Приложение 4. Регламент эксплуатации средств обработки информации региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края. Приказ департамента информатизации и связи Краснодарского края от 02.12.2019 N 191 "Об утверждении регламентов региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края"

Приложение 4
к приказу департамента
информатизации и связи
Краснодарского края
от 02.12.2019 г. N 191

Регламент
эксплуатации средств обработки информации региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края

1. Термины и сокращения

Администратор РМС ОГВ	- Уполномоченный орган исполнительной власти Краснодарского края, осуществляющий распорядительные функции по формированию и использованию РМС ОГВ, обеспечивающий эксплуатацию системы;
ВМ	- Виртуальная машина (сервер);
Внешние пользователи РМС ОГВ	- Иные заинтересованные органы государственной власти, органы местного самоуправления, государственные и иные организации, использующие РМС ОГВ в пределах своей компетенции;
Внутренние пользователи РМС ОГВ	- Исполнительные органы государственной власти Краснодарского края, структурные подразделения администрации Краснодарского края, государственные учреждения, функции и полномочия учредителей которых осуществляют ИОГВ Краснодарского края;
ИОГВ Краснодарского края	Исполнительные органы государственной власти Краснодарского края;
ИС	- Информационная система;
Оператор информационной системы	- Внутренний пользователь РМС ОГВ, осуществляющий деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (1)
РМС ОГВ	- Региональная мультисервисная сеть исполнительных органов государственной власти Краснодарского края;
Служба сопровождения РМС ОГВ	- Организация, на договорной основе осуществляющая функции технического и технологического обеспечения работоспособности и эксплуатации РМС ОГВ;
Участники РМС ОГВ	- Субъекты информационного обмена и органы обеспечивающие данный обмен, взаимодействующие в рамках РМС ОГВ. К Участникам РМС ОГВ относятся: Администратор РМС ОГВ. Служба, сопровождения РМС ОГВ и Пользователи РМС ОГВ;
ФСТЭК России	- Федеральная служба по техническому и экспортному контролю;
ЦОД РМС ОГВ	- Центр обработки данных региональной мультисервисной сети исполнительных орган, в государственной власти Краснодарского крал

2. Общие положения

2.1. Настоящий Регламент определяет процедуры эксплуатации средств обработки информации Участников региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края далее - РМС ОГВ).

2.2. Настоящий Регламент разработана в соответствии с:

Постановлением главы администрации (губернатора) Краснодаре о края от 26 августа 2008 г. N 840 "О региональной мультисервис сети исполнительных органов государственной власти Краснодарского края;

Приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

Приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

Приказом ФСТЭК России от 25 декабря 2017 г. N 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

2.3. Настоящим Регламентом в своей работе должны руководствоваться:

Администратор РМС ОГВ;

Служба сопровождения РМС ОГВ;

Пользователи РМС ОГВ.

3. Инвентаризация и учёт средств обработки информации

3.1. Проведение инвентаризации и учёта средств обработки информации является необходимым аспектом обеспечения безопасности информации

3.2. Средства обработки информации, в общем случае, включают:

сервера информационных систем (далее - ИС);

системы хранения данных;

активное сетевое оборудование;

автоматизированные рабочие места (далее - АРМ), в т.ч. мобильные АРМ (ноутбуки);

съёмные носители информации (2) ;

средства защиты информации.

3.3. Правила и процедуры инвентаризации и учёта средств обработки информации должны быть регламентированы в организационно-распорядительных документах каждого из ИОГВ Краснодарского края

4. Эксплуатация средств обработки информации

4.1. С целью обеспечения выполнения положений настоящего Регламента в ИОГВ Краснодарского края назначаются администраторы средств обработки информации (далее - Администратор). Допускается совмещение ролей по администрированию разных средств обработки информации. Совмещение ролей по администрированию средств обработки информации и обеспечивающих безопасности запрещается.

4.2. Правила эксплуатации средств обработки информации, порядок внесения изменений в состав программных и технических средств, порядок действий в ходе эксплуатации ИС, аттестованной по требованиям безопасности информации, а также порядок доступа в помещения и контрольно-пропускного режима, должны быть регламентированы в организационно-распорядительных документах ИОГВ Краснодарского края. учитывать требования законодательства Российской Федерации в области защиты информации и положения настоящего Регламента.

4.3. Операторы ИС должны разрабатывать и вести Технические паспорта информационных систем, содержащие актуальную информацию о:

структуре и топологии ИС (в т.ч. пользовательского сегмента, в своей ответственности);

составе программных и технических средств обработки информации;

размещении средств обработки информации;

границах контролируемой зоны.

В случае, если Пользователь РМС ОГВ не является Операторе ИС, он должен обеспечить ведение Технического паспорта информационной системы (сегмента информационной системы), размещенной в контролируемой зоне данного Пользователя РМС ОГВ.

4.4. При эксплуатации АРМ и серверов Участников РМС ОГВ в общем случае, должны выполняться следующие требования:

до ввода аутентификационной информации, пользователям должен обеспечиваться запрет любых действий со средством обработки информации;

обязательная установка пароля на доступ к базовой системе ввода - вывода (BIOS);

обеспечение синхронизации системного времени;

самостоятельная установка программного обеспечения (далее ПО) пользователями запрещается. В ИОГВ Краснодарского края должен вестись реестр разрешенного для использования ПО;

изменение аппаратной конфигурации без согласования с Администратором запрещается. Сервера подлежат опечатыванию/ опломбированию;

подключение мобильных устройств передачи информации (сотовые телефоны, usb-модемы, и пр.) запрещается;

использование технологий беспроводной передачи данных (в частности, 802.11xWi-Fi, 802.15.1 Bluetooth, 802.22WRAN, IrDA и иных беспроводных соединений), а также веб-камер и микрофонов, в общем случае запрещаемся (3);

должен обеспечиваться контроль работоспособности (неотключения) программного обеспечения средств защиты информации.

4.5. При эксплуатации съемных носителей информации должны выполняться следующие требования:

допускается использование только учтённых служебных носителей информации;

должен вестись учёт съёмных носителей информации и факт их выдачи (съёмные носители информации должны быть соответствующем образом промаркированы);

должно обеспечиваться надежное хранение съёмных носителей;

съёмные носители информации, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению в соответствии с установленным порядком;

должно обеспечиваться гарантированное уничтожение (стирание) информации, исключающее возможность восстановления защищаемой информации, со съёмного носителя, в следующих случаях;

а) после его приобретения;

б) при его первичном подключении к информационной системе:

в) при передаче для постоянного использования от одного пользователя другому пользователю;

г) при передаче в сторонние организации;

использование съемных носителей в личных целях запрещается

4.6. Установка (обновление) программного обеспечения должна производиться с эталонных копий программных средств, хранящихся у Администраторов.

4.7. При установке (обновлении) программного обеспечения должны осуществляться:

контроль работоспособности и совместимости устанавливаемого обновления;

проверка установочного дистрибутива на отсутствие вредоносного программного кода;

анализ уязвимостей устанавливаемой версии программного обеспечения.

4.8. Установка (обновление) программного обеспечения, полученных из общедоступных источников, в общем случае запрещено.

4.9. Для помещений, в которых размещаются и эксплуатируются средства обработки информации, должны обеспечиваться:

организация режима доступа в помещения;

организация контролируемой зоны;

защита технических средств от внешних воздействий.

5. Предоставление и учет прав доступа к средств вам обработке информации

5.1. Правила предоставления и учета прав доступа к средствам обработки информации должны быть регламентированы в организационно-распорядительных документах ИОГВ Краснодарского края, учитывать требования законодательства Российской Федерации в области защиты информации и положения настоящего Регламента.

5.2. Предоставление прав доступа к средствам обработки информации должно осуществляться на основании распоряжений (заявок).

5.3. Права доступа пользователей и Администраторов к средствам обработки информации фиксируются в Матрицах доступа (4).

5.4. Права доступа к средствам обработки информации предоставляются на время и в объеме минимально необходимых полномочий для повышения работниками своих должностных обязанностей.

5.5. К работе со средствами обработки информации допускав лица, назначенные приказом на должность и прошедшие инструктаж