Постановление Губернатора Курской области от 09.10.2009 N 335 "Об утверждении Регламента использования Единой информационной коммуникационной среды Курской области" (с изменениями и дополнениями)

Постановление Губернатора Курской области
от 9 октября 2009 г. N 335
"Об утверждении Регламента использования Единой информационной коммуникационной среды Курской области"

В соответствии с Законом Курской области "Об информационных системах Курской области" и в целях развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации постановляю:

Утвердить прилагаемый Регламент использования Единой информационной коммуникационной среды Курской области.

Губернатор Курской области

А.Н. Михайлов

Регламент
использования Единой информационной коммуникационной среды Курской области
(утв. постановлением Губернатора Курской области от 9 октября 2009 г. N 335)

1 Принятые сокращения и определения

АС - автоматизированная система

ЕИКС Курской области - единая информационная коммуникационная среда Курской области

ЛВС - локальная вычислительная сеть

МЭ - межсетевой экран

НСД - несанкционированный доступ

ОС - операционная система

РД - руководящий документ

СВТ - средства вычислительной техники

СЗИ НСД - средства защиты информации oт несанкционированного доступа

СУБД - система управления базами данных

ФСТЭК - Федеральная служба по техническому и экспортному контролю

ЭЦП - электронная цифровая подпись

Участник информационного взаимодействия - (Участник ЕИКС Курской области) - органы государственной власти, учреждения, организации Курской области, имеющие подключение к ЕИКС Курской области

2. Общие положения. Основные задачи, организация, контроль, руководство

Регламент использования ЕИКС Курской области (далее - Регламент) определяет содержание и порядок совместного использования ЕИКС Курской области и обеспечения безопасности информационных ресурсов ЕИКС Курской области.

Настоящий Регламент предназначен для практического использования участниками информационного взаимодействия при организации и проведении мероприятий по использованию ЕИКС Курской области.

Требования и рекомендации Регламента обязательны для выполнения всеми должностными лицами участников информационного взаимодействия при организации и проведении мероприятий по использованию ЕИКС Курской области

Регламент разработан в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации", Федеральным законом "О персональных данных", Федеральным законом "О коммерческой тайне", Федеральным законом "Об электронной цифровой подписи", Указом Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", Указом Президента Российской Федерации от 06 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" и руководящими документами ФСТЭК России, Законом Курской области "Об информационных системах Курской области" и постановлением Администрации Курской области от 29.09.2008 г. N 306 "О мерах по противодействию коррупции".

Регламент определяет комплекс организационных и технических мероприятий по обеспечению эффективного и бесперебойного функционирования ЕИКС Курской области.

Регламент проходит согласование у руководителей участников информационного взаимодействия и утверждается Губернатором Курской области.

Доступ к ресурсам ЕИКС Курской области предоставляется сотрудникам участников информационного взаимодействия для выполнения ими должностных обязанностей.

ЕИКС Курской области предназначена для:

осуществления информационного взаимодействия, в том числе юридически значимого, между пользователями ЕИКС Курской области;

формирования и использования общих информационных ресурсов,

предоставления собственных информационных ресурсов в совместное пользование определенным участникам информационного взаимодействия для более эффективного выполнения служебных задач;

проведения единой политики в сфере информационных технологий и безопасности информации всеми участниками информационного взаимодействия.

Основными задачами Регламента являются:

определение порядка создания и формирования информационных ресурсов ЕИКС Курской области;

организация иерархической системы администрирования ЕИКС Курской области;

определение порядка использования информационных ресурсов ЕИКС Курской области;

организация электронного документооборота, в том числе юридически значимого, между пользователями ЕИКС Курской области,

определение порядка использования ЭЦП в процессе информационного взаимодействия между пользователями ЕИКС Курской области;

определение требований при подключении к сторонним информационным сетям и предоставлении доступа к информационным ресурсам ЕИКС Курской области сторонним организациям, учреждениям и предприятиям;

определение методов защиты информационных ресурсов ЕИКС Курской области и организация мероприятий по обеспечению их безопасности;

организация контроля защищенности информационных ресурсов ЕИКС Курской области

В состав информационных ресурсов ЕИКС Курской области входят:

общие информационные ресурсы ЕИКС Курской области,

информационные ресурсы участников информационного взаимодействия, предоставленные для совместного использования в рамках ЕИКС Курской области;

информационные ресурсы участников информационного взаимодействия, входящие в состав ЕИКС Курской области, но не предназначенные для совместного использования;

устройства и средства информационного взаимодействия и защиты информации

Информационные ресурсы, созданные или приобретенные участником информационного взаимодействия, являются его собственностью. Участник информационного взаимодействия, в рамках использования информационных ресурсов ЕИКС Курской области, обязан обеспечить проведение всех необходимых мероприятий по защите указанных информационных ресурсов на уровне не ниже установленного для информационных ресурсов ЕИКС Курской области соответствующего класса.

Общими информационными ресурсами ЕИКС Курской области являются ресурсы, созданные участниками информационною взаимодействия количеством более одного и расположенные на серверах ЕИКС Курской области Ограничения по доступу к указанным ресурсам определяются администрацией ЕИКС Курской области. Собственником данных ресурсов является Администрация Курской области в лице уполномоченного органа, определяемого актом Губернатора Курской области.

Ответственность за обеспечение проведения мероприятий по защите и формированию информационных ресурсов участников информационного взаимодействия возлагается на руководителя участника информационного взаимодействия.

Ответственность за обеспечение проведения мероприятий по защите и формированию общих информационных ресурсов ЕИКС Курской области возлагается на администрацию ЕИКС Курской области

Штатный состав администрации ЕИКС Курской области формируется из сотрудников органа исполнительной власти Курской области, уполномоченного в сфере развития и использования информационных технологий па территории Курской области (региональной информатизации) и обеспечения защиты информации и утверждается, совместно со структурой администрации ЕИКС Курской области, распоряжением Администрации Курской области. Для решения конкретных задач в структуру администрации ЕИКС Курской области могут быть включены по согласованию специалисты одного или нескольких участников информационного взаимодействия по представлению руководителя администрации ЕИКС Курской области или участника информационного взаимодействия

Общее руководство в сфере развития и формирования ЕИКС Курской области и информационных ресурсов осуществляет администрация ЕИКС Курской области, для исполнения чего администрация ЕИКС Курской области наделяется следующими правами и обязанностями:

разрабатывать, согласовывать и вносить изменения и дополнения в настоящий Регламент;

самостоятельно проводить мероприятия по контролю защищенности общих информационных ресурсов ЕИКС Курской области - информационных ресурсов участников информационного взаимодействия по согласованию с руководством и привлечением специалистов данного участника информационного взаимодействия;

координировать работу по администрированию ЕИКС Курской области;

формировать реестр участников информационного взаимодействия, подготавливать и вносить предложения по реформированию и развитию ЕИКС Курской области.

3. Заключение соглашений по присоединению к ЕИКС Курской области заинтересованных органов, учреждений и организаций

Настоящий Регламент определяет следующий порядок по присоединению к ЕИКС Курской области заинтересованных органов, учреждений и организаций.

1. В адрес администрации ЕИКС Курской области от заинтересованного органа учреждения или организации направляется заявка о присоединении к ЕИКС Курской области, содержащая данные о полном наименовании, месте нахождения, основных направлениях деятельности, форме собственности и учредителях юридического лица. К заявке прилагается анкета, согласно приложению N 2. Для уточнения сведений о подавшем заявку органе, учреждении или организации, а также структуре и порядке эксплуатации их информационных систем администрацией ЕИКС Курской области запрашивается необходимая информация от подавшего заявку органа, учреждения или организации.

2. Администрация ЕИКС Курской области в течение 7 рабочих дней направляет участникам информационного взаимодействия информацию о поступившей заявке. Участник информационного взаимодействия в двухнедельный срок предоставляет свое заключение о возможности присоединения к ЕИКС Курской области подавшего заявку органа, учреждения или организации.

3. В случае не предоставления заключения в администрацию ЕИКС Курской области от участников информационного взаимодействия в указанный срок, позиция данного участника информационного взаимодействия не будет учтена при решении вопроса о предоставлении доступа к ЕИКС Курской области. В случае предоставления отрицательного заключения участником информационного взаимодействия, данное заключение должно содержать четкое и мотивированное обоснование отказа, без чего оно также не будет учтено при рассмотрении вопроса о предоставлении доступа к ЕИКС Курской области.

4. Администрация ЕИКС Курской области, на основании поступивших заключений и данных, поступивших от подавшего заявку органа, учреждения или организации в течение 20 календарных дней подготавливает решение о возможности подключения к ЕИКС Курской области указанного органа, учреждения или организации, которое выносится на рассмотрение заместителю Губернатора Курской области - Управляющему делами Администрации Курской области.

5. В случае принятия положительного решения Администрацией Курской области с заинтересованным органом, учреждением или организацией заключается соглашение об обеспечении доступа к ЕИКС Курской области. Типовое соглашение об обеспечении доступа к ЕИКС Курской области представлено в приложении N 1 к настоящему Регламенту.

6. Администрация ЕИКС Курской области вносит указанный орган, учреждение или организацию в перечень участников информационного взаимодействия и предоставляет технологические возможности для присоединения к ЕИКС Курской области.

7. В случае принятия отрицательного решения орган, учреждение или организация, подавшая заявку, информируется о данном решении в двухнедельный срок со дня принятия решения.

4. Порядок формирования, использования, разграничения доступа единых, совместных и распределенных информационных ресурсов

1. Формирование информационных ресурсов ЕИКС Курской области осуществляется при соблюдении следующих требований:

- эффективное использование информационных ресурсов в общественном производстве и для управления территорией;

- обеспечение необходимого уровня информационной безопасности субъектов информационных отношений;

- обеспечение структурной и функциональной устойчивости системы информационных ресурсов органов государственной власти и органов местного самоуправления;

- обеспечение экономической эффективности пользования информационными ресурсами;

- вхождение информационных ресурсов федеральных, муниципальных и иных информационных систем, расположенных на территории Курской области в ЕИКС Курской области,

2. Формирование информационных ресурсов ЕИКС Курской области производится на основе:

- единой системы правового регулирования информационных отношений на территории Курской области;

- унификации системы документов и правил документирования на всей территории Курской области, ведения и применения регистров, кадастров, классификаторов, иных стандартов и нормативов в управлении информационными ресурсами;

- единого порядка учета, регистрации, сертификации и лицензирования в системе формирования информационных ресурсов;

- обеспечения потребителей достоверной, полной информацией;

- обеспечения совместимости информационных ресурсов в информационных системах органов государственной власти Курской области и органов местного самоуправления, организаций и общественных объединений.

3. Информационные ресурсы ЕИКС Курской области формируются на основе информации, создаваемой, обрабатываемой и накапливаемой в процессе:

- деятельности органов государственной власти Курской области, органов местного самоуправления, государственных (муниципальных) учреждений, иных организаций;

информационного взаимодействия органов государственной власти Курской области с федеральными органами государственной власти, с органами государственной власти других субъектов Российской Федерации, организациями и гражданами.

4. Деятельность по формированию информационных ресурсов осуществляется операторами информационных систем. Решения о создании государственных информационных систем для формирования включаемых в них информационных ресурсов включаются в программы и планы работ по информатизации области.

5. В случае принятия решения о прекращении деятельности организации - оператора информационной системы, содержащей информационные ресурсы ЕИКС Курской области, собственник информационных ресурсов определяет порядок передачи информационных ресурсов иному оператору и (или) порядок дальнейшего использования таких информационных ресурсов.

6 Лица, уполномоченные создавать и формировать информационные ресурсы, предназначенные для использования в ЕИКС Курской области, несут дисциплинарную, гражданско-правовую, административную и уголовную, ответственность за предоставление несоответствующей информации и несоблюдение требований по информационной безопасности в соответствии с действующим законодательством Российской Федерации.

7. Пользователями информационных ресурсов ЕИКС Курской области являются:

- территориальные органы федеральных органов исполнительной власти;

- органы государственной власти Курской области;

- органы местам о самоуправления Курской области;

- организации и общественные объединения.

8 Порядок получения пользователем информации (указание места, времени, ответственных должностных лиц, необходимых процедур) определяет собственник информационных ресурсов с соблюдением требований, установленных настоящим Регламентом

9. Собственники информационных ресурсов обеспечивают пользователей информацией из информационных ресурсов ЕИКС Курской области на основе законодательства Российской Федерации, настоящего Регламента, их уставов (положений), а также договоров на услуги по информационному обеспечению

10. Использование информационных ресурсов должно соответствовать правовому режиму, установленному федеральным законодательством и законодательством Курской области, следующих объектов гражданских прав:

- информации, составляющей информационные ресурсы;

- программных и иных средств организации (представления) информации в информационных системах;

- материальных (бумажных, магнитных, оптических и иных) носителей информации, составляющей информационные ресурсы, а также иных технических средств обеспечения информационных систем

Использование указанных объектов в нарушение установленного правового режима не допускается.

11. Использование государственных информационных ресурсов в интересах органов государственной власти Курской области, информационное взаимодействие между органами государственной власти Курской области, органами местного самоуправления, территориальными органами федеральных органов исполнительной власти, государственными (муниципальными) предприятиями по вопросам их компетенции и деятельности производится на безвозмездной основе. Финансирование мероприятий по созданию и эксплуатации государственных информационных ресурсов производится за счет средств, направляемых на финансирование деятельности указанных органов (организаций) или соответствующих целевых программ.

12 Доступ граждан Российской Федерации к информации по вопросам реализации их конституционных прав и свобод, а также к информации особой социальной значимости осуществляется бесплатно.

13. Порядок накопления, обработки, использования информации и порядок доступа к ней определяются оператором информационной системы в пределах своей компетенции в соответствии с законодательством Российской Федерации.

5. Ситуационный центр (межведомственная информационная служба) и его взаимодействие с информационными службами органов, учреждений и организаций

Настоящий раздел определяет порядок предоставления информации, формируемой на основании данных автоматизированных информационных систем, функционирующих в исполнительных органах государственной власти Курской области и подведомственных им организациях, а также территориальных органах федеральных органов исполнительной власти и подведомственных им организациях, органов местного самоуправления и подведомственных им организациях, по согласованию с ними (далее - ответственные организации) в Ситуационный центр Курской области.

В настоящем разделе используются следующие понятия:

Ситуационный центр Курской области - организационно-техническое объединение компактно размещенных технических подсистем и рабочих мест руководителей Администрации Курской области, Правительства Курской области и экспертов, предназначенное для обеспечения поддержки принятия решений исполнительными органами государственной власти Курской области, территориальными органами федеральных органов исполнительной власти и органами местного самоуправления Курской области в повседневной деятельности и в условиях чрезвычайных ситуаций.

Реальный режим времени - в любой момент времени информационная система представляет только актуальную информацию и позволяет осуществлять управление непрерывно.

Картографическая информация - формализованное представление в цифровом виде данных об объектах топографической карты, которое включает в себя цифровое описание пространственного распространения объекта, его смыслового содержания (семантика объекта цифровой топографической карты) и пространственно-логических связей.

Хранилище данных - предметно ориентированная информационная корпоративная база данных, предназначенная для подготовки отчетов, анализа бизнес-процессов и поддержки принятия решений. Хранилище данных опирается на большое число баз данных и представляет пользователям к прикладным программам информацию в соответствующем виде.

Семантическая информация - информация, предполагающая актуальную или потенциальную возможность раскрытия потребителем ее содержания, смысла, закодированного теми или иными знаковыми средствами.

Целями функционирования Ситуационного центра Курской области являются:

1. Повышение эффективности информационно-аналитического обеспечения деятельности Администрации Курской области и Правительства Курской области, исполнительных органов государственной власти Курской области за счет принятия решений на основе интегрированной информации, получаемой от участвующих в информационном взаимодействии исполнительных органов государственной власти Курской области, подведомственных им организаций, федеральных органов государственной власти и органов местного самоуправления.

2. Организация автоматизированного информационного взаимодействия исполнительных органов государственной власти Курской области в рамках создания и эксплуатации Ситуационного центра Курской области.

Территориальные органы федеральных органов исполнительной власти и подведомственные им организации, органы местного самоуправления и подведомственные им организации, представляют информацию в Ситуационный центр Курской области на основании соглашений, заключаемых между территориальными органами федеральных органов исполнительной власти и подведомственные им организации, органами местного самоуправления и подведомственными им организациями и уполномоченным органом исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации.

Перечень ответственных организаций с указанием видов представляемой информации, периодичность ее поступления, режимы поступления в Ситуационный центр Курской области по согласованию с указанными организациями, устанавливается актом Губернатора Курской области. Указанный акт разрабатывается в установленном порядке уполномоченным органом исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации.

Порядок представления информации в Ситуационный центр Курской области

1. Ответственные организации обеспечивают представление информации в следующих режимах:

в регламентном режиме - состав и периодичность представления информации строго регламентированы;

в режиме реального времени - в каждый момент заранее согласованного периода времени автоматизированная информационная система ответственной организации представляет для размещения в хранилище данных Ситуационного центра Курской области оперативную информацию о процессах и (или) объектах наблюдения. Период времени, когда осуществляется представление информации, определяется планом мероприятий, проводимых в Курской области, и режимом работы Ситуационного центра Курской области;

по запросу - представление информации осуществляется по мере необходимости по предварительному запросу, определяющему период представления и состав представляемой информации.

2. Состав представляемой информации, структуры и форматы данных, способы представления информации определяются протоколом информационного взаимодействия при представлении информации в Ситуационный центр Курской области в электронном виде (далее - протокол), который утверждается уполномоченным органом исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация) и обеспечения защиты информации по согласованию с ответственными организациями.

3. Информация, передаваемая в регламентном режиме и по запросу, должна быть подписана электронной цифровой подписью должностного лица, ответственного за представление информации в Ситуационный центр Курской области.

4. Представление и сопровождение сертификатов открытых ключей электронной цифровой подписи обеспечивает в соответствии с разделом настоящего Регламента "Единый электронный документооборот. Почтовые системы. Использование юридически значимого документооборота в ЕИКС Курской области".

5. Представление информации в регламентном режиме осуществляется в два этапа:

5.1. На первом этапе информация предоставляется в уполномоченный орган исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация) и обеспечения защиты информации для размещения в хранилище данных Ситуационного центра Курской области в полном объеме, включая классификаторы и справочники.

5.2. На втором этапе с установленной периодичностью представляются только изменения данных, происшедшие с момента предыдущей передачи.

Администрация Курской области проводит работу по внедрению в эксплуатацию единых классификаторов в рамках системы классификаторов, используемых исполнительными органами государственной власти Курской области при предоставлении информации в Ситуационный центр Курской области.

6 Передача информации осуществляется по каналам ЕИКС Курской области, курьером (на электронном носителе) или иным способом При передаче информации курьером прием-передача информации производится в ответственной организации

7 Для обеспечения предоставления информации в ответственных организациях назначаются должностные лица, ответственные за представление информации Выписки из приказов о назначении должностных лиц, ответственных за представление информации, с указанием адресов электронной почты, закрепленных за ними, представляются в уполномоченный орган исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация).

8. По факту приема-передачи информации на электронном носителе составляется акт, который подписывается ответственным должностным лицом уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация) и обеспечения защиты информации, а также ответственным в организации на момент приема-передачи информации При передаче информации по электронной почте с использованием ЭЦП получатель направляет в адрес ответственного в организации уведомление о получении информации

9. Ответственность за своевременную подготовку и передачу информации в соответствии с Регламентом, а также за достоверность передаваемой информации несет ответственная организация.

В Ситуационном центре Курской области обрабатывается и передается открытая и конфиденциальная информация, которая подлежит защите в соответствии с требованиями действующего законодательства Российской Федерации по защите информации.

6. Требования к классу защищенности информационных систем с ограниченным доступом. Требования к программно-аппаратным средствам защиты информации

Обеспечение защиты конфиденциальной информации при обработке ее на средствах вычислительной техники в федеральных, муниципальных и государственных органах осуществляется в соответствии с требованиями документов ФСТЭК России по защите информации oт несанкционированного доступа, Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, одобренными решением коллегии Гостехкомиссии России от 02.03.2001 N 7.2(СТР-К), нормативными и методическими документами ФСТЭК России, утвержденными 12 февраля 2008 г.

Классификация автоматизированных систем осуществляется на основании требований РД ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", совместного приказа ФСГЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных" и настоящего раздела Регламента.

При проектировании вновь создаваемых АС на базе средств вычислительной техники перечень требований по защите информации указывается проектной документацией в разделе "Специальные требования по защите информации технического задания на создание АС". Требования по защите информации разрабатываются одновременно с другими разделами технического задания с привлечением сотрудников подразделений по защите информации.

Если АС, классифицированная ранее, включается в cостав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.

В соответствии с РД ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации" и совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Порядок проведения классификации информационных систем персональных данных" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:

АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам ЗБ, 2Б и не ниже 1Г;

АС, обрабатывающие персональные данные, должны быть отнесены к классам К1, К2 и КЗ.

Для обработки конфиденциальной информации необходимо использовать технические и программные средства, удовлетворяющие установленным в соответствии с действующим законодательством требованиям, обеспечивающим защиту информации.

Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации Применяемые при этом средства защиты информации должны быть сертифицированы.

Подключение информационных систем операторов к ЕИКС Курской области должно осуществляться в соответствии с требованиями действующего законодательства в сфере защиты информации.

Средства защиты информации от несанкционированного доступа (СЗИ НСД), устанавливаемые на рабочие станции и серверы при обработке на них информации с ограниченным доступом, должны осуществлять:

- идентификацию и аутентификацию пользователей при доступе к рабочим станциям и серверам внутренней ЛВС по идентификатору и паролю.

- контроль доступа к ресурсам рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа;

- регистрацию доступа к ресурсам рабочих станций и серверов внутренней ЛВС, включая попытки НСД;

- регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов)

При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных, в состав программного обеспечения рабочей станции или сервера.

7. Регистрация пользователей ЕИКС Курской области. Доступ к информационным ресурсам. Назначение доступа к ресурсам ЕИКС Курской области

Состав пользователей ЕИКС Курской области и их допуск к информационным ресурсам ЕИКС Курской области устанавливается по письменному разрешению администрации ЕИКС Курской области, которое дается по рассмотрению письменного представления руководителя участника ЕИКС Курской области и строго контролируется. Все изменения состава пользователей ЕИКС Курской области, их прав должны регистрироваться.

Пользователь ЕИКС Курской области имеет доступ только к тем информационным ресурсам ЕИКС Курской области, которые разрешены для него.

Каждый администратор ЕИКС Курской области и пользователь ЕИКС Курской области должен иметь уникальные идентификаторы и пароли, а в случае использования криптографических средств защиты информации - ключи шифрования для криптографических средств, используемых для защиты информации при передаче ее по каналам связи и хранения, и для систем электронной цифровой подписи. При этом администраторы ЕИКС Курской области и пользователи ЕИКС Курской области должны нести ответственность за сохранность своих идентификаторов и паролей.

Администраторы ЕИКС Курской области и пользователи ЕИКС Курской области несут персональную ответственность за нарушения порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник участников ЕИКС Курской области должен подписывать соглашение о соблюдении установленных требований по сохранению информации ограниченного доступа и ответственности за их нарушение, а также правил работы с защищаемой информацией в ЕИКС Курской области.

8. Учет и протоколирование работы пользователей в ЕИКС Курской области. Контроль использования ресурсов ЕИКС Курской области

Система учета работы пользователей ЕИКС Курской области должна быть построена по иерархической схеме. В каждом участнике ЕИКС Курской области должен вестись учет работы пользователей ЕИКС Курской области данной организации с точки зрения входа/выхода пользователей в систему ЕИКС Курской области, совершаемых пользователями действий. Кроме того, в каждом участнике ЕИКС Курской области должен быть организован контроль и регистрация обращений всех пользователей ЕИКС Курской области к информационным ресурсам, обслуживаемым данным участником ЕИКС Курской области. На уровне ЕИКС Курской области должна быть реализована система центрального учета и протоколирования для получения полной информации о действиях пользователей ЕИКС Курской области и использовании ресурсов ЕИКС Курской области. При этом системы протоколирования и учета должны позволять при регистрации событий сохранять следующую информацию.

1. дата и время события;

2. идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;

3. действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

Также системы учета и протоколирования должны предоставлять следующие возможности:

1 ведение и анализ журналов регистрации событий;

2. оперативное ознакомление службами безопасности информации ЕИКС Курской области и Участника ЕИКС Курской области с содержимым журнала регистрации. При этом для службы безопасности информации участника ЕИКС Курской области должна быть предусмотрена возможность просмотра только журнала его участка ЕИКС Курской области;

3. получение твердой копии (печати) журнала;

4. упорядочение журналов по дням и месяцам, а также установление ограничений на срок их хранения.

9. Единый электронный документооборот. Почтовые системы. Использование юридически значимого документооборота в ЕИКС Курской области

Настоящий раздел регламентирует общие правила использования почтовых систем и электронной цифровой подписи для обеспечения единого электронного документооборота между участниками информационного взаимодействия.

I. Участники информационного взаимодействия в рамках действующего законодательства признают юридическую значимость документов, подписанных электронной цифровой подписью (ЭЦП) наряду с бумажными документами при наличии всех обязательных реквизитов.

II. Правила выдачи, приостановления действия и аннулирования сертификата ключа подписи устанавливаются действующим законодательством Российской Федерации. ЭЦП используется участниками ЕИКС Курской области, которым выданы сертификаты ключа подписи удостоверяющим центром органов государственной власти Курской области (далее - УЦ ОГВ). Наряду с подписями УЦ ОГВ могут использоваться ЭЦП, выданные другими удостоверяющими центрами, созданными в рамках действующего законодательства, и имеющими кросс-сертификацию с УЦ ОГВ.

III. Участники информационного взаимодействия для приема и отправки корреспонденции в электронной форме используют общепринятые почтовые системы, позволяющие применять технологии ЭЦП. используемые в удостоверяющем центре. Для обеспечения указанной задачи Администрация Курской области устанавливает стандарт рабочего места для электронного документооборота с использованием ЭЦП, утверждает и публикует его на официальном сайте Администрации Курской области. При изменении стандарта рабочего места уполномоченный орган исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации и обеспечения защиты информации) в месячный срок уведомляет всех участников информационного взаимодействия.

IV. Для обеспечения поэтапного перехода на электронный документооборот участникам ЕИКС Курской области рекомендуется придерживаться следующих правил преобразования электронной и бумажной формы документов:

1. При поступлении документа в электронной форме лицу, ответственному за получение и отправку электронной почты, необходимо выполнить следующие действия:

1.1. Произвести проверку юридической значимости принимаемого документа, т.е. наличие сертификата ключа подписи:

- подключить магнитный носитель (дискета или e-Token), содержащий закрытый ключ ЭЦП, при этом произойдет идентификация отправителя данного сообщения;

- проверить срок действия сертификата ключа подписи (в почтовой программе Outlook Express это достигается выполнением следующего ряда действий: клик правой клавишей "мыши" на значке, изображающем печать ЭЦП > Просмотр сертификатов > Сертификат подписи > Общие);

- в случае если сообщение зашифровано (соответствующий значок в правом верхнем углу), произвести расшифровку документа, нажав на значке "расшифровать".

1.2.  Сохранить электронное сообщение с ЭЦП в соответствующем электронном хранилище.

1.3. Отослать отправителю сообщения информацию о получении документа.

1.4. Распечатать основной документ.

1.5. Проставить на бумажной форме документ штамп и внести данные о дате и времени отправки сообщения, дате и времени получения документа в электронной форме и подтвердить данную информацию своей подписью.

1.6. Передать документ в подразделение, ответственное за прием и регистрацию документов, в бумажной форме для дальнейшей работы.

2. При отправке юридически значимого документа в электронной форме лицу, ответственному за получение и отправку электронной почты, отправителем должны быть предоставлены электронная и бумажная форма данного документа. При отправке электронной корреспонденции оператор должен выполнить следующие действия:

2.1. подключить магнитный носитель (дискета или e-Token), содержащий закрытый ключ ЭЦП;

2.2. создать сообщение с указанием получателя, вложив файл в электронной форме и определив тему пересылаемого сообщения;

2.3. при необходимости зашифровать документ в электронной форме (нажав соответствующий значок в правом верхнем углу экрана);

2.4. подписать ЭЦП (нажав соответствующий значок в правом верхнем углу экрана);

2.5. проставить на бумажной форме документа штамп и внести данные о дате и времени отправки сообщения, электронном адресе респондента, а также времени приема подтверждения от него получения сообщения. Подтвердить данную информацию своей подписью;

2.6. передать документ в подразделение, ответственное за отправку и регистрацию документов, в бумажной форме для дальнейшей работы.

Каждый участник ЕИКС Курской области может дополнить правила, указанные в настоящем разделе, в соответствии с инструкцией по делопроизводству, применяемой в каждом конкретном участке ЕИКС Курской области.

При использовании внутри участника информационного взаимодействия системы электронного документооборота документы могут в ручном или автоматическом режиме экспортироваться или импортироваться для внешнего информационного обмена.

10. Требования по подключению ЕИКС Курской области к информационным средам, не входящим в состав ЕИКС Курской области, в том числе к сетям общего доступа

Подключение ЕИКС Курской области или участков ЕИКС Курской области к информационным средам, не входящим в состав ЕИКС Курской области, в том числе к сетям общего доступа (далее - внешним сетям) осуществляется по решению администрации ЕИКС Курской области на основании заявки, которая содержит следующие обоснования необходимости подключения ЕИКС Курской области к внешним сетям:

- наименование внешней сети, к которой осуществляется подключение, и реквизиты организации-владельца сети и провайдера сети;

- состав технических средств участка ЕИКС Курской области;

- предполагаемые виды работ и используемые прикладные сервисы сети (Е-Mail, FTP, Telnet, HTTP и т.п.) ЕИКС (или ее участка) в целом и для каждого абонента в частности;

- режим подключения сети (постоянный, в т.ч. круглосуточный, временный);

- состав общего и телекоммуникационного программного обеспечения участника ЕИКС Курской области (ОС, клиентские прикладные программы для сети и т.п.);

- число и перечень предполагаемых абонентов (диапазон используемых IP-адресов);

- меры и средства защиты информации от НСД, которые будут применяться на участке ЕИКС Курской области, организация-изготовитель, сведения о сертификации, установщик, конфигурация, правила работы с ними;

- тематика (перечень) сведений, обрабатываемых (хранимых) на рабочих станциях и серверах участка ЕИКС Курской области, подлежащих передаче и получаемых из внешней сети, с указанием уровня конфиденциальности (служебная, коммерческая тайна и т.п.).

Заявка о подключении к участку ЕИКС Курской области направляется на имя руководителя уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации)

Подключение участка ЕИКС Курской области к внешней сети должно осуществляться через средства разграничения доступа в виде межсетевых экранов Не допускается подключение к внешней сети в обход межсетевого экрана. Межсетевые экраны должны быть сертифицированы по требованиям безопасности информации.

Доступ к межсетевому экрану, к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления должны быть исключены из конфигурации.

Межсетевой экран должен обеспечивать создание сеансов связи абонентов с внешними серверами сети и получать с этих серверов только ответы на запросы пользователей ЕИКС Курской области. Настройка межсетевого экрана должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться к пользователям ЕИКС Курской области.

При использовании почтового сервера и Web-сервера участка ЕИКС Курской области последние не должны входить в состав локальной вычислительной сети организации и должны подключаться к внешней сети но отдельному сетевому фрагменту (через маршрутизатор).

На технических средствах участка ЕИКС Курской области должно находиться программное обеспечение только в той конфигурации, которая необходима для выполнения работ, заявленных в обосновании необходимости подключения участка ЕИКС Курской области к внешней сети (обоснование может корректироваться в установленном порядке).

В программном обеспечении должны быть физически удалены не нужные для работы и не включенные в обоснование прикладные сервисы (протоколы) и не требующиеся привязки протоколов к портам.

Установку программного обеспечения, обеспечивающего функционирование участка ЕИКС Курской области, должны выполнять уполномоченные специалисты под контролем администратора участка ЕИКС Курской области. Пользователи участка ЕИКС Курской области не имеют права производить самостоятельную установку указанного программного обеспечения, однако могут обращаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия вирусов, замаскированных возможностей выполнения непредусмотренных действий. Ответственность за использование не прошедшего экспертизу и не рекомендованного к использованию программного обеспечения возлагается на пользователя участка ЕИКС Курской области При обнаружении фактов такого рода администратор участка ЕИКС Курской области обязан логически (а при необходимости - физически вместе с включающей подсетью) отключить рабочее место пользователя от внешней сети и локальной вычислительной сети и поставить об этом в известность руководителя участника ЕИКС Курской области.

Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АС и отвечать требованиям РД ФСТЭК России "Средства вычислительной техники, Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"

СЗИ НСД, устанавливаемые на рабочие станции и серверы внутренней локальной вычислительной сети при обработке на них информации с ограниченным доступом, должна осуществлять:

- идентификацию и аутентификацию пользователей при доступе к рабочим станциям и серверам внутренней локальной вычислительной сети (ЛВС) по идентификатору и паролю;

- контроль доступа к ресурсам рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа;

- регистрацию доступа к ресурсам рабочих станций и серверов внутренней ЛВС, включая попытки НСД;

- регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов) и другие функции в соответствии с выбранным классом защиты.

Модификация конфигурации программного обеспечения участка ЕИКС Курской области должна быть доступна только со стороны администратора участка ЕИКС Курской области, ответственного за эксплуатацию участка ЕИКС Курской области.

Средства регистрации и регистрируемые данные должны быть недоступны для пользователя

СЗИ НСД должны быть целостны, т.е. защищены от несанкционированной модификации и не содержащей путей обхода механизмов контроля.

Технические средства участка ЕИКС Курской области должны быть размещены в рабочих помещениях пользователей, с принятием организационных и технических мер, исключающих несанкционированную работу во внешней сети.

При подключении участка ЕИКС Курской области у внешней сети рекомендуется:

- размещать межсетевые экраны для связи с внешней сетью, Web-серверы, почтовые серверы в отдельном контролируемом помещении, доступ в которое имел бы ограниченный круг лиц (ответственные специалисты, администраторы). Периодически проверять работоспособность межсетевого экрана с помощью сканеров, имитирующих внешние атаки на внутреннюю ЛВС. Не рекомендуется устанавливать на межсетевой экран какие-либо другие прикладные сервисы (СУБД, E-mail, прикладные серверы и т.п.);

- при предоставлении пользователям прикладных сервисов исходить из принципа, минимальной, достаточности;,

- при подключении участка ЕИКС Курской области к внешним сетям следует использовать операционные системы со встроенными функциями защиты информации от НСД, или использовать сертифицированные СЗИ НСД;

- эффективно использовать имеющиеся в маршрутизаторах средства разграничения доступа (фильтрацию), включающие контроль по списку доступа, аутентификацию пользователей, взаимную аутентификацию маршрутизаторов;

- в целях контроля за правомерностью использования подключения к внешней сети и выявления нарушений требований по защите информации осуществлять систематический анализ принимаемой из внешней сети и передаваемой во внешнюю сеть информации, в том числе на наличие вирусов;

- проводить постоянный контроль информации, помещаемой на Web-серверы. Для этого следует назначить ответственного (ответственных) за ведение информации на Web-сервере. Предусмотреть порядок размещения на Web-сервере информации, разрешенной к открытому опубликованию.

Приказом уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации назначаются лица, допущенные к работам во внешней сети с соответствующими полномочиями, лица, ответственные за эксплуатацию указанного участка ЕИКС Курской области и контроль над выполнением мероприятий по обеспечению безопасности информации при работе пользователей во внешней сети.

Вопросы обеспечения безопасности информации на участке ЕИКС Курской области должны быть отражены в инструкции, определяющей:

- порядок подключения и регистрации абонентов во внешней сети;

- порядок установки и конфигурирования на участке ЕИКС Курской области общесистемного (ОС), прикладного, коммуникационного программного обеспечения (серверов, маршрутизаторов, шлюзов, мостов, межсетевых экранов, браузеров), их новых версий;

- порядок применения средств защиты информации от НСД на участке ЕИКС Курской области при взаимодействии абонентов с внешней сетью;

- порядок работы абонентов во внешней сети, в том числе, с электронной почтой (E-mail), порядок выбора и доступа к внутренним и внешним серверам сети (Web-серверам);

- обязанности и ответственность абонентов и администратора внутренней ЛВС по обеспечению безопасности информации при взаимодействии с внешней сетью;

- порядок контроля за выполнением мероприятий по обеспечению безопасности информации и работой абонентов во внешней сети.

Органы исполнительной власти Курской области в соответствии с постановлением Губернатора Курской области от 10.12.2004 г. N 566 "Об утверждении Инструкции по защите конфиденциальной информации на объектах информатизации органов исполнительной власти Курской области" обязаны организовывать подключение к сети Интернет только через нейтрализованный и защищенный канал уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации) и обеспечения защиты информации Работа в сети Интернет осуществляется в соответствии с требованиями инструкции по работе в сети Интернет. Текст типовой инструкции по работе в сети Интернет представлен в приложении N 3 к настоящему Регламенту.

При работе во внешней сети категорически запрещается.

- подключать технические средства (серверы, рабочие станции), имеющие выход во внешнюю сеть, к другим техническим средствам (сетям), не определенным в обосновании подключения к внешней сети;

- изменять состав и конфигурацию программных и технических средств участка ЕИКС Курской области без санкции администратора участка ЕИКС Курской области.

Контроль за выполнением мероприятий по обеспечению безопасности информации на участке ЕИКС Курской области возлагается на службу безопасности информации администраторов участка ЕИКС Курской области, руководителей соответствующих подразделений, определенных приказом уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территория Курской области (региональной информатизации) и обеспечения защиты информации.

11. Требования при предоставлении доступа к сегментам ЕИКС Курской области сторонним организациям

Предоставление доступа к сегментам ЕИКС Курской области сторонним организациям, не являющимся участниками ЕИКС Курской области, осуществляется при выполнении следующих условий:

- для передачи информации по каналам связи должны использоваться защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые при этом средства защиты информации должны быть сертифицированы;

- подключение информационных систем сторонних организаций к ЕИКС Курской области должно осуществляться с использованием межсетевого экрана (МЭ), требования к которому определяются РД ФСТЭК России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Доступ к межсетевому экрану, к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления должны быть исключены из конфигурации. С помощью межсетевого экрана должно обеспечиваться создание сеансов связи абонентов ЕИКС Курской области с серверами других участков ЕИКС Курской области и получение с этих серверов только ответов на запросы абонентов. Настройка межсетевого экрана должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на абонентский пункт пользователя ЕИКС Курской области;

- наличие в данной организации службы безопасности информации.

Организация, подключаемая к сегменту ЕИКС Курской области, должна иметь письменное разрешение на подключение руководителя уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональная информатизация) и обеспечения защиты информации. В данном разрешении должны быть указаны условия подключения и перечень информационных ресурсов ЕИКС Курской области, к которым разрешен доступ сотрудникам организации. При этом должен быть подписан договор с оператором ЕИКС Курской области и соглашение о подключении к участку ЕИКС Курской области.

На этапе эксплуатации сотрудниками организации должны строго соблюдаться все требования и инструкции по работе в ЕИКС Курской области и требования по обеспечению защиты информации.

12. Контроль за обеспечением безопасности информационных ресурсов ЕИКС Курской области

Контроль за обеспечением безопасности информационных ресурсов БИКС Курской области осуществляется с целью своевременною выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней. преднамеренных программно-технических воздействий на информацию и оценки эффективности ее защиты

Контроль заключается в проверке выполнения участниками ЕИКС Курской области законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК РФ, а также в оценке обоснованности и эффективности принятых мер защиты информации.

При этом оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям по защите информации.

Контроль за обеспечением информационной безопасности ЕИКС Курской области осуществляют.

- подразделение, ответственное за обеспечение информационной безопасности ЕИКС Курской области,

- подразделения участников ЕИКС Курской области, ответственные за обеспечение информационной безопасности соответствующих участков ЕИКС Курской области,

- ФСТЭК РФ в пределах своей компетенции

Контроль за обеспечением информационной безопасности в ЕИКС Курской области проводится подразделением в пределах своих полномочий не реже одного раза в год. Участники ЕИКС Курской области осуществляют контроль обеспечения информационной безопасности соответствующих участков ЕИКС Курской области не реже одного раза в полгода

Обеспечение информационной безопасности в ЕИКС Курской области считается эффективным, если принимаемые меры соответствуют установленным требованиям или нормам по защите информации Несоответствие мер установленным требованиям или нормам по защите информации является нарушением

Нарушения по степени важности делятся на три категории.

- первая - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки,

- вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке;

- третья - невыполнение иных требований по защите информации

13. Проведение работ по контролю защищенности ЕИКС Курской области. Порядок реагирования и взаимодействия служб безопасности информации. Установка и обслуживание средств технического контроля защищенности ЕИКС Курской области

Права служб безопасности информации ЕИКС Курской области.

Служба безопасности информации участника ЕИКС Курской области имеет право:

- отключать от сети пользователей Участников ЕИКС Курской области, осуществивших попытку несанкционированного доступа к защищаемым ресурсам ЕИКС Курской области или нарушивших установленные требования по информационной безопасности;

- участвовать в проверках выполнения требований по информационной безопасности Участников ЕИКС Курской области;

- запрещать устанавливать на серверах и рабочих станциях участка ЕИКС Курской области нештатное программное и аппаратное обеспечение.

Служба безопасности информации Администрации ЕИКС Курской области имеет право:

- отключать от сети пользователей Участников ЕИКС Курской области, осуществивших попытки НСД к защищаемым ресурсам локальной сети или нарушивших другие требования по информационной безопасности;

- отключать от локальной сети Участников ЕИКС Курской области в случае неоднократного нарушения пользователями данных Участников требований безопасности, либо осуществления попыток НСД к защищаемым информационным ресурсам;

- участвовать в проверках выполнения требований по информационной безопасности Участников ЕИКС Курской области.

Служба безопасности информации Участника ЕИКС обязана:

- знать в совершенстве применяемые информационные технологии;

- знать классификацию нарушений (противоправных деяний) в отношении ЕИКС Курской области и ее подсистем;

- участвовать в контрольных и тестовых испытаниях и проверках участка ЕИКС Курской области;

- знать ответственных лиц в каждом структурном подразделении Участника ЕИКС Курской области и их права доступа по обработке, хранению и передаче защищаемой информации;

- вести контроль за процессом резервирования и дублирования значимых ресурсов участка ЕИКС Курской области;

- участвовать в приемке новых программных средств;

- вносить предложения по совершенствованию уровня защиты участка ЕИКС Курской области;

- оценивать возможность и последствия внесения изменений в состав участка ЕИКС Курской области с учетом требований нормативных документов по защите информации, подготавливать свои предложения;

- запрещать и немедленно блокировать попытки изменения программно-аппаратной среды участка ЕИКС Курской области без согласования порядка ввода новых (отремонтированных) технических и программных средств и средств защиты участка ЕИКС Курской области;

- запрещать и немедленно блокировать применение пользователями сети программ, с помощью которых возможны факты НСД к ресурсам ЕИКС Курской области;

- анализировать состояние защиты участка ЕИКС Курской области и ее отдельных подсистем;

- контролировать физическую сохранность средств и оборудования участка ЕИКС Курской области;

- контролировать состояние средств и систем защиты участка ЕИКС Курской области и их параметры и настройки;

- контролировать правильность применения пользователями средств защиты на участке ЕИКС Курской области,

- оказывать помощь пользователям в части применения средств защиты от НСД и других средств защиты;

- не допускать установку, использование, хранение и размножение на участке ЕИКС Курской области программных средств, не связанных с выполнением функциональных задач;

- своевременно анализировать журнал учета событий, регистрируемых средствами защиты участка ЕИКС Курской области, с целью выявления возможных нарушений;

- осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты участка ЕИКС Курской области;

- периодически предоставлять руководству Участников ЕИКС Курской области отчет о состоянии защиты ЕИКС Курской области и о нештатных ситуациях на объектах ЕИКС Курской области и допущенных пользователями нарушениях установленных требований по защите информации, а также периодически передавать сводные отчеты оператору ЕИКС Курской области.

Служба безопасности информации Администрации ЕИКС Курской области обязана:

- участвовать в контрольных и тестовых испытаниях и проверках ЕИКС Курской области;

- знать ответственных лиц в каждом Участнике ЕИКС Курской области и их права доступа по обработке, хранению и передаче защищаемой информации;

- вести контроль за процессом резервирования и дублирования значимых ресурсов ЕИКС Курской области,

- уточнять в установленном порядке обязанности пользователей по поддержанию уровня защиты ЕИКС Курской области:

- вносить предложения по совершенствованию уровня защиты ЕИКС Курской области;

- оценивать возможность и последствия внесения изменений в состав ЕИКС Курской области с учетом требований нормативных документов по защите информации, с подготовкой соответствующих предложений;

- запрещать и немедленно блокировать применение пользователям сети программ, с помощью которых возможны факты НСД к ресурсам ЕИКС Курской области;

- анализировать состояние защиты ЕИКС Курской области и ее отдельных подсистем;

- контролировать состояние средств и систем защиты ЕИКС Курской области, их параметры и настройки;

- периодически контролировать правильность применения пользователями Участников ЕИКС Курской области средств защиты информации;

- своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений;

- осуществлять периодические контрольные проверки участков и тестирование правильности функционирования средств защиты участков ЕИКС Курской области

Ответственность за защиту ЕИКС Курской области от несанкционированного доступа к информации.

- ответственность за защиту участков ЕИКС Курской области, входящих в сферу ответственности Участников ЕИКС Курской области, от несанкционированного доступа к информации возлагается на службу безопасности информации Участника ЕИКС Курской области;

- ответственность за защиту участков ЕИКС Курской области, входящих в сферу ответственности Администрации ЕИКС Курской области. oт несанкционированного доступа к информации возлагается на службу безопасности информации Администрации ЕИКС Курской области,

- сотрудники служб безопасности информации ЕИКС Курской области несут персональную ответственность за качество проводимых ими работ по контролю действий пользователей при работе ЕИКС Курской области, состояние и поддержание установленного уровня защиты как отдельных участков ЕИКС Курской области, так и всей сети в целом

14. Порядок согласования и внесения изменений в Регламент

Дополнения и изменения в настоящий Регламент (далее - изменения) вносятся по согласованию с участниками ВИКС Курской области и утверждаются Губернатором Курской области.

Изменения разрабатываются администрацией ЕИКС Курской области и (или) участниками информационного взаимодействия.

1. При подготовке изменений участником информационного взаимодействия соответствующее предложение направляется в адрес администрации ЕИКС Курской области для рассмотрения.

2. Администрация ЕИКС Курской области направляет сопроводительным письмом участникам информационного взаимодействия информацию о предлагаемом изменении. Участник информационного взаимодействия в сроки, указанные в сопроводительном письме, представляет заключение о предлагаемом изменении в администрацию ЕИКС Курской области. В случае предоставления отрицательного заключения участником информационною обмена данное заключение должно содержать четкое и мотивированное обоснование отказа.

3. Администрация ЕИКС Курской области проводит анализ поступивших заключений участников информационного взаимодействия. На основании результатов проведенного анализа дается заключение о принятии предложения о внесении изменений в настоящий Регламент. Предложение о внесении изменений снимется принятым при наличии более 50 % положительных заключений из числа поступивших.

4. В случае положительного заключения по предложению о внесении изменений администрацией ЕИКС Курской области подготавливается проект правового акта, который представляется Губернатору Курской области.

5. В случае отрицательного заключения по предложению о внесении изменений администрация ЕИКС Курской области в двухнедельный срок информирует об этом участника информационного взаимодействия, представившего изменения.

6 Сроки предоставления в администрацию ЕИКС Курской области заключений на предложения о внесении изменений:

без ограничительной пометки - в течение одного месяца со дня получения предложения об изменении;

срочно - в течение двух недель со дня получения предложения об изменении;

весьма срочно - в течение одной недели со дня получения предложения об изменении.

Приложение N 1

к Регламенту использования

Единой информационной

коммуникационной среды Курской

области

                      Проект типового соглашения

           об обеспечении доступа к ЕИКС Курской области

                                СОГЛАШЕНИЕ

      Администрация Курской области в лице ____________________________,

именуемая  в дальнейшем  "Администрация  ЕИКС  Курской  области  с одной

стороны и ____________________________ в лице _________________________,

именуемая  в  дальнейшим  "Участник  ЕИКС  Курской  области",  с  другой

стороны, вместе именуемые "Стороны", заключили  настоящее  Соглашение  о

нижеследующем:

                          1. Предмет соглашения

      1 1. В силу   настоящего  Соглашения  Администрация  ЕИКС  Курской

области обеспечивает   доступ   Участника   ЕИКС   Курской   области   к

информационным ресурсам ЕИКС Курской области и оказывает Участнику  ЕИКС

Курской области определенные в пункте 1.2 настоящего соглашения  услуги,

а Участник ЕИKC Курской  области  принимает  на  себя  обязательства  по

соблюдению положений и требований Регламента.

      1.2. Перечень предоставляемых Администрацией ЕИКС Курской  области

услуг:

п/п	Наименование услуг	Ед. изм., шт.	Кол-во
1
2.
3.
4.
5.
6.
7.
8.
9.

      1 3 Отмеченные Участником ЕИКС Курской области услуги  оказываются

Администрацией ЕИКС  Курской   области  в  соответствии   с   условиями,

определенными в соответствующих статьях настоящего Соглашения.

      1.4. Проведение работ, перечисленных   в   пункте 1.2   настоящего

соглашения, производится при наличии технической возможности  проведения

данных работ и в соответствии с  требованиями  Регламента  использования

Единой информационной коммуникационной среды.

      1.5. Подключение к локальной сети Курской области и предоставление

доступа к информационным ресурсам ЕИКС Курской  области  производится  в

течение ___ рабочих дней с момента подписания данного Соглашения.

      1.6. Перечень информационных ресурсов, к  которым  предоставляется

доступ Участнику ЕИКС Курской области,  определяется  в  соответствии  с

заявкой, одобренной Администрацией ЕИКС Курской области.

      1.7. Доступ Участника ЕИКС Курской области к ЕИКС Курской  области

осуществляется Администрацией ЕИКС  Курской  области  в  соответствии  с

Регламентом ЕИКС Курской области.

                      2. Права и обязанности сторон

      2.1. Администрация ЕИКС Курской области вправе:

      2.1.1. Проводить регламентные работы   с   приостановкой   доступа

Участника ЕИКС Курской области к ресурсам ЕИКС Курской области на период

проведения работ. При этом Администрация ЕИКС Курской   области   должна

известить Участника ЕИКС Курской области о проведении  данных  работ  не

менее чем за 24 часа до начала проведения регламентных работ.

      2.1.2. Приостановить доступ Участника к  ресурсам   ЕИКС   Курской

области в случае нарушения им утвержденных документов,  регламентирующих

работу ЕИКС Курской области, а также  нарушения  положений  действующего

законодательства на территории Российской Федерации.

      2.1.3. В случае необходимости изменять   условия   подключения   к

ресурсам ЕИКС Курской   области,   предварительно   уведомив   об   этом

Участников ЕИКС Курской области.

      2.2. Администрация ЕИКС Курской области обязана:

      2.2.1. Обеспечить подключение Участника  ЕИКС  Курской  области  к

ЕИКС Курской области и доступ к  информационным  ресурсам  ЕИКС  Курской

области в соответствии  с  одобренной  заявкой  Участника  ЕИКС  Курской

области.

      2.2.2. Предоставлять Участникам ЕИКС Курской  области  необходимые

идентификационные данные.

      2.2.3 В соответствии со  своими  полномочиями  принимать  меры  по

защите информации при работе в  ЕИКС  Курской  области   и   доступе   к

информационным ресурсам ЕИКС Курской области.

      2.2.4 Незамедлительно  информировать   Участников   ЕИКС   Курской

области и требовать принятия ими  мер   в   случае   обнаружения   угроз

информационной безопасности при работе  пользователей  в  ЕИКС   Курской

области.

      2.2.5. Своевременно информировать участников ЕИКС Курской  области

обо всех изменениях, вносимых в структуру ЕИКС Курской области, а  также

документов регламентирующих работу ЕИКС Курской области.

      2.3. Участник ЕИКС Курской области вправе:

      2.3.1. Получать доступ к информационным  ресурсам   ЕИКС   Курской

области в соответствии с документами,  регламентирующими   работу   ЕИКС

Курской области, и в объеме, указанном  в  заявке   Администрации   ЕИКС

Курской области.

      2.3.2. В   одностороннем   порядке   отказаться   от   доступа   к

информационным ресурсам ЕИКС Курской  области   после   соответствующего

письменного уведомления Администрации ЕИКС Курской области.

      2.4. Участник ЕИКС Курской области обязан:

      2.4.1. Строго соблюдать положения   документов,   регламентирующих

работу ЕИКС Курской области.

      2.4.2. Обеспечить сохранность и невозможность   передачи   третьим

лицам идентификационных параметров, используемых в процессе   работы   в

ЕИКС Курской области или доступа к информационным ресурсам ЕИКС  Курской

области.

      2.4.3. Принимать необходимые меры по защите информации при  работе

в ЕИКС Курской области или доступе к    информационным   ресурсам   ЕИКС

Курской области в соответствии со своими полномочиями.

      2.4.4. Довести до всех пользователей и обеспечить выполнение   ими

всех инструкций и правил работы в ЕИКС Курской области,  предоставляемых

Организатором.

      2.4.5. Незамедлительно  устранять  причины  (как  выявленные самим

Участником  ЕИКС  Курской  области,  так  и   указанные   Организатором)

нарушений информационной безопасности при работе в ЕИКС Курской  области

либо  неправомерного использования  информационных ресурсов ЕИКС Курской

области третьими лицами.

                      3. Ответственность сторон

      Стороны несут ответственность за  неисполнение   обязанностей   по

настоящему Соглашению в  соответствии  с  законодательством   Российской

Федерации.

                        4. Разрешение споров

      Стороны принимают необходимые меры к тому,  чтобы  любые   спорные

вопросы и разногласия, которые могут возникнуть из настоящего Соглашения

или в связи с ним, были урегулированы путем переговоров.

          5. Обстоятельства и действия непреодолимой силы

      5.1. Стороны освобождаются от ответственности за   частичное   или

полное неисполнение обязательств,  если  такое   неисполнение   является

следствием непреодолимой силы и их последствий: землетрясение,   ураган,

смерч, другие признанные официально стихийные бедствия, а также  военные

действия,   массовые  заболевания,  забастовки,  ограничения  перевозок,

изменение существующего законодательства.

      5.2. В случае действия обстоятельств   непреодолимой   силы   срок

выполнения настоящего Соглашения   сторонами   отодвигается   соразмерно

времени, в течение которого действуют обстоятельства непреодолимой  силы

и их последствия.

      6. Срок действия Соглашений, условия его расторжения

      6.1. Соглашение вступает  в  силу  с  момента  его  подписания   и

действует до ____________.

      6.2. Настоящее Соглашение может быть расторгнуто   по   соглашению

Сторон.

                    7. Дополнительные условия

      7.1. Все изменения и дополнения оформляются в письменном  виде   и

подписываются уполномоченными представителями Сторон.

      7 2. По всем вопросам, не урегулированным настоящим   Соглашением,

Стороны руководствуются действующим законодательством.

      7.3. Настоящее Соглашение составлено в двух экземплярах,   имеющих

одинаковую юридическую силу по одному для каждой из Сторон.

                   8. Адреса и подписи сторон

      Администрация ЕИКС Курской области: Участник ЕИКС Курской области:

Приложение N 2

к Регламенту использования

Единой информационной

коммуникационной среды Курской

области

Анкета, прилагаемая к заявке о присоединении к ЕИКС Курской области

Наличие администратора (службы) защиты информации в организации:

а) существует структура защиты информации

б) возложены дополнительные обязанности на специалиста(ов) организации

Наличие локальной сети (далее - ЛС) в организации

Количество ЛС в организации

Наличие в ЛС информации с ограниченным доступом

Наличие электронного документооборота

Использование юридически значимого документооборота

Ведение учета электронной почты

Количество автоматизированных рабочих мест (далее - АРМ) в организации (всего)

Количество АРМ, входящих в состав ЛС

Наличие подключения к сетям общего пользования типа Internet или иным сторонним сетям (указать тип и наименование сети):

а) отдельные, не входящие в состав ЛС, АРМ

б) ЛС организации

Наличие процедуры идентификации при осуществлении доступа:

а) к сети Интернет

б) к ЛС

в) к АРМ

г) к программам

Наличие технических средств обеспечения безопасности информации:

а) средства антивирусной защиты (указать сетевая и/или локальная версии антивируса)

б) средства защиты информации от несанкционированного доступа

в) сетевые экраны, анализаторы атак

г) другие (с указанием типа и наименования используемых средств)

Наличие технических механизмов обеспечения безопасности информации:

а) проведение специсследований и аттестационных испытаний АРМ и/или ЛС (с указанием количества аттестованных АРМ и ЛС)

б) шифрование информации

при информационном обмене (указать абонентов)

на локальных АРМ

в) VPN - каналы (указать абонентов)

г) сигнализация попыток нарушения защиты

д) периодическое тестирование АРМ, ЛС и средств защиты информации на предмет качества обеспечения безопасности информации (указать период тестирования)

д) системы резервного копирования

е) другие (с указанием типа и наименования используемых механизмов)

Использование защищенных каналов связи для передачи зашифрованной информации (с грифом "Для служебного пользования" и выше до момента шифрования)

Наличие физической охраны средств вычислительной техники и носителей информации

Используемые серверные операционные системы (указав наименование систем и предназначение серверов, на которых они установлены)

Наличие документов в сфере защиты информации, используемой в организации (указать дату принятия, номер и наименование документов)

Приложение N 3

к Регламенту использования

Единой информационной

коммуникационной среды Курской

области

Типовая инструкция по работе в международной информационной сети Интернет

1. Общие положения

1.1. Настоящая Инструкция устанавливает порядок использования средств вычислительной техники и связи для выхода в международную информационную сеть Интернет. Инструкция разработана с учетом требований Федерального закона "Об информации, информационных технологиях и о защите информации", а также действующих руководящих документов по организации работ в области защиты информации, обрабатываемой на объектах вычислительной техники и средств связи, в органах исполнительной власти Курской области.

1.2. Инструкция обязательна для выполнения в органах исполнительной власти Курской области.

2. Общие требования к порядку использования средств вычислительной техники и связи при работе в сети Интернет

2.1. К эксплуатации технических средств при работе в сети Интернет допускаются лица, в должностные обязанности которых входит работа со средствами вычислительной техники и связи (для компьютерной техники - прошедшие обучение на операторов ЭВМ). Для работы на конкретном объекте средств вычислительной техники и связи при работе в сети Интернет допускаются лица, внесенные в список пользователей, допущенных к работе на объектах вычислительной техники и средств связи, который утверждается руководителем уполномоченного органа исполнительной власти Курской области в сфере развития и использования информационных технологий на территории Курской области (региональной информатизации и обеспечения защиты информации) (далее - уполномоченный орган).

В списке указываются фамилия, имя, отчество пользователей и их должности.

2.2. Технические средства должны эксплуатироваться с соблюдением требований, указанных в руководстве пользователю производителя технического средства.

2.3 Исходящая корреспонденция, отправляемая открытыми каналами электронной почты (E-mail сети Интернет), подлежит строгому учету.

2.4. Запрещается работа со служебной информацией на рабочем месте без проведения работ по защите информации. Для недопущения несанкционированного доступа к системе Интернет лиц, не включенных в список, должен быть установлен пароль на загрузку операционной системы и на вход в BOIS. Указанный пароль, а также пароли, используемые для доступа к информационным и вычислительным сетям, должны держаться в тайне. Ответственность за работу с внешними носителями информации (дискетами, zip и т.п.) возлагается на оператора ЭВМ.

3. Работа в вычислительных сетях

3.1. Установка протоколов, имена компьютеров определяются системным администратором. Самостоятельная смена настроек и протоколов запрещена.

3.2. Компьютеры, которые обрабатывают информацию конфиденциального характера, не могут быть подсоединены к вычислительным и информационным сетям общего пользования без предварительного проведения работ по защите информации от несанкционированного доступа, в соответствии с действующим законодательством по вопросам защиты информации.

4. Доступ к ресурсам сети Интернет

4.1. Для выполнения задач, связанных с исполнением служебных обязанностей, пользователю предоставляется доступ к ресурсам сети Интернет. Доступ к ресурсам сети Интернет в других целях запрещен.

4.2. Доступ предоставляется пользователю на основании заявки от руководителя подразделения в адрес уполномоченного органа

4.3. Доступ к ресурсам сети Интернет блокируется системным администратором уполномоченного органа без предварительного уведомления.

4.4. При возникновении нештатных ситуаций уполномоченный opган оставляет за собой право ограничивать доступ к ресурсам сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей, а так же к ресурсам, содержание и направленность которых запрещены международным и российским законодательством.

5. Правила работы с ресурсами сети Интернет

5.1. При работе с ресурсами сети Интернет недопустимо.

- Разглашение сведений конфиденциального характера, ставших известными пользователю по служебной необходимости либо иным путем.

- Распространение защищенных авторскими правами материалов, затрагивающих патент, торговую марку, коммерческую тайну, копирайт или иные права собственности и/или авторские и смежные нрава третьей стороны.

- Публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любою компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерация, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам сети Интернет, а также размещения ссылок на вышеуказанную информацию.

5.2. При работе с ресурсами сети Интернет запрещено:

- Загружать и запускать файлы без предварительной проверки на наличие вирусов установленным антивирусным пакетом.

- Использовать анонимные проксисерверы.

- Использовать программные и аппаратные средства, позволяющие получить доступ к ресурсу сети Интернет, запрещенному к использованию системным администратором департамента информационно-коммуникационных технологий и безопасности информации Курской области.

- Сохранять пароль на компьютере (процедура используется для доступа к защищенному паролем ресурсу сети Интернет, интрасети и т.д.), если компьютер используется несколькими пользователями.

- Покидать рабочее место при работе информационного трафика большого объема.

- Менять настройки браузера сети, поставленные системным администратором уполномоченного органа, за исключением случаев, когда пользователю для исполнения служебных обязанностей необходим доступ к информационному ресурсу. Ответственность за безопасность работы при изменении браузера сети возлагается на пользователя.

- Структурное подразделение Администрации Курской области несет финансовую ответственность за действия своих сотрудников.

6. Доступ к электронной почте

6.1. Для выполнения задач, связанных с исполнением служебных обязанностей, пользователю предоставляется доступ к системе электронной почты. Использование системы электронной почты в других целях запрещено.

6.2. Доступ к системе электронной почты предоставляется пользователю на основании заявки oт руководителя структурного подразделения Администрации Курской области в адрес уполномоченного органа.

6.3. Содержимое электронного почтового ящика пользователя может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя.

6.4. При возникновении нештатных ситуаций доступ к серверу электронной почты блокируется системным администратором уполномоченного органа без предварительного уведомления

7. Правила работы с электронной почтой Администрации Курской области

7.1. При работе с системой электронной почты Администрации Курской области запрещено:

- Использовать адрес почты Администрации Курской области для оформления подписок, без предварительного согласования с системным администратором уполномоченного органа.

- Открывать и сохранять исполняемые вложенные файлы (файлы, имеющие расширения exe, bat и т.п), полученные от неизвестных отправителей, а также вложенные файлы с незнакомыми расширениями.

- Публиковать свой адрес либо адреса других пользователей на общедоступных Интернет - ресурсах (форумы, конференции и т.п.).

- Отравлять сообщения с вложенными файлами, общий объем которых превышает 5 Мб, без предварительного согласования с системным администратором уполномоченного органа.

- Открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами.

- Осуществлять массовую рассылку почтовых сообщений (более 10) внешним адресатам без согласования с ними.

- Осуществлять рассылку почтовых сообщений рекламного характера без предварительного согласования с системным администратором уполномоченного органа.

- Осуществлять рассылку через электронную почту материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования, или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли, и прочие средства для получения несанкционированного доступа к платным ресурсам сети Интернет, а также ссылки на вышеуказанную информацию

- Распространять защищенные авторскими правами материалы, затрагивающие патент, торговую марку, коммерческую тайну, копирайт и иные права собственности и/или авторские и смежные права третьей стороны

- Распространять информацию, содержание и направленность которой запрещены международным и российским законодательством

- Распространять информацию ограниченного доступа

- Предоставлять пароль доступа к своему почтовому ящику.

8. Порядок установки и смены паролей

На компьютерах, используемых для обработки информации, устанавливаются пароли. Пароли устанавливаются самим пользователем или системным администратором уполномоченного органа. Индификаторы (имена) и пароли для доступа к ресурсам локальных и глобальных вычислительных сетей определяются пользователем, ответственным за эксплуатацию вычислительной техники.