Распоряжение Правительства Удмуртской Республики от 28.11.2023 N 1268-р "О Центре обработки данных Удмуртской Республики"

В соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и в целях размещения информационных систем Удмуртской Республики в единой информационно-телекоммуникационной инфраструктуре:

1. Создать Центр обработки данных Удмуртской Республики (далее - ЦОД УР).

2. Определить:

Министерство цифрового развития Удмуртской Республики оператором ЦОД УР;

автономное учреждение "Центр цифровых технологий Удмуртской Республики" администратором ЦОД УР.

3. Утвердить прилагаемое Положение о Центре обработки данных Удмуртской Республики.

4. Оператору ЦОД УР совместно с администратором ЦОД УР:

провести аттестацию ЦОД УР на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну;

ввести в эксплуатацию ЦОД УР в течение 15 дней с даты получения аттестата соответствия ЦОД УР требованиям о защите информации ограниченного доступа, не составляющей государственную тайну;

осуществлять организационные, технические меры защиты информации и требования по защите информации в ЦОД УР.

5. Администрации Главы и Правительства Удмуртской Республики и исполнительным органам Удмуртской Республики обеспечить размещение создаваемых государственных информационных систем Удмуртской Республики в ЦОД УР.

6. Предложить органам государственной власти Удмуртской Республики, не указанным в пункте 5 настоящего распоряжения, обеспечить размещение создаваемых государственных информационных систем Удмуртской Республики в ЦОД УР.

7. Установить, что реализация настоящего распоряжения осуществляется в пределах средств бюджета Удмуртской Республики, предусмотренных на реализацию государственной программы Удмуртской Республики "Развитие информационного общества в Удмуртской Республике", утвержденной постановлением Правительства Удмуртской Республики от 1 июля 2013 года N 268 "Об утверждении государственной программы Удмуртской Республики "Развитие информационного общества в Удмуртской Республике".

8. Признать утратившим силу распоряжение Правительства Удмуртской Республики от 17 декабря 2019 года N 1564-р "О государственной информационной системе Удмуртской Республики "Центр обработки данных Удмуртской Республики".

Председатель Правительства Удмуртской Республики

Я.В. Семенов

УТВЕРЖДЕНО
распоряжением Правительства
Удмуртской Республики
от 28 ноября 2023 г. N 1268-р

Положение
о Центре обработки данных Удмуртской Республики

I. Общие положения

1. Настоящее Положение определяет цель, порядок эксплуатации и функционирования Центра обработки данных Удмуртской Республики (далее - ЦОД), функции и права оператора ЦОД (далее - Оператор ЦОД), администратора ЦОД (далее - Администратор ЦОД), а также процедуру доступа к информационно-телекоммуникационной инфраструктуре ЦОД, размещенным в ЦОД информационным системам, их сегментам и объектам для выполнения работ и оказания услуг по созданию, развитию (модернизации), сопровождению и поддержанию уровня эксплуатационных характеристик (качества) информационных систем, размещенных в ЦОД.

2. В настоящем Положении используются следующие понятия:

1) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

2) инженерная инфраструктура ЦОД - комплекс систем и их оборудования, обеспечивающий бесперебойное функционирование информационных систем и информационно-телекоммуникационной инфраструктуры ЦОД. В состав инженерной инфраструктуры ЦОД входят системы электроснабжения, газового пожаротушения, поддержания климата, связи и управления, комплекс систем безопасности;

3) информационно-телекоммуникационная инфраструктура ЦОД (далее также - ИТ-инфраструктура ЦОД) - совокупность комплексов аппаратных, программных и телекоммуникационных средств информационных систем, включая установленное на них системное программное обеспечение, размещенных и обеспечивающих предоставление информационных, вычислительных и телекоммуникационных ресурсов;

4) оператор информационной системы - орган государственной власти Удмуртской Республики, орган местного самоуправления муниципального образования в Удмуртской Республике, подведомственные указанным органам учреждения, а также в случаях, установленных законодательством, гражданин или юридическое лицо, осуществляющие деятельность по созданию, развитию (модернизации), сопровождению и поддержанию уровня эксплуатационных характеристик (качества) информационных систем;

5) объект доступа - единица информационного ресурса информационной системы (файл, техническое средство, узел сети, линия (канал) связи, мобильное устройство, программа, том, каталог, запись, поле записей и иные объекты), доступ к которой регламентируется правилами разграничения доступа и по отношению к которой субъект доступа пользователь выполняет операции;

6) пользователь - лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной системе или который использует результаты ее функционирования;

7) прямой доступ - процесс получения доступа для привилегированных пользователей (администраторов) (через внутреннюю сеть в пределах контролируемой зоны) к ИТ-инфраструктуре ЦОД, информационным системам, сегментам информационной системы, объектам доступа информационных систем.

8) сегмент информационной системы - совокупность нескольких компонентов информационной системы, использующих общую (в том числе разделяемую) среду передачи и объединенных для единства решения функциональных задач;

9) субъект доступа - пользователь, процесс, выполняющий операции (действия) над объектами доступа и действия, которые регламентируются правилами разграничения доступа. Правила разграничения доступа регламентируются в организационно-распорядительных документах оператора ЦОД;

10) удаленный доступ - процесс получения доступа к ИТ-инфраструктуре ЦОД, информационным системам, сегментам информационной системы, объектам доступа информационной системы из другой информационной системы (сети) или со средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой он получает доступ (через внешнюю сеть);

11) управление доступом - ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа.

3. ЦОД является специализированным объектом, образующим связанную систему информационно-телекоммуникационной инфраструктуры и инженерной инфраструктуры, оборудование и части которых размещены в здании и помещениях в указанном здании, подключенных к внешним сетям (инженерным, телекоммуникационным).

4. Целью функционирования ЦОД является обеспечение своевременного и эффективного выполнения работ и оказания услуг по созданию, развитию (модернизации), сопровождению и поддержанию уровня эксплуатационных характеристик (качества) информационных систем, а также обеспечение хранения и обработки защищаемой информации.

5. Функционирование и эксплуатация ЦОД, информационных систем, размещенных на информационно-телекоммуникационной инфраструктуре ЦОД, осуществляется в соответствии с законодательством Российской Федерации, законодательством Удмуртской Республики, нормативно-методическими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации, национальными стандартами Российской Федерации, организационно-распорядительными документами оператора ЦОД, эксплуатационной и технической документацией ЦОД.

6. В ЦОД не допускается обработка сведений, составляющих государственную тайну.

7. Структура ЦОД:

1) инженерная инфраструктура ЦОД;

2) информационно-телекоммуникационная инфраструктура ЦОД;

3) помещение, предназначенное для размещения вычислительного оборудования ЦОД;

4) автоматизированные рабочие места ЦОД.

II. Функции и права Оператора ЦОД

8. Оператор ЦОД осуществляет следующие функции:

1) оказывает организационную и правовую поддержку в ходе создания, развития (модернизации) и эксплуатации ЦОД, в том числе разработки эксплуатационной документации;

2) определяет требования по развитию (модернизации) ЦОД, в том числе по размещению технических средств и средств обеспечения функционирования ЦОД;

3) осуществляет контроль за эксплуатацией ЦОД в соответствии с настоящим Положением и законодательством Российской Федерации;

4) осуществляет контроль за выполнением требований по защите информации в соответствии с эксплуатационной документацией ЦОД и законодательством Российской Федерации;

5) осуществляет организацию обучения работников Администратора ЦОД;

6) оповещает Администратора ЦОД о нарушениях эксплуатации ЦОД;

7) осуществляет контроль за предоставлением доступа, в том числе удаленного доступа, к ИТ-инфраструктуре ЦОД, информационным системам и их сегментам, объектам доступа для субъектов доступа;

8) выполняет требования по защите информации в соответствии с законодательством Российской Федерации.

9. Оператор ЦОД имеет право:

1) требовать от Администратора ЦОД соблюдения настоящего Положения;

2) проводить мониторинг и осуществлять контроль за исполнением настоящего Положения;

3) предпринимать меры по предотвращению и устранению выявленных нарушений настоящего Положения;

4) контролировать исполнение Администратором ЦОД своих функций в рамках настоящего Положения;

5) приостановить и (или) остановить работу информационно-телекоммуникационной инфраструктуры ЦОД и инженерной инфраструктуры ЦОД при возникновении аварийных (нештатных) ситуаций.

III. Функции и права Администратора ЦОД

10. Администратор ЦОД выполняет следующие функции:

1) обеспечивает эксплуатацию и функционирование ЦОД;

2) осуществляет мониторинг и контроль функционирования ЦОД;

3) проводит мониторинг и осуществляет контроль за субъектами доступа, которым предоставлен прямой и удаленный доступ к ИТ-инфраструктуре ЦОД, информационным системам, сегментам информационных систем, объектам доступа;

3) оповещает Оператора ЦОД о произошедших нарушениях в ходе эксплуатации и функционирования ЦОД;

4) осуществляет резервирование ИТ-инфраструктуры ЦОД, информационных систем и сегментов информационных систем, каналов передачи информации, объектов доступа;

5) обеспечивает и принимает в соответствии с законодательством Российской Федерации меры по защите информации в ИТ-инфраструктуре ЦОД, серверных сегментах информационных систем, размещенных в ИТ-инфраструктуре ЦОД;

6) оповещает Оператора ЦОД о нарушениях безопасности информации;

7) консультирует Оператора ЦОД по вопросам технической эксплуатации и функционирования ЦОД;

8) на основании решения Оператора ЦОД предоставляет субъектам доступа прямой и удаленный доступ к ИТ-инфраструктуре ЦОД, информационным системам, сегментам информационной системы, объектам доступа;

9) уведомляет Оператора ЦОД, операторов информационных систем, размещенных в ЦОД, о возникновении аварийных (нештатных) ситуаций.

11. Администратор ЦОД осуществляет свои функции самостоятельно либо с привлечением иных организаций в соответствии с законодательством Российской Федерации.

12. Администратор ЦОД имеет право:

1) вносить на рассмотрение оператора ЦОД предложения по эксплуатации и функционированию ЦОД;

2) вносить предложения по развитию (модернизации) ЦОД;

3) приостановить и (или) остановить работу ИТ-инфраструктуры ЦОД и инженерной инфраструктуры ЦОД при возникновении аварийных (нештатных) ситуаций;

4) осуществлять по решению Оператора ЦОД мероприятия по развитию (модернизации) и сопровождению ЦОД.

IV. Порядок предоставления доступа

13. Для подключения к ИТ-инфраструктуре ЦОД, информационным системам, сегментам информационной системы и объекту доступа используется прямой и удаленный доступ с применением средств защиты информации, средств криптографической защиты информации, а также средств антивирусной защиты, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии с законодательством Российской Федерации, эксплуатируемых в рамках Единой защищенной сети передачи данных государственных органов Удмуртской Республики.

14. Прямой доступ к ИТ-инфраструктуре ЦОД, информационным системам, сегментам информационной системы, объекту доступа предоставляется исключительно сотрудникам Администратора ЦОД в рамках исполнения ими своих должностных обязанностей.

Удаленный доступ к информационной системе, сегментам информационной системы, объектам доступа предоставляется субъектам доступа на основании официального запроса, направленного в адрес Оператора ЦОД в соответствии с требованиями настоящего Положения (далее - запрос).

15. Для предоставления удаленного доступа к информационной системе, сегменту информационной системы, объекту доступа, размещенным в ЦОД, оператор соответствующей информационной системы направляет запрос в адрес Оператора ЦОД с указанием:

1) наименования информационной системы и (или) сегмента информационной системы, объекта доступа;

2) фамилий, имён, отчеств (при наличии) и контактной информации субъектов доступа;

3) реквизитов документов (нормативных правовых актов, контрактов (договоров), на основании которых необходимо предоставить удаленный доступ субъектам доступа;

4) срока предоставления удаленного доступа (при необходимости);

5) количества автоматизированных рабочих мест, с которых субъекты доступа планируют осуществлять удаленный доступ;

6) информации об адресах и протоколах сетевого взаимодействия.

16. К запросу могут прилагаться копии указанных в нем документов, на основании которых необходимо предоставить удаленный доступ субъектам доступа.

17. В течение 30 календарных дней со дня поступления запроса Оператор ЦОД принимает решение о предоставлении удаленного доступа субъекту доступа или об отказе в его предоставлении.

В случае принятия решения о предоставлении удалённого доступа Оператор ЦОД не позднее 5 рабочих дней со дня принятия данного решения направляет информацию о принятом решении Администратору ЦОД. Администратор ЦОД в течение 5 рабочих дней со дня поступления указанной информации предоставляет удаленный доступ лицу (лицам), указанным в запросе субъекта доступа.

В случае принятия решения об отказе в предоставлении удаленного доступа Оператор ЦОД не позднее 5 рабочих дней со дня принятия данного решения уведомляет об этом субъекта доступа с указанием соответствующих причин.

18. Оператор ЦОД принимает решение об отказе в предоставлении удаленного доступа в следующих случаях:

1) запрос не содержит информации, предусмотренной пунктом 15 настоящего Положения;

2) запрос направлен лицом, не являющимся оператором информационной системы, к которой (либо ее сегментам, объектам доступа) запрашивается удаленный доступ;

3) запрос удаленного доступа к информационной системе (ее сегментам, объектам доступа) не связан с выполнением работ (оказанием услуг) по ее созданию (развитию, модернизации, сопровождению, поддержанию уровня эксплуатационных характеристик (качества);

4) предоставление удаленного доступа запрещено законодательством или организационно-распорядительной документацией на информационную систему, к которой (либо ее сегментам, объектам доступа) запрашивается удаленный доступ.

19. Прямой и (или) удаленный доступ осуществляется с помощью физического и (или) виртуального автоматизированного рабочего места.

20. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором информационной системы в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности".

21. Администратор ЦОД при предоставлении доступа руководствуется настоящим Положением, организационно-распорядительной документацией ЦОД, нормативными и техническим документами на информационные системы, размещенные в ЦОД.

V. Мероприятия по обеспечению бесперебойной работы ЦОД

22. ЦОД функционирует в круглосуточном ежедневном режиме.

23. Перед проведением работ, влияющих на функционирование и эксплуатацию ЦОД, Оператор ЦОД и (или) Администратор ЦОД публикует новость на Портале технической и методической поддержки Электронного Правительства Удмуртской Республики (https://tp.msur.ru/).

VI. Ответственность

24. Оператор ЦОД и Администратор ЦОД несут ответственность за бесперебойное функционирование ЦОД и защиту информации, обрабатываемой в ИТ-инфраструктуре ЦОД, в соответствии с законодательством Российской Федерации.