениеметодов защиты информационных ресурсов ЕИКС Курской области и организация мероприятийпо обеспечению их безопасности;
организацияконтроля защищенности информационных ресурсов ЕИКС Курской области.
В составинформационных ресурсов ЕИКС Курской области входят:
общиеинформационные ресурсы ЕИКС Курской области;
информационныересурсы участников информационного взаимодействия, предоставленные длясовместного использования в рамках ЕИКС Курской области;
информационныересурсы участников информационного взаимодействия, входящие в состав ЕИКСКурской области, но не предназначенные для совместного использования;
устройства исредства информационного взаимодействия и защиты информации.
Информационныересурсы, созданные или приобретенные участником информационного взаимодействия,являются его собственностью. Участник информационного взаимодействия в рамкахиспользования информационных ресурсов ЕИКС Курской области обязан обеспечитьпроведение всех необходимых мероприятий по защите указанных информационныхресурсов на уровне не ниже установленного для информационных ресурсов ЕИКСКурской области соответствующего класса.
Общимиинформационными ресурсами ЕИКС Курской области являются ресурсы, созданныеучастниками информационного взаимодействия количеством более одного ирасположенные на серверах ЕИКС Курской области. Ограничения по доступу к указаннымресурсам определяются Администрацией ЕИКС Курской области. Собственником данныхресурсов является Администрация Курской области в лице уполномоченного органа,определяемого актом Губернатора Курской области.
Ответственностьза обеспечение проведения мероприятий по защите и формированию информационныхресурсов участников информационного взаимодействия возлагается на руководителяучастника информационного взаимодействия.
Ответственностьза обеспечение проведения мероприятий по защите и формированию общихинформационных ресурсов ЕИКС Курской области возлагается на Администрацию ЕИКСКурской области.
Общееруководство в сфере развития и формирования ЕИКС Курской области иинформационных ресурсов осуществляет Администрация ЕИКС Курской области, дляисполнения чего Администрация ЕИКС Курской области наделяется следующимиправами и обязанностями:
разрабатывать,согласовывать и вносить предложения об изменении и дополнении настоящегоРегламента;
самостоятельнопроводить мероприятия по контролю защищенности общих информационных ресурсовЕИКС Курской области - информационных ресурсов Участников ЕИКС Курской областипо согласованию с руководством и с привлечением Локальных администраторов;
координироватьработу по администрированию ЕИКС Курской области;
формироватьреестр участников информационного взаимодействия;
подготавливать ивносить предложения по реформированию и развитию ЕИКС Курской области;
делегироватьполномочия по подключению/отключению участников ЕИКС и обслуживанию ЕИКС своимподведомственным учреждениям.
3.Подключение к ЕИКС Курской области
НастоящийРегламент определяет следующий порядок по присоединению к ЕИКС Курской областиПретендентов.
Претендентсовместно с Администрацией ЕИКС Курской области должен определить возможныйспособ подключения к ЕИКС:
прямоеподключение к ЕИКС (к ближайшему узлу ЕИКС);
подключения кзащищенному сегменту сети ViPNet ЕИКС (сиспользованием сторонних провайдеров).
Для этого вадрес Администрации ЕИСК Курской области от Претендента направляется заявка оприсоединении к ЕИКС Курской области, содержащая данные о полном наименовании,местонахождении, основных направлениях деятельности, форме собственности,учредителях юридического лица и экземпляр соглашения об обеспечении доступа кЕИКС Курской области, подписанный со стороны Претендента. Форма соглашения обобеспечении доступа к ЕИКС Курской области представлена в приложении N 1 кнастоящему Регламенту. Поступившие заявки подлежат обязательной регистрации втечение 2 рабочих дней со дня их поступления.
В случае необходимостиуточнения сведений о подавшем заявку Претенденте, а также структуре и порядкеэксплуатации их ИС Администрация ЕИКС Курской области запрашивает у Претендентанеобходимую информацию.
АдминистрацияЕИКС Курской области в течение 30 календарных дней со дня регистрации заявкипринимает решение о возможности подключения Претендента к ЕИКС Курской областии определяет способ подключения к ЕИКС.
В случаепринятия положительного решения Администрация ЕИКС Курской области в течение 5рабочих дней со дня принятия решения заключает с Претендентом соглашение обобеспечении доступа к ЕИКС Курской области и предоставляет Претенденту сведенияо технологической возможности для присоединения к ЕИКС Курской области, в томчисле способ подключения к сети ЕИКС.
В случае отсутствияюридической или технической возможности подключения Претендента к ЕИКС Курскойобласти Администрация ЕИКС Курской области принимает отрицательное решение, окотором информирует Претендента в течение 5 рабочих дней со дня принятиярешения.
Подключение кзащищенному сегменту сети ViPNet ЕИКС включает в себяследующие стадии:
закупка ПО и/илиПАК;
подача заявки;
рассмотрениезаявки;
получениерегистрационных файлов;
формирование ипередача ключевой информации.
После заключениясоглашения об обеспечении доступа к ЕИКС Курской области Претендентсамостоятельно приобретает ПО ViPNet [Клиент] и/или ViPNet [Координатор] и/или ПАК.
При оформлениидоговорных отношений по приобретению ПО ViPNet[Клиент] и/или ViPNet [Координатор] и/или ПАКПретендент указывает номер Защищенной сети для подключения - 1366.
Послеприобретения вышеуказанного ПО или ПАК Претендент направляет в АдминистрациюЕИКС Курской области заявку о подключении к защищенному сегменту сети ViPNet ЕИКС (приложение N 2 к настоящему Регламенту).
В заявке должнасодержаться следующая информация:
точноеколичество подключаемых Абонентских пунктов;
подробная схемасети Претендента с указанием всех IP-адресов, в том числе запланированных дляподключения;
общий переченьУчастников ЕИКС Курской области, с которыми необходима организация защищенногообмена;
полный переченьИС, к которым необходимо организовать доступ;
тип подключенияк сети "Интернет" или иной сети передачи данных с указанием сведенийо провайдере и используемом оборудовании;
заверенная Претендентомкопия документа, подтверждающего законное приобретение ПО ViPNet(Договор/Контракт);
ФИО, контактныйтелефон и адрес электронной почты лица, ответственного за подключениеПретендента.
Также в адресАдминистрации ЕИКС Курской области необходимо предоставить:
копии приказов оназначении Локального администратора (приложение N 3 к настоящему Регламенту) иАбонентов (приложение N 4 к настоящему Регламенту);
копии соглашенийс Локальным администратором и Абонентами ЕИКС Курской области о неразглашенииинформации, к которой будет получен доступ в связи с выполнением своих функций(приложение N 5 к настоящему Регламенту);
доверенность наполучение дистрибутива ключей (приложение N 6 к настоящему Регламенту).Предоставление доверенности возможно в момент получения дистрибутива ключей.
АдминистрацияЕИКС Курской области регистрирует заявку Претендента о подключении кзащищенному сегменту сети ViPNet ЕИКС в течение 2рабочих дней со дня поступления и в течение 20 рабочих дней со дня регистрациизаявки проводит оценку правильности заполнения всех документов, оснований дляподключения Претендента и технической возможности организации направленийсвязи, доступа к ИС.
РешениеАдминистрации ЕИКС Курской области о возможности предоставления доступа кинформационным ресурсам направляется посредством электронной почты наэлектронный адрес, указанный в заявлении (адрес лица, ответственного заподключение), в течение 3 рабочих дней со дня принятия указанного решения.
АдминистрацияЕИКС Курской области отказывает Претенденту в подключении к защищенномусегменту сети ViPNet ЕИКС в случае предоставленияПретендентом недостоверной и(или) неполной информации.Решение об отказе в подключении Претендента к защищенному сегменту сети ViPNet ЕИКС направляется в письменной форме в адресПретендента в течение 3 рабочих дней со дня принятия указанного решения.
ПодключениеПретендента осуществляется Администрацией ЕИКС Курской области только послеполучения регистрационных файлов от производителя ПО или представителяпроизводителя ПО.
В течение 3рабочих дней со дня принятия положительного решения и получения регистрационныхфайлов Администрация ЕИКС Курской области:
производитрегистрацию Абонентских пунктов в ЦУС;
организовываетнаправления связи между Абонентскими пунктами в соответствии с заявкой наподключение;
формируетдистрибутивы ключей для Абонентских пунктов вместе с паролем доступа к нему;
уведомляет оготовности дистрибутива ключей Претендента посредством электронной почты наэлектронный адрес, указанный в заявлении (адрес лица, ответственного заподключение).
В случае заявкина изготовление более 5 Абонентских пунктов срок выполнения увеличиваетсяпропорционально количеству Абонентских пунктов из расчета каждые 5 Абонентскихпунктов на 1 день.
Претендент вдень получения дистрибутива ключей и пароля доступа к нему должен иметь:
доверенность наполучение дистрибутива ключей (приложение N 6 к настоящему Регламенту);
журнал учетамашинных носителей и средств криптографической защитыинформации;
учтенныйслужебный носитель информации;
документ,удостоверяющий личность.
Факт выдачи иполучения дистрибутива ключей заносится в Журнал учета выдачи ключевыхдокументов.
В случаеобнаружения вредоносного ПО на носителе информации, предоставленном для записидистрибутива ключей, а также если данный носительинформации не учтен в соответствии с Инструкцией об организации и обеспечениибезопасности хранения, обработки и передачи по каналам связи с использованиемсредств криптографической защиты информации с ограниченным доступом, не содержащейсведений, составляющих государственную тайну, утвержденной приказомФедерального агентства правительственной связи и информации при ПрезидентеРоссийской Федерации от 13 июня 2001 г. N 152, запись на такой носитель неосуществляется.
АдминистрацияЕИКС Курской области не несет ответственности за неисполнение требованийдоговорных соглашений и/или сроков исполнения договорных соглашений Претендентав случае соблюдения Администрацией ЕИКС Курской области сроков и процедур,установленных данным Регламентом.
В случае еслитребуется повторное получение дистрибутивов ключей для Абонентских пунктов ипаролей доступа к ним Участник ЕИКС Курской области направляет заявку(приложение N 10 к настоящему Регламенту) в адрес Администрации ЕИКС Курскойобласти. Поступившие заявки подлежат обязательной регистрации в течение 2рабочих дней со дня их поступления.
АдминистрацияЕИКС Курской области в течение 5 рабочих дней со дня регистрации заявкипринимает решение о возможности повторного получения дистрибутивов ключей дляАбонентских пунктов и паролей доступа к ним.
В случаенеобходимости уточнения сведений для повторного предоставления дистрибутивовключей для Абонентских пунктов и паролей доступа к ним Администрацией ЕИКСКурской области запрашивается необходимая информация от подавшего заявкуУчастника ЕИКС Курской области.
В случаепринятия положительного решения Администрация ЕИКС Курской области в течение 3рабочих дней со дня принятия решения проводит процедуру формирования новыхдистрибутивов ключей для Абонентских пунктов.
В течение 2рабочих дней со дня формирования новых дистрибутивов Администрация Курскойобласти направляет на адрес электронной почты Участника ЕИКС Курской области,указанный в заявке, уведомление о готовности дистрибутивов ключей дляАбонентских пунктов. В случае отсутствия в заявке адреса электронной почтыУчастника ЕИКС Курской области уведомление не направляется.
АдминистрацияЕИКС Курской области отказывает Участнику ЕИКС Курской области в повторномпредоставлении дистрибутива ключей для Абонентских пунктов и пароля доступа кнему в следующих случаях: пароль для административного доступа к Абонентскомупункту действителен; предоставлена недостоверная и(или)неполная информация; дистрибутив ключей или пароль доступа утерян и непредоставлены результаты проведения служебной проверки. Данное решениенаправляется Администрацией ЕИКС Курской области в письменной форме в адресУчастника ЕИКС Курской области в течение 3 рабочих дней со дня принятияуказанного решения.
Порядокполучения дистрибутива ключей не меняется.
4.Организация межсетевого взаимодействия
сети ViPNet 1366 с другими сетями ViPNet
4.1. Обеспечениезащиты информации при передаче сведений.
Обеспечениезащиты информации при передаче сведений осуществляется с использованиемсертифицированных криптографических средств защиты информации, с использованиемпрограммно-аппаратных средств защиты информации "ViPNet"в рамках заключенного соглашения об обеспечении доступа к ЕИКС Курской области.
4.2. Передачаслужебных сведений.
Передача служебныхсведений обеспечивается средствами ПО ViPNet MFTP, апри невозможности использования вышеуказанных средств - вручную, сиспользованием учтенных носителей информации, непосредственно между Владельцамисетей ViPNet. В случае передачи служебных сведений Владелецсети ViPNet, инициализирующий передачу, обязан не позднее чем за 3 дня до факта передачи уведомить другогоВладельца сети ViPNet официальным письмом.
4.3.Подтверждение достоверности и подлинности передаваемых сообщений.
Подтверждениедостоверности, подлинности и авторства передаваемых сведений обеспечиваетсясредствами ЭП с использованием ПО ViPNet Деловаяпочта, входящего в состав ПАК защиты информации "ViPNet".
5.Порядок организации межсетевого защищенного
информационноговзаимодействия
5.1. Определениеусловий межсетевого взаимодействия сетей ViPNet.
Передача данныхмежду узлами сетей ViPNet может осуществляться либонапрямую, либо через узлы одной и/или другой сети ViPNet.
Межсетевоезащищенное информационное взаимодействие сетей ViPNetорганизуется по технологии межсетевого взаимодействия сетей ViPNet.
Межсетевоезащищенное информационное взаимодействие организуется с помощью ИСММК.
ИСММК формируетАдминистраторы сети ViPNet для каждой из сетей, скоторой должно осуществляться взаимодействие.
Администраторысетей ViPNet выделяют узлы своих сетей, которые будутучаствовать в межсетевом взаимодействии. Выделенные узлы сетей будут связаны в ЦУСах взаимодействующих сетей, а также будут иметь ключидля шифрования и подтверждения достоверности и подлинности передаваемых данных.
Администраторысетей ViPNet выбирают устройства (Координаторы),которые будут выполнять функции серверов-шлюзов при межсетевом взаимодействиисетей.
5.2. Порядокорганизации межсетевого защищенного информационного взаимодействия между сетямиViPNet.
Порядокорганизации межсетевого защищенного информационного взаимодействия между сетямиViPNet предполагает выполнение следующихтехнологических и организационных мероприятий.
Дляорганизации межсетевого защищенного информационного взаимодействия между сетямиViPNet инициатор межсетевого взаимодействия готовитофициальное информационное письмо, в котором информирует Владельца другой сети ViPNet о необходимости организации межсетевого защищенногоинформационного взаимодействия между заданными сетями ViPNetс обязательным указанием целей, причин и предполагаемых результатовподключения, а также узлов своей сети, шлюза и предполагаемых клиентовпротивоположной сети. В течение 30 календарных дней со дня полученияофициального информационного письма Владелец сети ViPNet,не являющийся инициатором организации межсетевого защищенного информационноговзаимодействия, обязан дать официальный ответ с подтверждением или отказом отмежсетевого защищенного информационного взаимодействия с указанием причин.
Послеполучения официального подтверждения в течение 14 рабочих дней в ЦУС и УКЦВладельца сети ViPNet, инициализирующего межсетевоезащищенное информационное взаимодействие, Администратор сети ViPNet производит формирование необходимой адресной и ключевойинформации - формирование начального экспорта (индивидуальные симметричныемежсетевые мастер-ключи связи и шифрования, справочная информация), включаясвои корневые сертификаты для каждой из сетей, с которой должно осуществлятьсявзаимодействие.
Указанные данные(начальный экспорт) доверенным способом передаются в ЦУС другой сети ViPNet.
В течение 5рабочих дней со дня получения начального экспорта в ЦУС и УКЦ Владельца сети ViPNet, получившей начальный экспорт, Администратор сети ViPNet производит ввод и обработку (импорт) полученных из ЦУСа другой сети ViPNet(начального экспорта), установление связей своих узлов с узлами ЦУСа, предоставившим информацию.Далее Администратор сети ViPNet, получивший начальныйэкспорт, создает ответную информацию (ответный экспорт) для ЦУСа,приславшего первичную информацию, включая своикорневые сертификаты.
В течение 5рабочих дней ответная информация (ответный экспорт) доверенным способомпередается в ЦУС Владельца сети ViPNet, создавшегоначальный экспорт, где она обрабатывается и вводится в действие Администраторомсети ViPNet. На этом этапе завершается процесссоздания межсетевого защищенного взаимодействия между ЦУСами,и дальнейший обмен данными между ними производится в автоматическом режиме, а вслучае невозможности - иным доверенным способом.
После рассылкикаждым ЦУСом сформированных обновлений ключевой исправочной информации на свои узлы, участвующие в межсетевом взаимодействии,между данными узлами различных сетей можно осуществлять защищенный обмен информацией.
После завершенияпроцедуры организации межсетевого защищенного информационного взаимодействиямежду Владельцами сетей ViPNet подписывается Протоколустановления межсетевого взаимодействия (приложение N 9 к настоящемуРегламенту).
Вслучае возникновения проблем, препятствующих осуществлению межсетевогозащищенного информационного взаимодействия, Владелец сети ViPNet,обнаруживший проблему, обязан в течение 3 рабочих дней с момента обнаружениянеисправности проинформировать (письмом или по каналам электронной почты)Владельца другой сети ViPNet о выявленной проблеме,после чего Администраторами сетей ViPNet в течение 3рабочих дней со дня получения официального сообщения решается вопрос опринадлежности выявленной неисправности к сферам ответственности Администраторовсетей ViPNet. После этого один из Администраторовсетей ViPNet (в случае нахождения проблемы в егосфере ответственности) или оба Администратора сетей ViPNet(в случае нахождения проблемы в их сфере ответственности) принимают меры поустранению выявленной неисправности, после реализациикоторых в течение 5 рабочих дней информируют Владельца другой сети ViPNet официальным информационным сообщением.
5.3. Порядокмодификации межсетевого защищенного информационного взаимодействия между сетямиViPNet при изменении состава узлов.
Порядокмодификации межсетевого защищенного информационного взаимодействия между сетямиViPNet предполагает выполнение следующихтехнологических и организационных мероприятий.
В процессефункционирования межсетевого защищенного информационного взаимодействия сетей ViPNet в одной или нескольких сетях может потребоватьсяизменение состава узлов, участвующих в межсетевом защищенном взаимодействии, -добавление или удаление сетевого узла, а также установление или удаление связеймежду существующими узлами.
При модификациимежсетевого защищенного информационного взаимодействия в какой-либо сети ViPNet Владелец данной сети ViPNetне позднее чем за 5 рабочих дней направляетофициальное информационное сообщение Владельцу другой сети ViPNetс указанием предполагаемых изменений.
Послеполучения от Владельца другой сети ViPNetофициального ответа (в течение 3 рабочих дней с момента получения официальногоинформационного сообщения), разрешающего внесение изменений в структуру сети ViPNet, Администратор сети ViPNetв своем ЦУСе производит соответствующие изменения вструктуре связей своей сети ViPNet, формируетэкспортные данные и передает их в соответствующий ЦУС в автоматическом режиме,а в случае невозможности - иным доверенным способом в течение 3 рабочихдней с момента получения официального разрешения.
В ЦУСе сети ViPNet, которойкасается данная модификация, в течение 5 рабочих дней с момента полученияэкспортных данных производится обработка (импорт) полученных данных. Далее в ЦУСе создается ответная информация (ответный экспорт) для ЦУСа, приславшего первичнуюинформацию.
Ответнаяинформация передается в ЦУС сети ViPNet, от которойпоступила первичная информация, в автоматическом режиме по защищенному каналусвязи либо иным доверенным способом, где она обрабатывается и вводится вдействие в течение 3 дней с момента получения. На этом завершается процессмодификации межсетевого защищенного взаимодействия между ЦУСамисетей ViPNet.
5.3.6. Послерассылки каждым ЦУСом сформированных обновленийключевой и справочной информации на свои узлы, которых касается модификация,данные узлы продолжают или прекращают производить защищенный электронныйдокументооборот при межсетевом взаимодействии.
6.Порядок организации межсетевого защищенного
информационноговзаимодействия между сетями ViPNet в случае
плановой смены межсетевого мастер-ключа
Порядокмодификации межсетевого защищенного информационного взаимодействия между сетямиViPNet в случае плановой смены межсетевого мастер-ключа предполагает выполнение следующихтехнологических и организационных мероприятий.
6.1.Предварительные организационные мероприятия.
Перед тем какосуществлять плановую смену межсетевого мастер-ключа,Администраторы сетей ViPNet, для связи которых будетиспользоваться новый межсетевой мастер-ключ, должны согласовать следующиевопросы:
выбрать тип межсетевого мастер-ключа, который будет использоваться длясвязи между сетями;
еслипредполагается использовать симметричный мастер-ключ, необходимо определить,какая из сторон межсетевого взаимодействия будет создавать новый межсетевоймастер-ключ;
выбрать исогласовать время проведения смены межсетевого мастер-ключаи последующего обновления ключей шифрования для узлов своих сетей.
6.2.Формирование нового межсетевого мастер-ключа.
После проведенияпредварительных организационных мероприятий необходимо сформировать новыймежсетевой мастер-ключ и произвести его смену.
6.3. Процедурасоздания экспорта и приема импорта.
После сменымежсетевого мастер-ключа производится процедура созданияэкспортных данных (не позднее 5 рабочих дней с момента формирования новогомежсетевого мастер-ключа) и приема импортных данных (не позднее 5 рабочих днейс момента получения экспортных данных).
6.4. Межсетевоевзаимодействие после смены межсетевого мастер-ключа.
Связьмежду сетевыми узлами взаимодействующих сетей ViPNetпосле смены межсетевого мастер-ключа возможна только после прохожденияобновлений ключевой информации на всех соответствующих сетевых узлах данныхсетей.
7.Порядок организации межсетевого защищенного
информационноговзаимодействия между сетями ViPNet в случае
компрометацииключей
7.1.Компрометация ключей пользователей.
Подкомпрометацией ключей подразумевается утрата доверия к используемым ключам,обеспечивающим безопасность информации (целостность, конфиденциальность,подтверждение авторства, невозможность отказа от авторства).
При наступлениилюбого из перечисленных событий Пользователь Абонентского пункта долженнемедленно прекратить работу на Абонентском пункте и сообщить о факте компрометации(или предполагаемом факте компрометации) Администратора своей сети ViPNet.
По фактукомпрометации ключей должно быть проведено служебное расследование.
Администраторсети ViPNet в случае компрометацииключей Пользователя Абонентского пункта своей сети в ЦУСеи УКЦ своей сети проводит процедуру внеплановой компрометации ключей данногопользователя, которая предполагает выполнение следующих технологических иорганизационных мероприятий в течение 3 рабочих дней с момента получения данныхо компрометации ключа.
Администраторсети ViPNet оповещает о факте компрометации ключейвсех Пользователей Абонентских пунктов, связанных со скомпрометированнымПользователем Абонентского пункта. После получения данного сообщенияПользователи Абонентских пунктов не должны использовать скомпрометированныеключи.
Администраторсети ViPNet объявляет ключи данного ПользователяАбонентского пункта скомпрометированными, создает и отправляет экспортадресно-ключевой информации в другие сети ViPNet, скоторыми был связан скомпрометированный Пользователь Абонентского пункта.
Администраторсети ViPNet создает и отправляет (либо передаетдоверенным способом) новую ключевую информацию как дляскомпрометированного Пользователя Абонентского пункта, так и для всехПользователей Абонентских пунктов своей сети, с которыми он был связан.
В течение 4рабочих дней после приема и обработки импортапереданных данных Администратор сети ViPNet,Пользователи Абонентских пунктов которой взаимодействовали с ПользователемАбонентского пункта, ключи которого скомпрометированы, создает новую ключевуюинформацию своим Пользователям Абонентских пунктов.
Послепрохождения обновления новой ключевой информации на всех взаимодействующихузлах сетей ViPNet Сторон Пользователи Абонентскихпунктов могут продолжать производить защищенный электронный документооборот.
7.2. Внеплановаясмена межсетевого мастер-ключа.
Внеплановаясмена ключей выполняется в случае компрометации или угрозы компрометациимежсетевого мастер-ключа, на котором происходит организация межсетевогозащищенного информационного взаимодействия между сетями ViPNet.
В случаекомпрометации симметричного межсетевого мастер-ключасчитается скомпрометированной вся ключевая информация, которая используется примежсетевом взаимодействии сетей ViPNet, о чем втечение 1 рабочего дня направляется официальное информационное сообщениедругому Владельцу сети ViPNet.
Должно бытьнемедленно остановлено межсетевое защищенное информационное взаимодействиемежду сетями ViPNet.
Длявосстановления работы межсетевого защищенного информационного взаимодействиямежду сетями ViPNet необходимо провести всенеобходимые технологические и организационные мероприятия.
8.Компрометация ключей
8.1. К событиямкомпрометации, когда ключи Абонента считаются скомпрометированными, относятсяследующие случаи:
потеря ключевыхносителей;
потеря ключевыхносителей с их последующим обнаружением;
увольнениесотрудников, имевших доступ к ключевой информации;
нарушение правилхранения и уничтожения (после окончания срока действия) закрытого ключа;
случаи, когданельзя достоверно установить, что произошло с ключевыми носителями (в т.ч. случаи, когда ключевой носитель вышел из строя идоказательно не опровергнута возможность того, что данный факт произошел врезультате несанкционированных действий злоумышленников);
на Абонентскомпункте отсутствовал (был отключен) модуль ViPNet Client Monitor или онустанавливался в 4-й или 5-й режим, и в локальной сети считается возможнымприсутствие посторонних лиц.
8.2. Привозникновении сомнений в неизвестности посторонним лицам пароля доступаПользователя Абонентского пункта при старте модуля ViPNetClient Monitor, приусловии, что доступ к Абонентскому пункту посторонних лиц был возможен, ключисчитаются скомпрометированными.
8.3. К событиям,требующим проведения расследования и принятия решения на предмет компрометацииключевой информации, относится возникновение подозрений в утечке информации приее передаче посредством защищенной сети.
8.4. В случаенаступления любого из событий, связанных с компрометацией ключевой информации,Пользователь Абонентского пункта немедленно прекращает связь с другимиАбонентскими пунктами и сообщает о факте компрометации своему Администраторусети ViPNet.
8.5.Администратор сети ViPNet при получении сообщения окомпрометации ключевой информации в течение 1 рабочего дня должен:
объявить ключиАбонентского пункта скомпрометированными и создать средствами ПО ViPNet справочники связей при компрометации с необходимойинформацией;
оповестить офакте компрометации ключей всех Абонентов, связанных с Абонентом, ключеваяинформация которого была скомпрометирована;
сформироватьсредствами ПО ViPNet новую ключевую информацию. Всефайлы с новой ключевой информацией зашифрованы на нескомпрометированных ключахиз резервного набора персональных ключей, поэтому могут передаваться наскомпрометированный Абонентский пункт по любым каналам связи;
произвестирассылку или передать иным доверенным способом сформированных обновлений ключейна Абонентские пункты сети ViPNet.
9.Назначение Локального администратора
9.1. Локальныйадминистратор назначается и отстраняется от исполнения возложенных функцийприказом руководителя Участника ЕИКС Курской области.
9.2. Необходимымусловием назначения Локального администратора является подписание с нимсоглашения о неразглашении информации, полученной вследствие выполнения своихобязанностей.
9.3. В случаесмены сотрудника, на которого возложены функции Локального администратора,Участник ЕИКС Курской области обязан в течение 2 рабочих дней известить об этомАдминистрацию ЕИКС Курской области.
9.4. Призаполнении заявки необходимо указывать всех назначенных на данный моментЛокальных администраторов и Абонентов ЕИКС Курской области.
9.5. Копияприказа о возложении функций Локального администратора, а также копия подписанногос этим сотрудником соглашения о конфиденциальности информации ограниченногодоступа, полученной вследствие выполнения своих обязанностей, передаютсяУчастником ЕИКС Курской области Администрации ЕИКС Курской области в течение 15календарных дней со дня возложения вышеуказанных функций.
10.Ответственность администраторов
10.1.Ответственность за исправное функционирование ПО ViPNetу Участника ЕИКС Курской области возлагается на Локального администратора.
10.3.Ответственность за последствия, вызванные перебоями в функционировании и/илинеправильным функционированием ПО ViPNet УчастникаЕИКС Курской области, возлагается на Локального администратора.
10.4.Администрация ЕИКС Курской области осуществляет методическую помощь УчастникамЕИКС путем изготовления инструкций и методических рекомендаций, размещаемых наинформационных ресурсах Администрации Курской области.
10.5. Администрация ЕИКС Курской области не осуществляет настройку и ненесет ответственности за оборудование и ПО, принадлежащие Участнику ЕИКСКурской области.
10.6.Ответственность за защиту Ядра ЕИКС Курской области от несанкционированногодоступа к информации возлагается на Администратора ЕИКС Курской области.
10.7.Ответственность за защиту Участков ЕИКС Курской области, входящих в сферуответственности Участников ЕИКС Курской области, от несанкционированногодоступа к информации возлагается на Локального администратора.
10.8.Администратор ЕИКС Курской области и Локальный администратор несут персональнуюответственность за качество проводимых ими работ по контролю действийпользователей при работе ЕИКС Курской области, состояние и поддержаниеустановленного уровня защиты.
11.Права и обязанности администраторов
11.1.Администратор ЕИКС Курской области обязан:
следить заработоспособностью Ядра ЕИКС Курской области;
оперативнорешать все проблемы, возникающие в Ядре ЕИКС Курской области;
изготавливатьключевые файлы и передавать их согласно настоящему Регламенту;
оказыватьУчастникам ЕИКС Курской области методическую помощь в настройках криптосредств путем изготовления инструкций и пособий,размещаемых на информационных ресурсах Администрации Курской области;
оказыватьметодическую помощь Участникам ЕИКС Курской области в организационных вопросах,связанных с эксплуатацией средств криптографическойзащиты.
11.2. Локальныйадминистратор обязан:
знать структуруи состав своего Участка ЕИКС Курской области;
следить заработоспособностью Участка ЕИКС Курской области, находящегося в ответственностиУчастника ЕИКС Курской области;
оперативнорешать все проблемы, возникающие на Участке ЕИКС Курской области, находящемся вответственности Участника ЕИКС Курской области;
выполнятьтребования действующего законодательства Российской Федерации и настоящегоРегламента.
11.3.Администратор ЕИКС Курской области отказывает в помощи в настройке средств криптографической защиты Участника ЕИКС Курской областив случае возникновения неисправностей на Участке ЕИКС Курской области,находящемся в ответственности Участника ЕИКС Курской области.
11.4. АдминистрацияЕИКС Курской области или Участник ЕИКС Курской области в случае недостаточнойквалификации Администраторов ЕИКС Курской области или Локальных администраторовдля выполнения части их функций привлекает на договорной основе сторонниеорганизации. Если функции связаны с обслуживанием средств криптографическойзащиты информации, привлекаемые организации должны иметь соответствующиелицензии на работу и обслуживание средств криптографической защиты информации.
12.Порядок разрешения конфликтных ситуаций
12.1.Возникновение конфликтных ситуаций может быть связано с формированием,доставкой, получением, подтверждением получения Участниками ЕИКС Курскойобласти электронных документов и/или получение доступа к ИС других УчастниковЕИКС Курской области.
12.2. Разрешениеконфликтных ситуаций осуществляется путем взаимодействия Локальныхадминистраторов, у которых возникли претензии.
12.3. В случаенеобходимости для разрешения конфликтных ситуаций может быть привлеченаАдминистрация ЕИКС Курской области.
13. Порядокформирования, использования, разграничения
доступа единых, совместных и распределенных
информационныхсистем
13.1.Формирование информационных ресурсов ЕИКС Курской области осуществляется присоблюдении следующих требований:
эффективноеиспользование информационных ресурсов в общественном производстве и дляуправления территорией;
обеспечениенеобходимого уровня информационной безопасности субъектов информационныхотношений;
обеспечениеструктурной и функциональной устойчивости системы информационных ресурсоворганов государственной власти и органов местного самоуправления;
обеспечениеэкономической эффективности пользования информационными ресурсами;
вхождениеинформационных ресурсов федеральных, муниципальных и иных информационныхсистем, расположенных на территории Курской области, в ЕИКС Курской области.
13.2.Формирование информационных ресурсов ЕИКС Курской области производится наоснове:
единой системыправового регулирования информационных отношений на территории Курской области;
унификации системыдокументов и правил документирования на всей территории Курской области,ведения и применения регистров, кадастров, классификаторов, иных стандартов инормативов в управлении информационными ресурсами;
единого порядкаучета, регистрации, сертификации и лицензирования в системе формированияинформационных ресурсов;
обеспеченияпотребителей достоверной, полной информацией;
обеспечениясовместимости информационных ресурсов в информационных системах органовгосударственной власти Курской области и органов местного самоуправления,организаций и общественных объединений.
13.3.Информационные ресурсы ЕИКС Курской области формируются на основе информации,создаваемой, обрабатываемой и накапливаемой в процессе:
деятельностиорганов государственной власти Курской области, органов местногосамоуправления, государственных (муниципальных) учреждений, иных организаций;
информационноговзаимодействия органов государственной власти Курской области с федеральнымиорганами государственной власти, с органами государственной власти другихсубъектов Российской Федерации, организациями и гражданами.
13.4. В случаепринятия решения о прекращении деятельности Оператора информационной системыданный Оператор информационной системы самостоятельно определяет порядокпередачи информации, содержащейся в базах данных информационной системы, иномуОператору информационной системы и (или) порядок дальнейшего использованиятакой информации.
13.5. Лица,уполномоченные создавать и формировать информационные ресурсы, предназначенныедля использования в ЕИКС Курской области, несут дисциплинарную,гражданско-правовую, административную и уголовную ответственность запредоставление несоответствующей информации и несоблюдение требований поинформационной безопасности в соответствии с действующим законодательствомРоссийской Федерации.
13.6. Порядокполучения Абонентами ЕИКС Курской области информации (указание места, времени,ответственных должностных лиц, необходимых процедур) определяет Операторинформационной системы с соблюдением требований, установленных настоящимРегламентом.
13.7.Использование сведений информационных систем должно соответствовать правовомурежиму, установленному федеральным законодательством и законодательствомКурской области.
Объектамиправового режима являются:
информация,составляющая информационные ресурсы;
программные ииные средства организации (представления) информации в информационных системах;
материальные(бумажные, магнитные, оптические и иные) носители информации, составляющейинформационные ресурсы, а также иные технические средства обеспеченияинформационных систем.
Использованиеуказанных объектов в нарушение установленного правового режима не допускается.
13.8. УчастникЕИКС Курской области обеспечивает неразглашение Абонентами ЕИКС Курской областиинформации, к которой будет получен доступ в связи с выполнением своихобязанностей.
13.9.Использование государственных информационных ресурсов в интересах органовгосударственной власти Курской области, информационное взаимодействие междуорганами государственной власти Курской области, органами местногосамоуправления, территориальными органами федеральных органов исполнительнойвласти, государственными (муниципальными) учреждениями по вопросам ихкомпетенции и деятельности производятся на безвозмездной основе. Финансированиемероприятий по созданию и эксплуатации государственных информационных ресурсовпроизводится за счет средств, направляемых на финансирование деятельностиуказанных органов (организаций) или соответствующих программ.
13.10. Порядокнакопления, обработки, использования информации и порядок доступа к нейопределяются Оператором информационной системы в пределах своей компетенции всоответствии с законодательством Российской Федерации.
14.Ситуационный центр Губернатора Курской области
(межведомственнаяинформационная служба) и его
взаимодействие синформационными службами органов,
учреждений иорганизаций
СЦ ГКО предназначен для обеспечения информационно-аналитическойподдержки принятия управленческих решений на основе интеграции, регулярного,бесперебойного представления и анализа достоверной и актуальной информации осоциально-экономической и общественно-политической ситуации в Курской области.
СЦ ГКО долженсоответствовать требованиям Федерального закона от 27 июля 2006 г. N 149-ФЗ"Об информации, информационных технологиях и о защите информации",распорядительных и методических документов федеральных органов исполнительнойвласти, уполномоченных в области информационной безопасности.
Обеспечениеинформационной безопасности оборудования ИС СЦ ГКО должно осуществляться потребованиям нормативных и методических документов ФСБ России и ФСТЭК России.
СЦ ГКО долженпроектироваться в качестве элемента Системы распределенных ситуационных центров(далее - СР СЦ), предназначенного для обеспечениядеятельности Губернатора Курской области и Администрации Курской области.
Проектированиевзаимодействия СЦ ГКО в рамках СР СЦ выполняется последующим направлениям:
с ситуационнымицентрами Президента Российской Федерации, Полномочного представителя ПрезидентаРоссийской Федерации в Центральном федеральном округе, Правительства РоссийскойФедерации, Администрации Президента Российской Федерации и других федеральныхорганов исполнительной власти;
с органамиисполнительной государственной власти Курской области;
с муниципальнымиобразованиями Курской области;
стерриториальными органами федеральных органов исполнительной власти Курскойобласти;
с предприятиямии организациями.
В состав СЦ ГКОвходят следующие подсистемы:
комплекс средств представления информации (КСПИ);
подсистемавидеосвязи (включает в себя подсистему защищенной видеосвязиорганов государственной власти Российской Федерации закрытого контура иподсистему видеоконференцсвязи Администрации Курской области (далее - ВКСАКО));
средствавычислительной техники;
кабельнаяподсистема передачи аудио-, видеосигналов;
транспортно-коммуникационныесистемы ЛВС;
ПО;
комплекс модулейинформационно-аналитической подсистемы поддержки управления Курской областью,включая следующие:
а) подсистемасбора, хранения и управления информацией;
б) подсистемацентрализованного управления нормативно-справочной информацией;
в) подсистемаподдержки управления Курской областью;
г) подсистемаинструментальных средств анализа, прогнозирования и моделирования;
д) подсистемагеоинформационных инструментальных программных средств;
е) подсистемапредставления информации;
ж) системаобеспечения информационной безопасности.
Переченьобъектов, с которыми взаимодействует СЦ ГКО в рамках СРСЦ:
Государственнаяинформационная система Курской области, созданная на базе Типовогорегионального решения, государственная автоматизированная информационнаясистема "Управление";
Единаямежведомственная информационно-статистическая система (ЕМИСС);
Электронныйбюджет;
Автоматизированнаяинформационная система "Госпрограммы";
Федеральнаягосударственная информационная система территориального планирования;
ИС в сфереуправления государственными финансами Курской области (в том числе в сферепредставления оперативных данных об исполнении бюджета региона, финансированиимероприятий государственных, целевых и адресных инвестиционных программ Курскойобласти);
ИС органаисполнительной государственной власти Курской области по строительству ижилищно-коммунальному хозяйству;
ИС органаисполнительной государственной власти Курской области по имущественным иземельным отношениям субъекта Российской Федерации;
органы ЗАГСКурской области.
ПОавтоматизированной ИС СЦ ГКО должно обладать компонентной (модульной)архитектурой, обеспечивающей возможность эволюционного развития, в частности, сучетом включения в состав средств информатизации новых объектовавтоматизированной ИС СЦ ГКО.
ФункционированиеСЦ ГКО будет осуществляться на основании регламента СЦ ГКО, разработанногоАдминистрацией ЕИКС Курской области при создании автоматизированной ИС СЦ ГКО.
15.Требования к классу защищенности информационных
систем сограниченным доступом. Требования
кпрограммно-аппаратным средствам защиты информации
Обеспечениезащиты информации в информационных системах осуществляется в соответствии сприказами ФСТЭК России от 11 февраля 2013 г. N 17 "Об утвержденииТребований о защите информации, не составляющей государственную тайну,содержащейся в государственных информационных системах" (далее - ПриказФСТЭК России N 17), от 18 февраля 2013 г. N 21 "Об утверждении Состава исодержания организационных и технических мер по обеспечению безопасности персональныхданных при их обработке в информационных системах персональных данных" взависимости от вида ИС.
Классификация ИСосуществляется на основании требований Приказа ФСТЭК России N 17 и проводится взависимости от значимости обрабатываемой в нейинформации и масштаба ИС (федеральный, региональный, объектовый).
Устанавливаютсятри класса защищенности ИС, определяющие уровни защищенности содержащейся в нейинформации. Самый низкий класс - третий, самый высокий - первый.
Требования ксистеме защиты информации ИС определяются в зависимости от класса защищенностиИС и угроз безопасности информации, включенных в модель угроз безопасностиинформации.
Классзащищенности определяется для ИС в целом и, при необходимости, для ее отдельныхсегментов (составных частей). Требование к классу защищенности включается втехническое задание на создание ИС и (или) техническое задание (частноетехническое задание) на создание системы защиты информации ИС, разрабатываемыес учетом ГОСТ 34.602 "Информационная технология. Комплекс стандартов наавтоматизированные системы. Техническое задание на создание автоматизированнойсистемы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТР 51624.
Классзащищенности ИС подлежит пересмотру при изменении масштаба ИС или значимостиобрабатываемой в ней информации.
Вслучае обработки в ИС информации, содержащей персональные данные, необходимоопределить уровень защищенности персональных данных в соответствии сПостановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119"Об утверждении требований к защите персональных данных при их обработке винформационных системах персональных данных" и соотнести его с ранее определеннымклассом защищенности в соответствии с Приказом ФСТЭК России N 17 следующимобразом:
для ИС 1-гокласса защищенности обеспечивают 1-й, 2-й, 3-й и 4-й уровни защищенностиперсональных данных;
для ИС 2-гокласса защищенности обеспечивают 2-й, 3-й и 4-й уровни защищенностиперсональных данных;
для ИС 3-гокласса защищенности обеспечивают 3-й и 4-й уровни защищенности персональныхданных.
Еслиопределенный в установленном порядке уровень защищенности персональных данныхвыше, чем установленный класс защищенности ИС, осуществляется повышение классазащищенности до значения, обеспечивающего выполнение определенного уровнязащищенности персональных данных.
Для обработкиконфиденциальной информации необходимо использовать технические и программныесредства, удовлетворяющие установленным в соответствии с действующимзаконодательством требованиям, обеспечивающим защиту информации. Требования кпрограммно-аппаратным средствам защиты информации государственных ИСустанавливаются в Приказе ФСТЭК России N 17 в соответствии с определеннымклассом защищенности для ИС.
Дляпередачи информации по каналам связи, выходящим за пределы контролируемой зоны,необходимо использовать защищенные каналы связи, в том числе защищенныеволоконно-оптические линии связи или предназначенные для этогокриптографические средства защиты информации. Применяемые приэтом средства защиты информации должны быть сертифицированы.
Подключение ИСоператоров к ЕИКС Курской области должно осуществляться в соответствии стребованиями действующего законодательства в сфере защиты информации.
Средства защитыинформации от несанкционированного доступа (СЗИ НСД), устанавливаемые нарабочие станции и серверы при обработке на них информации с ограниченнымдоступом, должны осуществлять:
идентификацию иаутентификацию пользователей при доступе к рабочим станциям и серверамвнутренней ЛВС по идентификатору и паролю;
контроль доступак ресурсам рабочих станций и серверов внутренней ЛВС на основе дискреционногопринципа;
управлениедоступом к машинным носителям информации;
регистрациюдоступа к ресурсам рабочих станций и серверов внутренней ЛВС, включая попыткиНСД;
регистрациюфактов отправки и получения абонентом сообщений (файлов, писем, документов).
При этом СЗИ НСДдолжна запрещать запуск абонентом произвольных программ, не включенных в составПО рабочей станции или сервера.
16.Абоненты ЕИКС Курской области.
Доступ кинформационным ресурсам ЕИКС Курской области
Состав АбонентовЕИКС Курской области и их допуск к информационным ресурсам ЕИКС Курской областиустанавливаются по письменному разрешению Администрации ЕИКС Курской области,которое дается по рассмотрению заявки Участника ЕИКС Курской области(приложение N 7 или N 8 к настоящему Регламенту) и строго контролируется.Поступившие заявки подлежат обязательной регистрации в течение 2 рабочих днейсо дня их поступления.
В случаенеобходимости Администрация ЕИКС Курской области вправе запрашиватьдополнительную информацию у Участника ЕИКС Курской области, подавшего заявку напредоставление или прекращение доступа к информационным ресурсам ЕИКС Курскойобласти.
АдминистрацияЕИКС Курской области в течение 14 рабочих дней со дня регистрации заявкипринимает решение о возможности предоставления или прекращения доступа к информационнымресурсам ЕИКС Курской области, указанных в заявке.
Вслучае принятия положительного решения Администрация ЕИКС Курской области втечение 5 рабочих дней со дня принятия решения предоставляет или прекращаетдоступ к соответствующим информационным ресурсам ЕИКС Курской области и втечение 3 рабочих дней с момента предоставления или прекращения доступанаправляет на адрес электронной почты Участника ЕИКС Курской области, указанныйв заявке, уведомление о предоставлении или прекращении доступа. В случаеотсутствия в заявке адреса электронной почты Участника ЕИКС Курской областиуведомление не направляется.
В случаеотсутствия юридической или технической возможности предоставления УчастникуЕИКС Курской области доступа к информационной системе Администрация ЕИКСКурской области принимает отрицательное решение, о котором информируетУчастника ЕИКС Курской области в течение 5 рабочих дней со дня принятиярешения.
Участник ЕИКСКурской области имеет доступ только к тем информационным ресурсам ЕИКС Курскойобласти, которые разрешены для него.
Каждый АбонентЕИКС Курской области должен иметь уникальные идентификаторы и пароли длядоступа к информационным ресурсам ЕИКС Курской области, при этом Абоненты ЕИКСКурской области должны нести ответственность за сохранность своихидентификаторов и паролей.
АдминистраторЕИКС Курской области, Локальные администраторы Участника ЕИКС Курской области,Абоненты ЕИКС Курской области несут персональную ответственность за нарушенияпорядка автоматизированной обработки информации, правил хранения, использованияи передачи находящихся в их распоряжении защищаемыхресурсов системы.
17.Единый электронный документооборот. Почтовые системы.
Использованиеюридически значимого документооборота
в ЕИКС Курскойобласти
Настоящий разделрегламентирует общие правила использования почтовых систем и ЭП для обеспеченияединого электронного документооборота между участниками информационноговзаимодействия.
Виды ЭП,используемых органами исполнительной власти Курской области, порядок их использования,а также требования об обеспечении совместимости средств ЭП при организацииэлектронного взаимодействия указанных органов между собой устанавливаетПравительство Российской Федерации.
Участникиинформационного взаимодействия в рамках действующего законодательства признаютюридическую значимость документов, подписанных ЭП, наряду с бумажнымидокументами, при наличии всех обязательных реквизитов.
Правила выдачи,приостановления действия и аннулирования сертификата ключа подписиустанавливаются действующим законодательством Российской Федерации. ЭПиспользуется Участниками ЕИКС Курской области, которым выданы сертификаты ключаподписи удостоверяющим центром органов государственной власти Курской области(далее - УЦ ОГВ). Наряду с подписями УЦ ОГВ могутиспользоваться ЭП, выданные другими удостоверяющими центрами, созданными врамках действующего законодательства и имеющими кросс-сертификацию с УЦ ОГВ.
Участникиинформационного взаимодействия для приема и отправки корреспонденции вэлектронной форме используют общепринятые почтовые системы, позволяющиеприменять технологии ЭП, используемые в удостоверяющем центре.
Для обеспеченияпоэтапного перехода на электронный документооборот Участникам ЕИКС Курскойобласти рекомендуется придерживаться следующих правил преобразованияэлектронной и бумажной формы документов:
1) припоступлении документа в электронной форме лицу, ответственному за получение иотправку электронной почты, необходимо выполнить следующие действия:
а) произвестипроверку юридической значимости принимаемого документа, т.е. наличиесертификата ключа подписи:
проверить срокдействия сертификата ключа подписи;
в случае еслисообщение зашифровано, произвести расшифровку документа;
б) сохранитьэлектронное сообщение с ЭП в соответствующем электронном хранилище;
в) отослатьотправителю сообщения информацию о получении документа;
г) распечататьосновной документ;
д) проставить набумажной форме документа штамп и внести данные о дате и времени отправкисообщения, дате и времени получения документа в электронной форме и подтвердитьданную информацию своей подписью;
е) передатьдокумент в подразделение, ответственное за прием и регистрацию документов, вбумажной форме для дальнейшей работы;
2) при отправкеюридически значимого документа в электронной форме лицу, ответственному заполучение и отправку электронной почты, отправителем должны быть предоставленыэлектронная и бумажная форма данного документа. При отправке электроннойкорреспонденции оператор должен выполнить следующие действия:
а) создать сообщениес указанием получателя, вложив файл в электронной форме и определив темупересылаемого сообщения;
б) принеобходимости зашифровать документ в электронной форме;
в) подписать ЭП;
г) проставить набумажной форме документа штамп и внести данные о дате и времени отправкисообщения, электронном адресе респондента, а также времени приема подтвержденияот него получения сообщения. Подтвердить данную информацию своей подписью;
д) передатьдокумент в подразделение, ответственное за отправку и регистрацию документов, вбумажной форме для дальнейшей работы.
Каждый участникЕИКС Курской области может дополнить правила, указанные в настоящем разделе, всоответствии с инструкцией по делопроизводству, применяемой в каждом конкретномУчастке ЕИКС Курской области.
18.Требования по подключению ЕИКС Курской области
к информационнымсредам, не входящим в состав ЕИКС
Курской области,в том числе к сетям общего доступа
ПодключениеЕИКС Курской области или Участков ЕИКС Курской области к информационным средам,не входящим в состав ЕИКС Курской области, в том числе к сетям общего доступа(далее - внешние сети), осуществляется по решению Администрации ЕИКС Курскойобласти на основании заявки, которая содержит следующие обоснованиянеобходимости подключения ЕИКС Курской области к внешним сетям:
наименованиевнешней сети, к которой осуществляется подключение, и реквизитыорганизации-владельца сети и провайдера сети;
составтехнических средств Участка ЕИКС Курской области;
предполагаемыевиды работ и используемые прикладные сервисы сети (E-Mail,FTP, Telnet, HTTP и т.п.) ЕИКС (или ее Участка ЕИКСКурской области) в целом и для каждого абонента в частности;
состав общего ителекоммуникационного ПО УчасткаЕИКС Курской области (ОС, клиентские прикладные программы для сети и т.п.);
IP-адресабонентского пункта в случае его расположения за районным координатором;
число и переченьпредполагаемых абонентов (диапазон используемых IP-адресов);
меры и средствазащиты информации от НСД, которые будут применяться на Участке ЕИКС Курскойобласти, организация-изготовитель, сведения о сертификации, установщик,конфигурация, правила работы с ними;
тематика(перечень) сведений, обрабатываемых (хранимых) на рабочих станциях и серверахУчастка ЕИКС Курской области, подлежащих передаче и получаемых из внешней сети,с указанием уровня конфиденциальности (служебная, коммерческая тайна и т.п.).
Заявка оподключении Участка ЕИКС Курской области к внешней сети направляется вАдминистрацию ЕИКС Курской области.
ПодключениеУчастка ЕИКС Курской области к внешней сети должно осуществляться черезсредства разграничения доступа в виде межсетевых экранов. Не допускаетсяподключение к внешней сети в обход межсетевого экрана. Межсетевые экраны должныбыть сертифицированы по требованиям безопасности информации.
Доступ кмежсетевому экрану, к средствам его конфигурирования должен осуществлятьсятолько выделенным администратором с консоли. Средства удаленного управлениядолжны быть исключены из конфигурации.
Межсетевой экрандолжен обеспечивать создание сеансов связи абонентов с внешними серверами сетии получать с этих серверов только ответы на запросы пользователей ЕИКС Курскойобласти. Настройка межсетевого экрана должна обеспечивать отказ в обслуживаниилюбых внешних запросов, которые могут направляться к пользователям ЕИКС Курскойобласти.
Прииспользовании почтового сервера и Web-сервера УчасткаЕИКС Курской области последние не должны входить в состав локальнойвычислительной сети организации и должны подключаться к внешней сети поотдельному сетевому фрагменту (через маршрутизатор).
На техническихсредствах Участка ЕИКС Курской области должно находиться ПОтолько в той конфигурации, которая необходима длявыполнения работ, заявленных в обосновании необходимости подключения УчасткаЕИКС Курской области к внешней сети (обоснование может корректироваться вустановленном порядке).
ВПО должны быть физически удалены не нужные для работы и не включенные вобоснование прикладные сервисы (протоколы) и не требующиеся привязки протоколовк портам.
Установку ПО, обеспечивающегофункционирование Участка ЕИКС Курской области, должны выполнять Локальныеадминистраторы. Абоненты ЕИКС Курской области не имеют права производитьсамостоятельную установку указанного ПО, однако могутобращаться к Локальному администратору для проведенияего экспертизы на предмет улучшения характеристик, наличия вирусов,замаскированных возможностей выполнения непредусмотренных действий.Ответственность за использование не прошедшего экспертизу и не рекомендованногок использованию ПО возлагается наАбонента ЕИКС Курской области. При обнаружении фактов такого рода Локальныйадминистратор обязан логически (а при необходимости - физически вместе свключающей подсетью) отключить рабочее место Абонента ЕИКС Курской области отвнешней сети и локальной вычислительной сети и поставить об этом в известностьруководителя Участника ЕИКС Курской области.
В случаенесанкционированного изменения настроек ПО Участник ЕИКС отключается от ЕИКС Курской области.
Устанавливаемыемежсетевые экраны должны соответствовать классу защищенности ГИС и должны бытьсертифицированы в соответствии с приказом ФСТЭК России от 9 февраля 2016 г. N 9"Об утверждении требований к межсетевым экранам".
В информационных(автоматизированных) системах, созданных до вступления в силу Приказа ФСТЭК РоссииN 17, допускается применение межсетевых экранов, сертифицированных насоответствие РД МЭ (при условии наличия действующих сертификатов соответствиятребованиям по безопасности информации). При проведении повторной аттестации(после окончания срока действия аттестата соответствия) ИС допускаетсяприменение эксплуатируемых межсетевых экранов, сертифицированных насоответствие требованиям РД МЭ (при условии наличия на них действующихсертификатов соответствия).
СЗИ НСД,устанавливаемые на рабочие станции и серверы внутренней локальнойвычислительной сети при обработке на них информации с ограниченным доступом,должны осуществлять:
идентификацию иаутентификацию пользователей при доступе к рабочим станциям и серверамвнутренней локальной вычислительной сети (ЛВС) по идентификатору и паролю;
контроль доступак ресурсам рабочих станций и серверов внутренней ЛВС на основе дискреционногопринципа;
управлениедоступом к машинным носителям информации;
регистрациюдоступа к ресурсам рабочих станций и серверов внутренней ЛВС, включая попыткиНСД;
регистрациюфактов отправки и получения абонентом сообщений (файлов, писем, документов) идругие функции в соответствии с выбранным классом защиты.
Модификацияконфигурации ПО Участка ЕИКСКурской области должна быть доступна только со стороны администратора УчасткаЕИКС Курской области, ответственного за эксплуатацию Участка ЕИКС Курскойобласти.
Средстварегистрации и регистрируемые данные должны быть недоступны для пользователя.
СЗИ НСД должныбыть целостны, т.е. защищены от несанкционированной модификации, и не содержатьпутей обхода механизмов контроля.
Техническиесредства Участка ЕИКС Курской области должны быть размещены в рабочихпомещениях пользователей с принятием организационных и технических мер,исключающих несанкционированную работу во внешней сети.
При подключенииУчастка ЕИКС Курской области у внешней сети рекомендуется:
размещатьмежсетевые экраны для связи с внешней сетью, Web-серверы,почтовые серверы в отдельном контролируемом помещении, доступ в которое имел быограниченный круг лиц (ответственные специалисты, администраторы);
периодическипроверять работоспособность межсетевого экрана с помощью сканеров, имитирующихвнешние атаки на внутреннюю ЛВС. Не рекомендуется устанавливать на межсетевойэкран какие-либо другие прикладные сервисы (СУБД, E-mail,прикладные серверы и т.п.);
припредоставлении пользователям прикладных сервисов исходить из принципаминимальной достаточности;
при подключенииУчастка ЕИКС Курской области к внешним сетям следует использовать операционныесистемы со встроенными функциями защиты информации от НСД или использоватьсертифицированные СЗИ НСД;
эффективноиспользовать имеющиеся в маршрутизаторах средства разграничения доступа(фильтрацию), включающие контроль по списку доступа, аутентификациюпользователей, взаимную аутентификацию маршрутизаторов;
в целях контроля за правомерностью использования подключения квнешней сети и выявления нарушений требований по защите информации осуществлятьсистематический анализ принимаемой из внешней сети и передаваемой во внешнююсеть информации, в том числе на наличие вирусов;
проводитьпостоянный контроль информации, помещаемой на Web-серверы.Для этого следует назначить ответственного (ответственных)за ведение информации на Web-сервере. Предусмотретьпорядок размещения на Web-сервере информации,разрешенной к открытому опубликованию.
АдминистрациейЕИКС Курской области назначаются лица, допущенные к работам во внешней сети ссоответствующими полномочиями, лица, ответственные за эксплуатацию указанногоУчастка ЕИКС Курской области и контроль над выполнением мероприятий пообеспечению безопасности информации при работе пользователей во внешней сети.
Вопросыобеспечения безопасности информации на Участке ЕИКС Курской области должны бытьотражены в инструкции, определяющей:
порядокподключения и регистрации абонентов во внешней сети;
порядокустановки и конфигурирования на Участке ЕИКС Курской области общесистемного(ОС), прикладного, коммуникационного ПО (серверов, маршрутизаторов, шлюзов,мостов, межсетевых экранов, браузеров), их новых версий;
порядокприменения средств защиты информации от НСД на Участке ЕИКС Курской области привзаимодействии абонентов с внешней сетью;
порядок работыабонентов во внешней сети, в том числе с электронной почтой (E-mail), порядок выбора и доступа к внутренним и внешнимсерверам сети (Web-серверам);
обязанности иответственность абонентов и администратора внутренней ЛВС по обеспечениюбезопасности информации при взаимодействии с внешней сетью;
порядок контроля за выполнением мероприятий по обеспечениюбезопасности информации и работой абонентов во внешней сети.
Органыисполнительной власти Курской области в соответствии с постановлениемГубернатора Курской области от 10.12.2004 N 566 "Об утверждении Инструкциипо защите конфиденциальной информации на объектах информатизации органовисполнительной власти Курской области" обязаны организовывать подключениек сети "Интернет" только через централизованный и защищенный каналуполномоченного органа исполнительной власти Курской области в сфере развития ииспользования информационных технологий на территории Курской области (региональнойинформатизации) и обеспечения защиты информации. Работа в сети"Интернет" осуществляется в соответствии с требованиями инструкции поработе в сети "Интернет". Текст Типовой инструкции по работе в сети"Интернет" представлен в приложении N 11 к настоящему Регламенту.
При работе вовнешней сети категорически запрещается:
подключатьтехнические средства (серверы, рабочие станции), имеющие выход во внешнюю сеть,к другим техническим средствам (сетям), не определенным в обоснованииподключения к внешней сети;
изменять состави конфигурацию программных и технических средств Участка ЕИКС Курской областибез санкции Локального администратора.
Контрольза выполнением мероприятий по обеспечению безопасности информации на Участке ЕИКСКурской области возлагается на Локальных администраторов, руководителейсоответствующих подразделений, определенных приказом Участника ЕИКС Курскойобласти.
19.Требования при предоставлении доступа к сегментам ЕИКС
Курской областисторонним организациям
К сегментамКурской области могут подключаться органы исполнительной власти, органыместного самоуправления и подведомственные учреждения. Сторонним организациямдоступ к сегментам ЕИКС Курской области может быть предоставлен по решениюУправляющего делами Администрации Курской области.
20. Контроль за обеспечением безопасности
информационныхресурсов ЕИКС Курской области
Контрольза обеспечением безопасности информационных ресурсов ЕИКС Курской областиосуществляется с целью своевременного выявления и предотвращения утечкиинформации по техническим каналам, несанкционированного доступа к ней,преднамеренных программно-технических воздействий на информацию и оценкиэффективности ее защиты.
Контрользаключается в проверке выполнения участниками ЕИКС Курской областизаконодательства Российской Федерации по вопросам защиты информации, решенийФСТЭК России, а также в оценке обоснованности и эффективностипринятых мер защиты информации.
При этом оценкаэффективности мер защиты информации проводится с использованием технических ипрограммных средств контроля на предмет соответствия установленным требованиямпо защите информации.
Контрольза обеспечением информационной безопасности ЕИКС Курской области осуществляют:
подразделение,ответственное за обеспечение информационной безопасности ЕИКС Курской области;
подразделенияучастников ЕИКС Курской области, ответственные за обеспечение информационнойбезопасности соответствующих Участков ЕИКС Курской области;
ФСТЭК России впределах своей компетенции.
Контрольза обеспечением информационной безопасности в ЕИКС Курской области проводитсяподразделением в пределах своих полномочий не реже одного раза в год. УчастникиЕИКС Курской области осуществляют контроль обеспечения информационнойбезопасности соответствующих Участков ЕИКС Курской области не реже одного разав полгода.
Обеспечениеинформационной безопасности в ЕИКС Курской области считается эффективным, еслипринимаемые меры соответствуют установленным требованиям или нормам по защитеинформации. Несоответствие мер установленным требованиям или нормам по защитеинформации является нарушением.
Нарушения постепени важности делятся на три категории:
первая -невыполнение требований или норм по защите информации, в результате чегоимелась или имеется реальная возможность ее утечки;
вторая -невыполнение требований по защите информации, в результате чего создаютсяпредпосылки к ее утечке;
третья -невыполнение иных требований по защите информации.
21.Проведение работ по контролю защищенности ЕИКС
Курской области.Установка и обслуживание средств
техническогоконтроля защищенности ЕИКС Курской области
АдминистрацияЕИКС Курской области имеет право:
1) отключать отЕИКС Курской области Участников ЕИКС Курской области:
а) осуществивших попытку несанкционированного доступа кзащищаемым ресурсам ЕИКС Курской области;
б) осуществившихпопытку несанкционированного изменения настроек ПОи/или технических средств;
в) нарушивших установленные требования по информационнойбезопасности;
г) в случаезаражения технических средств вредоносным ПО;
2) участвовать впроверках выполнения требований по информационной безопасности Участников ЕИКСКурской области;
3) запрещатьустанавливать на серверах и рабочих станциях Участника ЕИКС Курской областинештатное программное и аппаратное обеспечение;
4) осуществлятьпериодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты Участков ЕИКСКурской области;
5) запрашивать вустановленном порядке обязанности Локального администратора по поддержаниюуровня защиты Участка ЕИКС Курской области.
АдминистраторЕИКС Курской области обязан:
участвовать вконтрольных и тестовых испытаниях и проверках Участков ЕИКС Курской области;
вести контроль за процессом функционирования Ядра ЕИКС Курскойобласти;
вноситьпредложения по совершенствованию уровня защиты ЕИКС Курской области;
оцениватьвозможность и последствия внесения изменений в состав ЕИКС Курской области сучетом требований нормативных документов по защите информации, подготавливатьсвои предложения;
запрещать инемедленно блокировать попытки изменения Участником ЕИКС Курской областипрограммно-аппаратной среды Участка ЕИКС Курской области, если измененияпроизведены Участником ЕИКС Курской области без предварительного согласования сАдминистрацией ЕИКС Курской области;
запрещать инемедленно блокировать применение Абонентами ЕИКС Курской области ПО, с помощью которого возможныфакты несанкционированного доступа к ресурсам ЕИКС Курской области;
анализироватьсостояние защиты Ядра ЕИКС Курской области;
контролироватьсостояние средств и систем защиты ядра ЕИКС Курской области;
оказыватьконсультационную помощь Абонентам ЕИКС Курской области в части применениясредств защиты от НСД и других средств защиты;
своевременноанализировать журнал учета событий, регистрируемых средствами защиты Ядра ЕИКСКурской области, с целью выявления возможных нарушений.
22.Порядок согласования и внесения изменений в Регламент
Дополнения иизменения в настоящий Регламент (далее - изменения) разрабатываютсяАдминистрацией ЕИКС Курской области и (или) участниками информационноговзаимодействия и утверждаются Губернатором Курской области.
При подготовкеизменений участником информационного взаимодействия соответствующее предложениенаправляется в адрес Администрации ЕИКС Курской области для рассмотрения.
АдминистрацияЕИКС Курской области направляет сопроводительным письмом участникаминформационного взаимодействия информацию о предлагаемом изменении. Участникинформационного взаимодействия в сроки, указанные в сопроводительном письме,представляет заключение о предлагаемом изменении в Администрацию ЕИКС Курскойобласти. В случае предоставления отрицательного заключения участникоминформационного обмена данное заключение должно содержать четкое имотивированное обоснование отказа.
АдминистрацияЕИКС Курской области проводит анализ поступивших заключений участниковинформационного взаимодействия. На основании результатов проведенного анализадается заключение о принятии предложения о внесении изменений в настоящийРегламент. Предложение о внесении изменений считается принятым при наличииболее 50% положительных заключений из числа поступивших.
В случаеположительного заключения по предложению о внесении изменений АдминистрациейЕИКС Курской области подготавливается проект правового акта, которыйпредставляется Губернатору Курской области.
В случаеотрицательного заключения по предложению о внесении изменений АдминистрацияЕИКС Курской области в двухнедельный срок информирует об этом участникаинформационного взаимодействия, представившего изменения.
Срокипредоставления в Администрацию ЕИКС Курской области заключений на предложения овнесении изменений:
безограничительной пометки - в течение 30 календарных дней со дня полученияпредложения об изменении;
срочно - втечение двух недель со дня получения предложения об изменении;
весьма срочно -в течение одной недели со дня получения предложения об изменении.
ПриложениеN 1
к Регламентуиспользования
Единой информационной
коммуникационнойсреды
Курской области
СОГЛАШЕНИЕ
ОБ ОБЕСПЕЧЕНИИ ДОСТУПА КЕИКС
КУРСКОЙ ОБЛАСТИ
г. Курск "__" _________ 20__ г.
Администрация Курской области в лице__________________________________
__________________________________________________________________________,
именуемая в дальнейшем "Администрация ЕИКС Курской области", с одной
стороны, и ____________________________________в лице ____________________
именуемое в дальнейшем"Участник ЕИКС Курской области", с другой стороны,
вместе именуемые"Стороны", заключили настоящее Соглашение о нижеследующем:
1.Предмет Соглашения
1.1. В силу настоящего Соглашения Администрация ЕИКС Курской областиобеспечивает доступ Участника ЕИКС Курской области к информационным ресурсамЕИКС Курской области и оказывает Участнику ЕИКС Курской области определенные впункте 1.2 настоящего соглашения услуги, а Участник ЕИКС Курской областипринимает на себя обязательства по соблюдению положений и требований Регламентаиспользования Единой информационной коммуникационной среды Курской области(далее - Регламент).
1.2.Перечень предоставляемых Администрацией ЕИКС Курской области услуг:
| N п/п | Наименование услуг |
| 1. | |
| 2. | |
| 3. | |
1.3. ОтмеченныеУчастником ЕИКС Курской области услуги оказываются Администрацией ЕИКС Курскойобласти в соответствии с условиями, определенными в соответствующих статьяхнастоящего Соглашения.
1.4. Проведениеработ, перечисленных в пункте 1.2 настоящего Соглашения, производится приналичии технической возможности проведения данных работ и в соответствии стребованиями Регламента.
1.5. Переченьинформационных ресурсов, к которым предоставляется доступ Участнику ЕИКСКурской области, определяется в соответствии с заявкой, одобреннойАдминистрацией ЕИКС Курской области.
1.6. ДоступУчастника ЕИКС Курской области к ЕИКС Курской области осуществляетсяАдминистрацией ЕИКС Курской области в соответствии с Регламентом ЕИКС Курскойобласти.
2.Права и обязанности Сторон
2.1.Администрация ЕИКС Курской области вправе:
2.1.1. Проводитьрегламентные работы с приостановкой доступа Участника ЕИКС Курской области кресурсам ЕИКС Курской области на период проведения работ. При этомАдминистрация ЕИКС Курской области должна известить Участника ЕИКС Курскойобласти о проведении данных работ не менее чем за 24 часа до начала проведениярегламентных работ.
2.1.2.Приостановить доступ Участника ЕИКС Курской области к ресурсам ЕИКС Курскойобласти в случае нарушения им утвержденных документов, регламентирующих работуЕИКС Курской области, а также нарушения положений действующего законодательствана территории Российской Федерации.
2.1.3. В случаенеобходимости изменять условия подключения к ресурсам ЕИКС Курской области,предварительно уведомив об этом Участников ЕИКС Курской области.
2.2.Администрация ЕИКС Курской области обязана:
2.2.1.Обеспечить подключение Участника ЕИКС Курской области к ЕИКС Курской области идоступ к информационным ресурсам ЕИКС Курской области в соответствии содобренной заявкой Участника ЕИКС Курской области.
2.2.2.Предоставлять Участникам ЕИКС Курской области необходимые идентификационныеданные.
2.2.3. Всоответствии со своими полномочиями принимать меры по защите информации приработе в ЕИКС Курской области и доступе к информационным ресурсам ЕИКС Курскойобласти.
2.2.4.Незамедлительно информировать Участников ЕИКС Курской области и требоватьпринятия ими мер в случае обнаружения угроз информационной безопасности приработе в ЕИКС Курской области.
2.2.5.Своевременно информировать Участников ЕИКС Курской области обо всех изменениях,вносимых в структуру ЕИКС Курской области, а также документов, регламентирующихработу ЕИКС Курской области.
2.3. УчастникЕИКС Курской области вправе:
2.3.1. Получатьдоступ к информационным ресурсам ЕИКС Курской области в соответствии сдокументами, регламентирующими работу ЕИКС Курской области, и в объеме,указанном в заявке Администрации ЕИКС Курской области.
2.3.2. Водностороннем порядке отказаться от доступа к информационным ресурсам ЕИКСКурской области после соответствующего письменного уведомления АдминистрацииЕИКС Курской области.
2.4. УчастникЕИКС Курской области обязан:
2.4.1. Строгособлюдать положения документов, регламентирующих работу ЕИКС Курской области.
2.4.2.Обеспечить сохранность и невозможность передачи третьим лицам идентификационныхпараметров, используемых в процессе работы в ЕИКС Курской области, или доступак информационным ресурсам ЕИКС Курской области.
2.4.3. Приниматьнеобходимые меры по защите информации при работе в ЕИКС Курской области илидоступе к информационным ресурсам ЕИКС Курской области в соответствии со своимиполномочиями.
2.4.4. Довестидо всех Абонентов ЕИКС Курской области и обеспечить выполнение ими всехинструкций и правил работы в ЕИКС Курской области.
2.4.5. Незамедлительно устранять причины (как выявленные самим УчастникомЕИКС Курской области, так и указанные Администрацией ЕИКС Курской области)нарушений информационной безопасности при работе в ЕИКС Курской области либонеправомерного использования информационных ресурсов ЕИКС Курской областитретьими лицами.
3.Ответственность Сторон
Стороны несутответственность за неисполнение обязанностей по настоящему Соглашению всоответствии с законодательством Российской Федерации.
4.Разрешение споров
Стороныпринимают необходимые меры к тому, чтобы любые спорные вопросы и разногласия,которые могут возникнуть из настоящего Соглашения или в связи с ним, былиурегулированы путем переговоров.
5.Обстоятельства и действия непреодолимой силы
5.1. Стороныосвобождаются от ответственности за частичное или полное неисполнениеобязательств, если такое неисполнение является следствием непреодолимой силы иих последствий: землетрясение, ураган, смерч, другие признанные официальностихийные бедствия, а также военные действия, массовые заболевания, забастовки,ограничения перевозок, изменение существующего законодательства.
5.2. В случаедействия обстоятельств непреодолимой силы срок выполнения настоящего Соглашениясторонами отодвигается соразмерно времени, в течение которого действуютобстоятельства непреодолимой силы и их последствия.
6. Срокдействия Соглашения, условия его расторжения
6.1. Соглашениевступает в силу с момента его подписания и действует в течение 1 календарногогода.
6.2 Действиенастоящего Соглашения автоматически продлевается на следующий календарный год,если ни одна из сторон в течение 30 (тридцати) дней до истечения его срока вписьменном виде не известит другую сторону о расторжении Соглашения.
6.3. НастоящееСоглашение может быть расторгнуто по соглашению Сторон.
7.Дополнительные условия
7.1. Всеизменения и дополнения оформляются в письменном виде и подписываютсяуполномоченными представителями Сторон.
7.2. По всемвопросам, не урегулированным настоящим Соглашением, Стороны руководствуютсядействующим законодательством.
7.3. НастоящееСоглашение составлено в двух экземплярах, имеющих одинаковую юридическую силу,по одному для каждой из Сторон.
8. Адресаи подписи Сторон
"Администрация ЕИКС "Участник ЕИКС Курской
Курской области" области"
_____________________________ _____________________________
_____________________________ _____________________________
_____________________________ _____________________________
_____________________________ _____________________________
_____________________________ _____________________________
_____________________________ _____________________________
ПриложениеN 2
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
Официальный бланкПретендента
Реквизиты письма
Председателю комитета
информатизации, государственных и
муниципальных услуг Курской
области
_____________________ (ФИО)
Уважаемый_____________________!
Прошу подключить ____________________________________________________
(наименование Претендента) кзащищенной сети ViPNetЕИКС Курской области
для_______________________________________________________________________
(указать цель подключения кЕИКС).
Число подключаемых абонентских пунктов -______.
Перечень информационных систем, к которым необходим доступ:
__________________________________________________________________________.
Лицо, ответственное за подключение, и контактный телефон: ФИО, номер
телефона, адрес электронной почты
Подробная схема сети ______________________________ (наименование
Претендента) и копия договора от ____ 20 года N с _____________
(наименование организации, с которой заключен договор на поставку
программного обеспечения ViPNet Client) прилагается.
Должность руководителя ____________________(ФИО)
М.П. (при наличии)
ПриложениеN 3
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
___________________________________________________________________________
(наименование Участника ЕИКС Курскойобласти/Претендента)
ПРИКАЗ
"___" _____________20__ г. N ____
О назначении Локального администратора сети _______________________
_______________________________________ (наименование Участника
ЕИКС Курскойобласти/Претендента).
Для осуществления мер по пресечению несанкционированного доступа,
администрирования и обеспечения бесперебойной работыинформационных систем
и Абонентских пунктов, принадлежащих ______________________________
(наименование Участника ЕИКС Курской области/Претендента) и относящихсяк
защищенной сети ViPNet ЕИКС Курской области.
ПРИКАЗЫВАЮ:
1. Назначить Локальным администратором _______________________
(наименование Участника ЕИКСКурской области/Претендента):
_____________________ (ФИО) -_________________________________________
(должность).
2. В своей работе по выполнению функций Локального администратора
_____________________________ (наименование Участника ЕИКС Курской
области/Претендента)руководствоваться:
- действующим законодательством РоссийскойФедерации;
- регламентом использования ЕИКС Курскойобласти
3. Контроль заисполнением приказа ___________________.
Должность руководителя ____________________(ФИО)
М.П. (при наличии)
ПриложениеN 4
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
___________________________________________________________________________
(наименование Участника ЕИКС Курскойобласти/Претендента)
ПРИКАЗ
"___" _____________20__ г. N ____
О назначении Абонентов Защищенной сети ViPNet ЕИКС Курской области
Для выполнения служебных обязанностей с использованием сервисов и
информационных систем Защищеннойсети ViPNet ЕИКС Курской области:
ПРИКАЗЫВАЮ:
1. Назначить Абонентами Защищенной сети ViPNet ЕИКС Курской области:
_________________ (ФИО) -_________________________ (должность),
_________________ (ФИО) -_________________________ (должность),
_________________ (ФИО) -_________________________ (должность).
2. В своей работе Абонентам Защищенной сети ViPNet Курской области
руководствоваться:
- действующим законодательством РоссийскойФедерации;
- регламентом использования ЕИКС Курскойобласти
3. Контроль заисполнением приказа _________________.
Должность руководителя ____________________(ФИО)
М.П. (приналичии)
ПриложениеN 5
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
Соглашение
оконфиденциальности персональных данных
Я,________________________ (фамилия, имя, отчество), понимаю, что получаювозможность доступа к персональным данным третьих лиц.
Я также понимаю,что во время исполнения своих обязанностей я буду заниматься обработкойперсональных данных.
Я подтверждаю,что не имею права нарушать конфиденциальность информации о:
- анкетных ибиографических данных;
- образовании;
- трудовом и общем стаже;
- составе семьи;
- паспортныхданных;
- воинском учете;
- заработнойплате;
- социальных льготах;
- специальности;
- занимаемойдолжности;
- наличии судимостей;
- адресе места жительства, домашнем телефоне;
- месте работы или учебы членов семьи и родственников;
- содержании трудового договора;
- составе декларируемых сведений о наличии материальныхценностей;
- содержании декларации, подаваемой в налоговую инспекцию;
- подлинниках и копиях приказов по личному составу;
- личных делах и трудовых книжках;
- делах, содержащих материалы по повышению квалификации ипереподготовке, их аттестации, служебным расследованиям;
- копиях отчетов, направляемых в органы статистики.
Я понимаю, чтонарушение конфиденциальности информации такого рода может нанести ущербсубъекту персональных данных, как прямой, так и косвенный.
Я предупрежден(а) о том, что в случае нарушения положенийзаконодательства Российской Федерации в области персональных данных я несуответственность в соответствии со ст. 90 ТК РФ.
________________________ _____________ ______________________________
(должность) (подпись) (Ф.И.О.)
"___" __________ 20__г.
ПриложениеN 6
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
Доверенность
на получение дистрибутиваключей
(наименование населенногопункта) "_____"_______________ 20__ г.
______________________________________________(наименование Участника
ЕИКС Курской области/Претендента) в лице_________________________________
(должность, ФИО) уполномочивает:___________________________________ (ФИО),
паспорт ___________________________________________________________________
(серия, номер, кем и когдавыдан) получить в комитете информатизации,
государственных имуниципальных услуг Курской области дистрибутив ключей
для первичного запуска прикладнойпрограммы сети ViPNet N 1366.
Настоящая доверенность действительна по"___" _____________ 20___ г.
Подпись лица, получившего доверенность____________________________
Должность руководителя ____________________(ФИО)
М.П.(при наличии)
ПриложениеN 7
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
Официальный бланк Участника ЕИКСКурской области
Реквизиты письма
Председателю комитета
информатизации, государственных и
муниципальных услуг Курской
области
___________________________ (ФИО)
Уважаемый_____________________!
Прошу предоставить/прекратить доступ__________________________________
______________________________________________(наименование Участника ЕИКС
Курской области)для абонентских пунктов __________________________________
(наименование абонентских пунктов при необходимости) к информационным
ресурсам:_______________________________________ (название информационной
системы (IP-адрес) или абонентских пунктов с указанием принадлежности к
сети ViPNetN ____).
Локальный администратор: ФИО, номертелефона, адрес электронной почты.
Должность руководителя ____________________(ФИО)
М.П. (при наличии)
ПриложениеN 8
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
Официальный бланк Участника ЕИКСКурской области
Реквизиты письма
Председателю комитета
информатизации, государственных и
муниципальных услуг Курской
области
________________________ (ФИО)
Уважаемый_____________________!
Прошу предоставить/прекратить доступ__________________________________
(наименование Участника ЕИКС Курской области) кинформационным ресурсам:
_________________________________________________________________(название
информационной системы, ip-адрес).
Перечень IP-адресов для который необходимо предоставитьили прекратить
доступ:_______________________________________________ (по необходимости).
Локальный администратор: ФИО, номертелефона, адрес электронной почты.
Должность руководителя ____________________(ФИО)
М.П.(при наличии)
ПриложениеN 9
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
ПРОТОКОЛ
установлениямежсетевого взаимодействия
"____"_________________ 20__ г.
1. Межсетевоевзаимодействие устанавливается между сетями:
| Номер сети | Наименование организации |
| N ______ | Полное наименование организации |
| N ______ | Полное наименование организации |
2. Цельюустановления межсетевого взаимодействия является межведомственное защищенноеинформационное взаимодействие ViPNet сетей указанныхорганизаций.
| Номер сети | Должность | ФИО |
| N ______ | | |
| N ______ | | |
3. Процедуруустановления межсетевого взаимодействия осуществляли:
4. Передачаначального и ответного экспорта между сетями N ___ и N ___ осуществлялась черезспециалиста, уполномоченного на данные действия.
5. Дляустановления межсетевого взаимодействия использовался индивидуальныйсимметричный межсетевой мастер-ключ, созданный в сети N ___.
6. Дляустановления межсетевого взаимодействия были назначены серверы-маршрутизаторыдля организации шлюза:
в сети N ___ -"_________________________________"
в сети N ___ -"_________________________________"
7. Приустановлении межсетевого взаимодействия в части ЭЦП были произведены импортысправочников ЭЦП главных абонентов сети N ___ и N ___.
8. Сменамежсетевых ключей, изменение состава АП, участвующих в межсетевомвзаимодействии, производится после предварительного согласования средствамивзаимного экспорта/импорта, о чем администраторы защищенных сетей уведомляютдруг друга с помощью ПО ViPNet [Клиент] [Деловаяпочта] с указанием производимых изменений.
9. Стороныобязуются без предварительного согласия не производить изменений в настройках иструктуре защищенных сетей, могущих привести к нарушению межсетевоговзаимодействия.
Администратор сети Администратор сети
ViPNet N_____ ViPNet N _____
_____________________________ ______________________________
(ФИО) (ФИО)
_____________________________ _______________________________
(подпись) (подпись)
"_____"________________ 20___ г. "_____" _________________ 20___ г.
М.П. (при наличии) М.П. (при наличии)
ПриложениеN 10
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
Официальный бланк Участника ЕИКСКурской области
Реквизиты письма
Председателюкомитета
информатизации,
государственных и
муниципальных услуг
Курской области
_________________ (ФИО)
Уважаемый_____________________!
Прошу перевыпустить dst-файл для узла_________________ (наименование
узла) по причине___________________ (указать причину, по которой требуется
перевыпустить дистрибутив).
Должность руководителя____________________ (ФИО)
М.П. (при наличии)
ПриложениеN 11
к Регламентуиспользования
Единойинформационной
коммуникационнойсреды
Курской области
ТИПОВАЯИНСТРУКЦИЯ
ПО РАБОТЕ В СЕТИ"ИНТЕРНЕТ"
1.Общие положения
1.1. НастоящаяИнструкция устанавливает порядок использования средств вычислительной техники исвязи для выхода в сеть "Интернет". Инструкция разработана с учетомтребований Федерального закона "Об информации, информационных технологияхи о защите информации", а также действующих руководящих документов поорганизации работ в области защиты информации, обрабатываемой на объектахвычислительной техники и средств связи, в органахисполнительной власти Курской области.
1.2. Инструкцияобязательна для выполнения в органах исполнительной власти Курской области.
2.Общие требования к порядку использования
средстввычислительной техники и связи
при работе всети "Интернет"
2.1. Для работы на конкретном объекте средств вычислительной техники исвязи при работе в сети "Интернет" допускаются лица, внесенные всписок пользователей, допущенных к работе на объектах вычислительной техники исредств связи, который утверждается руководителем уполномоченного органаисполнительной власти Курской области в сфере развития и использованияинформационных технологий на территории Курской области (региональнойинформатизации и обеспечения защиты информации) (далее - уполномоченный орган).
В спискеуказываются фамилия, имя, отчество пользователей и их должности.
2.2. Техническиесредства должны эксплуатироваться с соблюдением требований, указанных вруководстве пользователя производителя технического средства.
2.3. Исходящаякорреспонденция, отправляемая открытыми каналами электронной почты (e-mail сети "Интернет"), подлежит строгому учету.
2.4. Подключение информационных систем,информационно-телекоммуникационных сетей и средств вычислительной техники,применяемых для хранения, обработки или передачи сведений, составляющихслужебную тайну, к информационно-телекоммуникационным сетям международногоинформационного обмена производится только с использованием специальнопредназначенных для этого средств защиты информации, в том числе шифровальных(криптографических) средств, прошедших в установленном законодательствомРоссийской Федерации порядке сертификацию в Федеральной службе безопасностиРоссийской Федерации и (или) получивших подтверждение соответствия вФедеральной службе по техническому и экспортному контролю. Выполнение данноготребования является обязательным для операторов ЕИКС.
2.5. В целях защиты общедоступной информации, размещаемой винформационно-телекоммуникационных сетях международного информационного обмена,используют только средства защиты информации, прошедшие в установленномзаконодательством Российской Федерации порядке сертификацию в Федеральнойслужбе безопасности Российской Федерации и (или) получившие подтверждениесоответствия в Федеральной службе по техническому и экспортному контролю.
2.6. Запрещаетсяработа со служебной информацией на рабочем месте без проведения работ по защитеинформации. Для недопущения несанкционированного доступа к сети"Интернет" лиц, не включенных в список, должен быть установлен парольна загрузку операционной системы. Указанный пароль, а также пароли,используемые для доступа к информационным и вычислительным сетям, должныдержаться в тайне. Ответственность за работу с внешними носителями информации возлагаетсяна оператора АРМ.
3.Работа в вычислительных сетях
3.1. Установкапротоколов, имена компьютеров определяются системным администратором.Самостоятельная смена настроек и протоколов запрещена.
3.2. Компьютеры,которые обрабатывают информацию конфиденциального характера, не могут бытьподсоединены к вычислительным и информационным сетям общего пользования безпредварительного проведения работ по защите информации от несанкционированногодоступа в соответствии с действующим законодательством по вопросам защитыинформации.
4.Доступ к ресурсам сети "Интернет"
4.1. Длявыполнения задач, связанных с исполнением служебных обязанностей, пользователюпредоставляется доступ к ресурсам сети "Интернет". Доступ к ресурсамсети "Интернет" в других целях запрещен.
4.2. Доступпредоставляется пользователю на основании заявки от руководителя подразделенияв адрес уполномоченного органа.
4.3. Доступ кресурсам сети "Интернет" блокируется системным администраторомуполномоченного органа без предварительного уведомления.
4.4. Привозникновении нештатных ситуаций уполномоченный орган оставляет за собой правоограничивать доступ к ресурсам сети "Интернет", содержание которых неимеет отношения к исполнению служебных обязанностей, а также к ресурсам,содержание и направленность которых запрещены международным и российскимзаконодательством.
5.Правила работы с ресурсами сети "Интернет"
5.1. При работес ресурсами сети "Интернет" недопустимы:
разглашениесведений конфиденциального характера, ставших известными пользователю послужебной необходимости либо иным путем;
распространениезащищенных авторскими правами материалов, затрагивающих патент, торговую марку,коммерческую тайну, копирайт или иные права собственности и/или авторские исмежные права третьей стороны;
публикация,загрузка и распространение материалов, содержащих вирусы или другиекомпьютерные коды, файлы или программы, предназначенные для нарушения,уничтожения либо ограничения функциональности любого компьютерного илителекоммуникационного оборудования или программ, для осуществлениянесанкционированного доступа, а также серийные номера к коммерческимпрограммным продуктам и программы для их генерации, логины, пароли и прочиесредства для получения несанкционированного доступа к платным ресурсам сети "Интернет",а также размещения ссылок на вышеуказанную информацию.
5.2. При работес ресурсами сети "Интернет" запрещено:
загружать изапускать файлы без предварительной проверки на наличие вирусов установленнымантивирусным пакетом;
использоватьанонимные прокси-серверы;
использоватьпрограммные и аппаратные средства, позволяющие получить доступ к ресурсам сети"Интернет", запрещенным к использованию комитетом информатизации,государственных и муниципальных услуг Курской области;
сохранять парольна компьютере (процедура используется для доступа к защищенному паролем ресурсусети "Интернет", интрасети и т.д.), если компьютер используетсянесколькими пользователями.
6.Доступ к электронной почте
6.1. Длявыполнения задач, связанных с исполнением служебных обязанностей, пользователюпредоставляется доступ к электронной почте. Использование электронной почты вдругих целях запрещено.
6.2. Доступ кэлектронной почте предоставляется пользователю на основании заявки отруководителя структурного подразделения Администрации Курской области в адресуполномоченного органа.
6.3. Содержимоеэлектронного почтового ящика пользователя может быть проверено безпредварительного уведомления по требованию непосредственного либо вышестоящегоруководителя.
6.4. Привозникновении нештатных ситуаций доступ к серверу электронной почты блокируетсясистемным администратором уполномоченного органа без предварительногоуведомления.
7.Правила работы с электронной почтой
АдминистрацииКурской области
7.1. При работес электронной почтой Администрации Курской области запрещено:
использоватьадрес почты Администрации Курской области для оформления подписок безпредварительного согласования с системным администратором уполномоченногооргана;
открывать исохранять исполняемые вложенные файлы (файлы, имеющие расширения exe, bat и т.п.), полученные отнеизвестных отправителей, а также вложенные файлы с незнакомыми расширениями;
публиковатьсвой адрес либо адреса других пользователей на общедоступных интернет-ресурсах (форумы, конференции и т.п.);
отправлятьсообщения с вложенными файлами, общий объем которых превышает 5 Мб, безпредварительного согласования с системным администратором уполномоченногооргана;
открыватьвложенные файлы во входящих сообщениях без предварительной проверкиантивирусными средствами;
осуществлятьмассовую рассылку почтовых сообщений (более 10) внешним адресатам безсогласования с ними;
осуществлятьрассылку почтовых сообщений рекламного характера без предварительногосогласования с системным администратором уполномоченного органа;
осуществлятьрассылку через электронную почту материалов, содержащих вирусы или другиекомпьютерные коды, файлы или программы, предназначенные для нарушения,уничтожения либо ограничения функциональности любого компьютерного илителекоммуникационного оборудования или программ, для осуществлениянесанкционированного доступа, а также серийные номера к коммерческимпрограммным продуктам и программы для их генерации, логины, пароли и прочиесредства для получения несанкционированного доступа к платным ресурсам сети"Интернет ",а также ссылки на вышеуказанную информацию;
- распространятьзащищенные авторскими правами материалы, затрагивающие патент, торговую марку,коммерческую тайну, копирайт и иные права собственности и/или авторские исмежные права третьей стороны;
- распространятьинформацию, содержание и направленность которой запрещенымеждународным и российским законодательством;
- распространятьинформацию ограниченного доступа;
- предоставлятьпароль доступа к своему почтовому ящику.
8.Порядок установки и смены паролей
На компьютерах,используемых для обработки информации, устанавливаются пароли. Паролиустанавливаются самим пользователем или системным администраторомуполномоченного органа. Идентификаторы (имена) и пароли для доступа к ресурсамлокальных и глобальных вычислительных сетей определяются пользователем,ответственным за эксплуатацию вычислительной техники.