Приложение 4. Регламент эксплуатации средств обработки информации региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края. Приказ департамента информатизации и связи Краснодарского края от 02.12.2019 N 191 "Об утверждении регламентов региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края"

Приложение 4
к приказу департамента
информатизации и связи
Краснодарского края
от 02.12.2019 г. N 191

Регламент
эксплуатации средств обработки информации региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края

1. Термины и сокращения

Администратор РМС ОГВ	- Уполномоченный орган исполнительной власти Краснодарского края, осуществляющий распорядительные функции по формированию и использованию РМС ОГВ, обеспечивающий эксплуатацию системы;
ВМ	- Виртуальная машина (сервер);
Внешние пользователи РМС ОГВ	- Иные заинтересованные органы государственной власти, органы местного самоуправления, государственные и иные организации, использующие РМС ОГВ в пределах своей компетенции;
Внутренние пользователи РМС ОГВ	- Исполнительные органы государственной власти Краснодарского края, структурные подразделения администрации Краснодарского края, государственные учреждения, функции и полномочия учредителей которых осуществляют ИОГВ Краснодарского края;
ИОГВ Краснодарского края	Исполнительные органы государственной власти Краснодарского края;
ИС	- Информационная система;
Оператор информационной системы	- Внутренний пользователь РМС ОГВ, осуществляющий деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (1)
РМС ОГВ	- Региональная мультисервисная сеть исполнительных органов государственной власти Краснодарского края;
Служба сопровождения РМС ОГВ	- Организация, на договорной основе осуществляющая функции технического и технологического обеспечения работоспособности и эксплуатации РМС ОГВ;
Участники РМС ОГВ	- Субъекты информационного обмена и органы обеспечивающие данный обмен, взаимодействующие в рамках РМС ОГВ. К Участникам РМС ОГВ относятся: Администратор РМС ОГВ. Служба, сопровождения РМС ОГВ и Пользователи РМС ОГВ;
ФСТЭК России	- Федеральная служба по техническому и экспортному контролю;
ЦОД РМС ОГВ	- Центр обработки данных региональной мультисервисной сети исполнительных орган, в государственной власти Краснодарского крал

2. Общие положения

2.1. Настоящий Регламент определяет процедуры эксплуатации средств обработки информации Участников региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края далее - РМС ОГВ).

2.2. Настоящий Регламент разработана в соответствии с:

Постановлением главы администрации (губернатора) Краснодаре о края от 26 августа 2008 г. N 840 "О региональной мультисервис сети исполнительных органов государственной власти Краснодарского края;

Приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

Приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

Приказом ФСТЭК России от 25 декабря 2017 г. N 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

2.3. Настоящим Регламентом в своей работе должны руководствоваться:

Администратор РМС ОГВ;

Служба сопровождения РМС ОГВ;

Пользователи РМС ОГВ.

3. Инвентаризация и учёт средств обработки информации

3.1. Проведение инвентаризации и учёта средств обработки информации является необходимым аспектом обеспечения безопасности информации

3.2. Средства обработки информации, в общем случае, включают:

сервера информационных систем (далее - ИС);

системы хранения данных;

активное сетевое оборудование;

автоматизированные рабочие места (далее - АРМ), в т.ч. мобильные АРМ (ноутбуки);

съёмные носители информации (2) ;

средства защиты информации.

3.3. Правила и процедуры инвентаризации и учёта средств обработки информации должны быть регламентированы в организационно-распорядительных документах каждого из ИОГВ Краснодарского края

4. Эксплуатация средств обработки информации

4.1. С целью обеспечения выполнения положений настоящего Регламента в ИОГВ Краснодарского края назначаются администраторы средств обработки информации (далее - Администратор). Допускается совмещение ролей по администрированию разных средств обработки информации. Совмещение ролей по администрированию средств обработки информации и обеспечивающих безопасности запрещается.

4.2. Правила эксплуатации средств обработки информации, порядок внесения изменений в состав программных и технических средств, порядок действий в ходе эксплуатации ИС, аттестованной по требованиям безопасности информации, а также порядок доступа в помещения и контрольно-пропускного режима, должны быть регламентированы в организационно-распорядительных документах ИОГВ Краснодарского края. учитывать требования законодательства Российской Федерации в области защиты информации и положения настоящего Регламента.

4.3. Операторы ИС должны разрабатывать и вести Технические паспорта информационных систем, содержащие актуальную информацию о:

структуре и топологии ИС (в т.ч. пользовательского сегмента, в своей ответственности);

составе программных и технических средств обработки информации;

размещении средств обработки информации;

границах контролируемой зоны.

В случае, если Пользователь РМС ОГВ не является Операторе ИС, он должен обеспечить ведение Технического паспорта информационной системы (сегмента информационной системы), размещенной в контролируемой зоне данного Пользователя РМС ОГВ.

4.4. При эксплуатации АРМ и серверов Участников РМС ОГВ в общем случае, должны выполняться следующие требования:

до ввода аутентификационной информации, пользователям должен обеспечиваться запрет любых действий со средством обработки информации;

обязательная установка пароля на доступ к базовой системе ввода - вывода (BIOS);

обеспечение синхронизации системного времени;

самостоятельная установка программного обеспечения (далее ПО) пользователями запрещается. В ИОГВ Краснодарского края должен вестись реестр разрешенного для использования ПО;

изменение аппаратной конфигурации без согласования с Администратором запрещается. Сервера подлежат опечатыванию/ опломбированию;

подключение мобильных устройств передачи информации (сотовые телефоны, usb-модемы, и пр.) запрещается;

использование технологий беспроводной передачи данных (в частности, 802.11xWi-Fi, 802.15.1 Bluetooth, 802.22WRAN, IrDA и иных беспроводных соединений), а также веб-камер и микрофонов, в общем случае запрещаемся (3);

должен обеспечиваться контроль работоспособности (неотключения) программного обеспечения средств защиты информации.

4.5. При эксплуатации съемных носителей информации должны выполняться следующие требования:

допускается использование только учтённых служебных носителей информации;

должен вестись учёт съёмных носителей информации и факт их выдачи (съёмные носители информации должны быть соответствующем образом промаркированы);

должно обеспечиваться надежное хранение съёмных носителей;

съёмные носители информации, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению в соответствии с установленным порядком;

должно обеспечиваться гарантированное уничтожение (стирание) информации, исключающее возможность восстановления защищаемой информации, со съёмного носителя, в следующих случаях;

а) после его приобретения;

б) при его первичном подключении к информационной системе:

в) при передаче для постоянного использования от одного пользователя другому пользователю;

г) при передаче в сторонние организации;

использование съемных носителей в личных целях запрещается

4.6. Установка (обновление) программного обеспечения должна производиться с эталонных копий программных средств, хранящихся у Администраторов.

4.7. При установке (обновлении) программного обеспечения должны осуществляться:

контроль работоспособности и совместимости устанавливаемого обновления;

проверка установочного дистрибутива на отсутствие вредоносного программного кода;

анализ уязвимостей устанавливаемой версии программного обеспечения.

4.8. Установка (обновление) программного обеспечения, полученных из общедоступных источников, в общем случае запрещено.

4.9. Для помещений, в которых размещаются и эксплуатируются средства обработки информации, должны обеспечиваться:

организация режима доступа в помещения;

организация контролируемой зоны;

защита технических средств от внешних воздействий.

5. Предоставление и учет прав доступа к средств вам обработке информации

5.1. Правила предоставления и учета прав доступа к средствам обработки информации должны быть регламентированы в организационно-распорядительных документах ИОГВ Краснодарского края, учитывать требования законодательства Российской Федерации в области защиты информации и положения настоящего Регламента.

5.2. Предоставление прав доступа к средствам обработки информации должно осуществляться на основании распоряжений (заявок).

5.3. Права доступа пользователей и Администраторов к средствам обработки информации фиксируются в Матрицах доступа (4).

5.4. Права доступа к средствам обработки информации предоставляются на время и в объеме минимально необходимых полномочий для повышения работниками своих должностных обязанностей.

5.5. К работе со средствами обработки информации допускав лица, назначенные приказом на должность и прошедшие инструктаж по вопросам информационной безопасности.

5.6. Необходимость работы пользователя со средством обработки информации определяет руководитель структурного подразделения на основании должностных (функциональных) обязанностей работника.

5.7. Изменение и (или) блокирование прав доступа к средств обработки информации может осуществляться в следующих случаях:

выявление нарушений установленных требований по обеспечению информационной безопасности;

в период отпуска пользователя;

в случае изменения должностных обязанностей работника.

5.8. При увольнении работника (5) должна осуществляться незамедлительная блокировка учетной записи (после окончания последнего сеанса доступа к средству обработки информации) с последующей минимизацией прав доступа учётной записи.

6. Удаленный доступ к средствам обработки информант

6.1. Под удаленным доступом к средствам обработки информации понимаются все виды доступа, осуществляемые по внешним каналам связи (проводной (коммутируемый), широкополосный) и с использованием устройств доступа, расположенных за пределами контролируемой зоны.

6.2. Удаленный доступ к средствам обработки информации должен осуществляться с применением сертифицированных ФСБ России средств криптографической защиты информации соответствующих классов.

6.3. Предоставление доступа к средствам обработки информации третьих лиц возможно только при условии документального подтверждения соблюдения ими мер по обеспечению безопасности информации.

7. Обязанности Участников РМС ОГВ

7.1. Администратор РМС ОГВ обязан:

довести положения настоящего Регламента до Службы сопровождения РМС ОГВ, Участников РМС ОГВ:

организовывать процессы планирования и реализации контрольных мероприятий по проверке степени выполнения положений настоящего Регламента Участниками РМС ОГВ;

7.2. ИОГВ Краснодарского края обязаны:

назначить администраторов средств обработки информации:

ознакомить Пользователей РМС ОГВ (в рамках своих компетенций) с положениями настоящего Регламента;

планировать и реализовывать контрольные мероприятия по сверке степени выполнения положений настоящего Регламента администраторами средств обработки информации;

разработать и утвердить организационно-распорядительные документ в соответствии с пунктами 4.2, 5.1 настоящего Регламента.

7.3. Администраторы средств обработки информации ИОГВ Краснодарского края обязаны:

разработать и поддерживать в актуальном состоянии Технические паспорта ИС;

вести реестр разрешенного к использованию в ИОГВ Краснодарского края программного обеспечения;

организовать и (или) обеспечить опломбирование корпусов технических средств и контроль их вскрытия;

вести учет съемных носителей информации;

вести Матрицы доступа пользователей.

8. Ответственность за нарушение требований настоящего Регламента

8.1. Ответственность за нарушение требований настоящего Регламента возлагаются на всех Участников РМС ОГВ.

8.2. Лица, виновные в нарушении положений настоящего Регламента могут быть привлечены к ответственности согласно действующему законодательству Российской Федерации.

______________________

(1) В случаях. если иное не установлено федеральным законодательством оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник, заключил договор об эксплуатации информационной системы

(2) Под съёмными носителями информации понимается: оптические диски, флеш-накопители внешние накопители на жестких дисках и иные устройства хранения информации

(3) Использование данных технологий допускается только в исключительных случаях обоснованных служебной необходимостью

(4) Матрицы доступа допускается вести в электронном виде

(5) Ответственность за своевременное уведомление администраторов об увольнении работников не руководители структурных подразделений, в чьем подчинении находятся увольняемые работники

Начальник управления связи департамента информатизации и связи Краснодарского края

М.Ю. Бугрий