ПРАВИТЕЛЬСТВО МОСКВЫ
ПРЕФЕКТ ЗЕЛЕНОГРАДСКОГО АДМИНИСТРАТИВНОГО ОКРУГА
ГОРОДА МОСКВЫ
РАСПОРЯЖЕНИЕ
от 30 июня 2006 г. N 686-рп
О РЕЗУЛЬТАТАХ РАБОТ ПО СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
ЗА 2005 Г. И I КВ. 2006 Г. И ЗАДАЧАХ НА 2006-2007 ГГ.
В соответствии с распоряжением префекта от 04.02.2005 N 120-рп
"Об итогах работы по обеспечению технической защиты информации в
2004 году и задачах на 2005 год", распоряжением префекта от
01.07.2005 N 651-рп "О ходе работ по созданию системы защиты
информации" в 2005 году и I квартале 2006 года был проведен
комплекс работ в целях повышения уровня информационной
безопасности. Для ликвидации возможностей несанкционированного
доступа к ресурсам локальной вычислительной сети префектуры
осуществлен переход к физически защищенному сетевому пространству
инфраструктуры. Во исполнение распоряжения Мэра Москвы от
15.09.2005 N 292-РМ "О создании единого адресного пространства и
дальнейшем развитии телекоммуникационной инфраструктуры органов
исполнительной власти города Москвы и подведомственных им
организаций" осуществлена настройка мультисервисной сети для
вхождения в корпоративную мультисервисную сеть Правительства
Москвы. Проведены режимные мероприятия по ограничению доступа в
серверную префектуры. В соответствии с договором на оказание
телекоммуникационных услуг с ОАО "Комкор" настроен устойчивый
канал Интернет-доступа. В соответствии с требованиями Положения по
организации парольной защиты при работе на объектах информатизации
префектуры Зеленоградского административного округа г. Москвы
(приложение 1 к распоряжению префекта от 04.02.2005 N 120-рп)
введены в действие новые девятизначные личные пароли доступа к
объектам вычислительной техники и информационным ресурсам.
Во исполнение распоряжения префекта от 03.03.2006 N 228-рп "О
ходе работ по развитию электронного документооборота в системе
управления Зеленограда" осуществлен комплекс мероприятий по
повышению информационной безопасности единой автоматизированной
системы документационного обеспечения управления (ЕАС ДОУ).
Разработана и согласована Техническая документация по обеспечению
программно-аппаратной безопасности доступа к базам ЕАС ДОУ, в том
числе через Интернет-представительство органов власти
Зеленоградского административного округа Москвы http://zelao.ru.
Для защиты почтовых ящиков от рекламных рассылок установлен
антиспамовый фильтр. Подготовлены соглашения об информационном
взаимодействии между префектурой и управами районов Матушкино-
Савелки, Панфиловского, Крюково, ГДЕЗ, ДЕЗ 1, 3, 4, "Крюково",
АПУ, ТА ДИГМ, техническими исполнителями подготовки конкурсов
городского заказа. Для мониторинга использования сотрудниками
префектуры ресурсов ЕАС ДОУ разработан и апробирован алгоритм,
позволяющий протоколировать действия пользователя на каждом
рабочем месте. Осуществлена подготовка на переход к 9-значным
личным паролям при работе в системе электронного документооборота.
Вместе с тем, как отмечалось в протоколе заседания рабочей
группы по информационной безопасности префектуры Зеленоградского
административного округа города Москвы от 21.03.2006, имеет место
ряд проблемных вопросов повышенной актуальности для обеспечения
системы защиты информации. Среди них - критическое состояние
источников бесперебойного питания префектуры, необходимость
скорейшего разнесения служб на разные аппаратные платформы,
повышение контроля соблюдения мер сотрудниками префектуры по
защите паролей доступа к компьютерам, необходимость утверждения
Положения о защите информации, регламента подключения к
мультисервисной сети новых рабочих мест, предоставления или
блокирования доступа сотрудников.
В целях выполнения решений Комиссии по информационной
безопасности при Мэре Москвы, усиления безопасности вычислительной
сети префектуры, дальнейшего развития средств и способов
информационной защиты:
1. Одобрить результаты работ по созданию системы защиты
информации за 2005 г. и I квартал 2006 г.
2. Утвердить Регламент доступа пользователей к информационным
ресурсам, порядок сопровождения программного обеспечения в
информационной системе префектуры (приложение 1), Регламент
подключения к ресурсам ЕАС ДОУ дополнительных автоматизированных
рабочих станций и принимаемых на работу сотрудников (приложение
2), Регламент доступа в серверные помещения префектуры
Зеленоградского административного округа г. Москвы (приложение 3),
Положение о реестре информационных систем и ресурсов префектуры
Зеленоградского административного округа г. Москвы (приложение 4),
Положение о защите информации, обрабатываемой в информационных
системах и ресурсах органов исполнительной власти и бюджетной
сферы Зеленоградского административного округа города Москвы
(приложение 5), Аттестационные требования к сотрудникам префектуры
в области применения информационно-коммуникационных технологий
(приложение 6).
3. Всем должностным лицам органов исполнительной власти и
организаций, включенных в мультисервисную сеть органов управления
Зеленоградского административного округа города Москвы (приложение
7):
3.1. Обеспечить исполнение требований регламентов, утвержденных
в п. 2 настоящего распоряжения.
3.2. В срок до 01.08.2006 назначить ответственных за соблюдение
утвержденных по п. 2 настоящего распоряжения требований и
направить сведения об ответственных в отдел службы "одного окна" и
информатизации префектуры.
3.3. Принять необходимые меры для ввода сегментов
мультисервисной сети в эксплуатацию в соответствии с распоряжением
префекта от 02.02.2005 N 108-рп "О запуске мультисервисной сети
органов управления Зеленоградского административного округа г.
Москвы" с соблюдением требований, установленных регламентами по п.
2 настоящего распоряжения.
4. Установить, что автоматизированные системы устанавливаются
на рабочих местах и серверном оборудовании префектуры только после
регистрации в Реестре информационных систем и ресурсов префектуры
Зеленоградского административного округа г. Москвы (далее -
Реестр).
5. Установить, что в управлениях, отделах и секторах префектуры
ответственными за соблюдение установленных по пп. 2, 4 настоящего
распоряжения требований, требований парольной защиты являются
руководители соответствующих структурных подразделений.
6. Отделу службы "одного окна" и информатизации (Коробова
А.Н.):
6.1. Обеспечить постоянный контроль над актуальным уровнем
доступа пользователей к сетевым и информационным ресурсам
префектуры.
6.2. Доступ администраторов, осуществляющих сетевое и
информационное администрирование, осуществлять после
предоставления организацией-исполнителем подписки сотрудника о
неразглашении конфиденциальной информации, коммерческой и
служебной тайны.
6.3. Принять меры по блокированию доступа к мультисервисной
сети органов управления через оборудование, установленное в РЭУ,
ОДС Зеленоградского округа города Москвы, до выполнения пп. 3.1,
3.2, 3.3 настоящего распоряжения.
6.4. В срок до 01.08.2006 ввести в действие девятизначные
пароли доступа к ресурсам системы электронного документооборота.
6.5. В срок до 01.11.2006 обеспечить закупку и установку
необходимого программного обеспечения для входа в программную
среду Windows с помощью аппаратных средств электронно-цифровой
подписи (e-token).
6.6. Совместно с начальником первого отдела префектуры Климовым
С.Ю. в срок до 01.10.2006 провести инструктаж ответственных,
назначенных по пп. 3.2, 5 настоящего распоряжения.
6.7. В срок до 01.01.2007 разработать регламенты восстановления
информационных ресурсов, определяющих действия должностных лиц в
случае возникновения аварийных ситуаций на средствах
вычислительной техники.
6.8. В срок до 01.11.2006 провести первичную инвентаризацию и
регистрацию в Реестре информационных систем префектуры,
установленных на рабочих местах и серверном оборудовании
префектуры.
7. Заместителям префекта, руководителям структурных
подразделений, прямого подчинения префекту представить в
Управление государственной службы и кадров должностные регламенты,
доработанные в соответствии с требованиями, предъявляемыми к
информационной грамотности сотрудников (приложение 6), в срок до
01.10.2006.
8. Руководителю аппарата префектуры Г.Н. Дымочка совместно с
начальником отдела службы "одного окна" и информатизации Коробовой
А.Н. принять необходимые меры по ускорению общестроительных работ
для оборудования серверного помещения на втором этаже здания
префектуры системой электроснабжения, климат-контроля,
пожаротушения, контроля доступа в помещение.
9. Начальнику управления экономики и перспективного развития
(Истратова Е.Н.) предусмотреть в смете целевого бюджетного фонда
развития территории на 2006-2007 гг. средства в сумме 240 тыс.
руб. (ежегодно) по п. 6.5 настоящего распоряжения.
10. Снять с контроля распоряжения префекта от 04.02.2005 N 120-
рп, от 01.07.2005 N 651-рп как выполненные.
11. Контроль выполнения настоящего распоряжения возложить на
первого заместителя префекта А.И. Михальченкова.
О ходе выполнения распоряжения доложить префекту в срок до
01.08.2007.
И.о. префекта
А.И. Михальченков
Приложение 1
к распоряжению префекта
Зеленоградского АО г. Москвы
от 30 июня 2006 г. N 686-рп
РЕГЛАМЕНТ
ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ,
ПОРЯДОК СОПРОВОЖДЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПРЕФЕКТУРЫ
Настоящий Регламент обязателен для исполнения специалистами,
разрабатывающими, сопровождающими и эксплуатирующими системное и
прикладное программное обеспечение (ПО) в информационной системе
(ИС) префектуры.
Общие положения
Настоящий Регламент определяет систему работ и требования по
защите информации при сопровождении ПО в префектуре (в т.ч.
разрабатываемого ПО).
Система работ по сопровождению включает:
- разделение ответственности за разработку, установку,
настройку, администрирование и эксплуатацию ПО;
- порядок установки, настройки и эксплуатации ПО;
- порядок допуска пользователей к работе в ИС;
- полный комплект документов, устанавливающих права
пользователей на эксплуатацию ИС.
Требования по защите информации (ЗИ) включают:
- единую идентификацию пользователей;
- организацию парольной службы;
- организацию разграничения доступа к информации;
- организационные мероприятия по ЗИ.
Термины и сокращения
Библиотека информационных ресурсов (ИР) - общее
систематизированное хранилище информационных носителей, содержащих
ИР префектуры и утвержденный перечень ИР в информационной системе
с регламентированным порядком поддержания и ведения хранилища.
Утвержденный перечень ИР - документ, содержащий данные об ИР
префектуры в установленной форме. Является документом для
ознакомления ограниченного круга лиц.
Классификатор ИР - документ, представляющий собой выдержку из
утвержденного перечня ИР в установленной форме, предназначенный
для пользователей ИС и подразделений префектуры. Является открытым
документом.
База пользователей - структура, содержащая данные о
пользователях ИС префектуры, их идентификации и параметрах
аутентификации. Является документом ограниченного распространения.
Учетная запись пользователя - в конкретном контексте строка
базы пользователей или учетная запись в ПО.
Идентификатор пользователя - последовательность символов
определенного алфавита и кодировки для отождествления с
пользователем ИС.
Пароль - последовательность символов определенного алфавита и
кодировки для подтверждения пользователя, предъявляющего
идентификатор пользователя.
1. Разделение ответственности
Постановка задач на разработку, сопровождение разработки,
корректировка заявок по правам доступа к ПО, принятие в
эксплуатацию, эксплуатация и дальнейшая поддержка ПО
осуществляются отделом службы "одного окна" и информатизации
(СООиИ) на основании приказов и распоряжений префекта, а также
служебных записок заместителей префекта.
Ведение парольной службы осуществляется администраторами ЛВС в
части общесистемного и прикладного ПО и информационными
администраторами прикладных систем в части ЕАС ДОУ, ГИС
"Зеленоград" и других ИР.
Установка ПО на серверы и рабочие станции, настройка (и
обновление), администрирование осуществляется администраторами ЛВС
на основании настоящего Регламента и других регламентирующих
документов.
Эксплуатация ПО осуществляется сотрудниками подразделений, в
интересах которых поставляется ПО.
Регистрация ПО осуществляется сотрудником отдела СООиИ, ведущим
библиотеку ИР префектуры.
Контроль за соблюдением требований по ЗИ в электронных сетях
осуществляется ответственным по защите информации префектуры.
Начальник отдела кадров отвечает за своевременное
информирование ответственного по защите информации префектуры о
приеме на работу, увольнении и изменениях должностного статуса
сотрудников.
Начальники управлений и отделов отвечают за состояние
информационной безопасности своих подразделений, инициируют допуск
сотрудника или его прекращение к информационным ресурсам и
контролируют поддержание актуального уровня доступа и прав
подчиненных сотрудников в ИР в соответствии с их должностными
обязанностями.
Заместители префекта контролируют ЗИ информационных систем,
эксплуатируемых подчиненными подразделениями.
2. Требования по защите информации к эксплуатируемому ПО
Любое разрабатываемое ПО должно удовлетворять указанным в
данном Регламенте требованиям, а также требованиям, установленным
в других документах по ЗИ. Каждое ТЗ на разработку ПО должно
содержать раздел с требованиями по защите информации.
Для ИР на этапе внедрения в промышленную эксплуатацию
ответственным по ЗИ разрабатывается таблица доступа с учетом
организационной структуры префектуры и особенностей
информационного процесса. Для узловых элементов процессов
информационного обмена, реализуемых с помощью данного ИР,
формируется перечень прав с привязкой по должностям по доступу к
компонентам ИР, документам, полям документов, элементам
управления. Доступ для определенных рабочих мест может изменяться
в процессе эксплуатации ИР в случае возникновения служебной
необходимости. Права доступа фиксируются в учетных карточках
(приложение 3).
Наличие оригинала дистрибутива, регистрация и маркировка
информационных носителей, содержащих ПО, обязательны. ПО должно
быть включено в утвержденный перечень ИР. ИР, имеющий несколько
различных прав доступа, указывается в перечне несколькими записями
по числу прав. Однопользовательский или не имеющий различий в
правах доступа ИР указывается в перечне одной записью.
Идентификация пользователей является распределенной, в ПО
содержатся идентификаторы пользователей и групп пользователей с
назначенными правами.
Парольная служба обеспечивает выдачу, учет и сохранение
конфиденциальности паролей для пользователей. Разграничение
доступа осуществляется на основании прав пользователей и групп
пользователей в зависимости от групп доступа, предусмотренных для
данного ПО.
3. Порядок допуска администраторов и пользователей к работе
Администрирование ИР префектуры осуществляется
специализированными организациями на основании договора.
К администрированию общесистемного и прикладного ПО допускаются
лица, аттестованные на работу с используемыми ИР, на основании
информационного письма на имя заместителя префекта, курирующего
внедрение и эксплуатацию указанного ИР, и подписанного
руководителем, организации-исполнителя. Письмо должно содержать
следующие приложения:
1. Выписка из приказа о назначении сотрудника.
2. Должностная инструкция.
3. Паспортные данные.
При увольнении администратора его идентификаторы, пароли,
регистрационные данные на доступ к информационным ресурсам
удаляются во всех ИР в течение 1 дня с момента прекращения
трудовых отношений.
К эксплуатации общесистемного и прикладного ПО (АРМы)
допускаются пользователи ИС префектуры, ознакомленные с
нормативной документацией по эксплуатации средств вычислительной
техники (СВТ) и автоматизированных систем (АС), по информационной
безопасности и зарегистрированные в соответствующей ИС. Факт
выполнения указанного требования подтверждается наличием у
пользователя действительной учетной карточки (приложение 3).
От лица начальника подразделения, в интересах которого
необходима эксплуатация данного ПО, составляется заявка на
выполнение работ (приложение 1). К заявке прилагается учетная
карточка, где указываются инвентарные номера рабочих станций, на
которые необходимо установить ПО, указывается маркер ИР
необходимого ПО согласно утвержденному Реестру ИСиР, используемых
в префектуре, и учетные данные пользователя, допущенного к работе
на указанной рабочей станции. Общесистемное ПО (операционная
система, офисные приложения, антивирусные программы) в этой строке
не указывается.
В обязательном порядке указывается перечень необходимых работ
по подключению рабочей станции и пользователей, включая допуск
пользователей к ИР и выдачу персональных паролей.
Заявка адресуется ответственному по ЗИ. Ответственный по ЗИ
вносит идентификационные данные пользователей в базу пользователей
и готовит таблицу паролей для информационного администратора ИР.
Ответственный по ЗИ формирует для каждого пользователя конверт,
содержащий лист с персональным паролем. Конверты выдаются
непосредственным пользователям под роспись в журнале выдачи
паролей.
Администратор ИР получает у ответственного по ЗИ таблицу,
состоящую из колонок "Идентификатор пользователя" и "Пароль", и на
основании указанных данных создает учетные записи пользователей в
данном ПО и производит установку полномочий доступа. По выполнении
задания таблица паролей возвращается ответственному по ЗИ, в
заявке на выполнение работ производится отметка об исполнении.
После выполнения указанных работ администратор ЛВС начинает
производить непосредственную настройку рабочей станции, установку
программного обеспечения АРМ, настройку учетных записей
пользователей согласно имеющейся у него таблице с идентификаторами
пользователей. При этом непосредственную прописку в операционной
системе и вход в АРМ осуществляет пользователь своим персональным
паролем. По завершении своей работы администратор ЛВС предъявляет
рабочую станцию пользователю для проверки.
Проверка функционирования ПО на рабочей станции осуществляется
пользователем с предъявлением полученного идентификатора и пароля.
После успешного результата проверки пользователь делает отметку о
выполнении задания на бланке акта на выполнение работ (приложение
2).
Описанная технология должна исключать ознакомление с
персональными паролями пользователей всех задействованных лиц в
оснащении рабочих станций, кроме ответственного по ЗИ и
администратора ИР.
Акт о выполненной заявке возвращается в отдел СООиИ.
На основании сведений о выполнении заявок ответственный по ЗИ
вносит изменения в матрицу доступа к ИР.
4. Порядок изменения учетных карточек пользователей
и поддержания актуального перечня исполнителей
4.1. При приеме на работу новых сотрудников или изменении их
должностных обязанностей начальник подразделения информирует о них
ответственного по ЗИ учетной карточкой по форме 6 для занесения в
базу пользователей новой учетной записи или изменения уровня
доступа и прав старой.
В случае увольнения, перевода сотрудника в другое подразделение
префектуры изменения в базе пользователей производятся на
основании формы (приложение 3) в течение 1 рабочего дня с момента
подачи формы ответственному по ЗИ.
При изменении любой из характеристик, указанных в форме 6,
данные представляются ответственному по ЗИ подразделением
незамедлительно в печатной форме.
4.2. Информация о составе исполнителей, необходимая для работы
информационных ресурсов префектуры, представляется начальнику
отдела СООиИ:
- ежегодно до 31 января - на основании служебной записки
первого заместителя префекта заместителям префекта проводится
централизованный сбор информации об организациях для формирования
списка рассылки в системе электронного документооборота
префектуры;
- немедленно - в случае изменения указанных данных руководители
подразделений уведомляют начальника отдела в течение одного
рабочего дня.
Ответственные за представление информации - начальники отделов
префектуры. Форма представления информации - в соответствии с
приложением 4. Информация представляется в бумажном и электронном
виде (файл в формате MS Word).
5. Документы, регламентирующие права пользователей
и эксплуатацию ПО
Права пользователей на эксплуатацию разработанного ПО
закрепляются в следующих документах:
1. Заявка на выполнение работ от подразделения должна содержать
учетные номера пользователей, требующих доступ к ПО, маркер ИР в
соответствии с перечнем ИР префектуры. Заявка хранится в отделе
СООиИ.
2. Учетные карточки пользователей содержат информацию о
пользователях, используемых ИР, СВТ и АС, идентификационных
признаках.
3. Таблица доступа к защищаемым ИР содержит соответствия прав
пользователей и защищаемых ИР.
Регламентирующие документы для эксплуатируемого ПО:
1. Полное наименование ПО, маркер ИР, сотрудник, сопровождающий
ПО, разработчик, объем ПО и его местонахождение содержатся в
Реестре ИР префектуры.
2. На основании Реестра ИР префектуры формируется документ
"Классификатор ИР, используемых в префектуре", этот документ
доводится до всех подразделений путем размещения на внутреннем
портале префектуры WEB и служит справочником при составлении
заявок на оснащение рабочих станций программным обеспечением и
допуска пользователей к АРМ.
6. Организация парольной службы
Парольная служба организуется ответственным по ЗИ и
осуществляется сотрудником отдела СООиИ. В основе парольной службы
лежит уникальность и существование учетной записи для каждого
сотрудника, допущенного к эксплуатации ПО. Уникальность учетных
записей обеспечивается существованием и поддержанием единой базы
пользователей информационной системы. Существование учетных
записей обеспечивается необходимостью допуска сотрудника к
эксплуатации ПО и СВТ.
Порядок обеспечения парольной защиты локальных АС и ПЭВМ,
использующих подсистемы парольной защиты от НСД, регламентируется
Положением по организации парольной защиты на объектах
информатизации префектуры Зеленоградского АО г. Москвы и другими
документами по защите информации.
Пароли администраторам назначаются и изменяются на общих
основаниях. Пароль администратора должен содержать не менее 9
символов в случайной последовательности и случайном регистре.
Пароль сохраняется в базе пользователей, к которой имеют
ограниченный организационными и программно-техническими средствами
доступ только сотрудники отдела СООиИ. Создание, изменение,
выдача, просмотр и удаление паролей в базе производятся только
указанными сотрудниками. База пользователей хранится на сервере и
является защищаемой ИР. Выдача паролей осуществляется только в
конвертах и непосредственно в руки под роспись в журнале выдачи
паролей. Получать конверты с паролями имеют право:
- непосредственный пользователь, учетный номер которого указан
на конверте;
- сотрудник подразделения, ответственный за учет ИР, СВТ и
пользователей;
- начальник и заместитель начальника подразделения.
Журнал выдачи паролей ведется в отделе СООиИ. Ответственным за
ведение журнала является сотрудник, выполняющий обязанности по
учету СВТ, АС и пользователей. Формат, число страниц и вид журнала
произвольны (книги учета, общие тетради и др.). Обязательными
являются наличие титульного листа, стандартных листов указанной
формы, брошюровка и указание числа страниц в книге, заверенное
подписью начальника отдела СООиИ.
Период смены паролей составляет 12 месяцев до наложения более
строгих требований документами по ЗИ. Порядок смены паролей
устанавливается на основании документов по защите информации.
Смена паролей производится следующим образом:
1. Администратор изменяет пароль пользователя до исхода периода
смены паролей указанным выше порядком.
2. Порядком, установленным данным документом, пароли доводятся
до пользователей не позже окончания проведения работ.
Порядок хранения паролей пользователями определяется
документами по ЗИ.
Разглашение, передача другому лицу, кроме непосредственно
адресованного пользователя, активная компрометация, сокрытие факта
компрометации пароля являются действиями, подпадающими под
действие законов РФ, нормативных и ведомственных документов.
Сохранение в тайне пароля является обязанностью сотрудника,
допущенного к эксплуатации ИС префектуры. Пароль пользователя
может быть сообщен только ответственным по ЗИ. В случае
компрометации пароля и отсутствия причин, препятствующих
организации допуска пользователя, проводится повторная выдача,
описанная ранее.
Порядок установки и значения параметров безопасности доменов
Free BSD, Lotus и файловых серверов не регламентируется настоящим
документом.
Роль и функции системных администраторов, поддерживающих
учетные записи доменов, групп, систем, БД, рабочих станций и
автономных ПК определяются соответствующими инструкциями. Порядок
организации допуска к защищаемым ресурсам определяется документами
по ЗИ.
7. Порядок установки, настройки и эксплуатации ПО
Состав стандартно устанавливаемого ПО (операционная система,
офисные приложения, антивирусные программы) определяет начальник
отдела СООиИ. Установка операционных систем, офисных приложений и
других ИР, не определенных в Реестре информационных систем
префектуры, на рабочие станции и серверное оборудование префектуры
не допускается. О фактах самовольной установки ПО пользователем, а
также с нарушением установленного порядка, ПО, не включенного в
перечень ИР, обнаруживший эти факты обязан сообщить начальнику
отдела СООиИ.
При обнаружении факта самовольной установки или нарушения
других требований по ЗИ немедленно прекращается доступ
пользователя к ЛВС. Ответственность сотрудника за самовольную
установку определяется по результатам служебного расследования в
каждом конкретном случае. В случае если действия пользователя
привели к компрометации его идентификационных данных, они
уничтожаются во всех информационных ресурсах. Повторное
подключение пользователя производится после окончания служебного
расследования в случае принятия решения об этом на общих
основаниях.
Все подразделения префектуры должны согласовывать вопросы
закупки или установки программного обеспечения у внешних
организаций с начальником отдела СООиИ.
Закупка и внедрение программных средств защиты информации
должны осуществляться по согласованию с ответственным по ЗИ.
Начальник подразделения контролирует выполнение и прохождение
заявки на установку ПО. Исполнитель по завершении предписанной ему
работы заполняет акт о выполнении работы (приложение 2) и
подписывает его у лица, приславшего заявку.
9. Порядок подключения сторонних организаций
Сторонними организациями являются органы исполнительной власти,
а также другие организации независимо от формы собственности,
участвующие в процессе документооборота префектуры.
Между префектурой и сторонней организацией должно быть
заключено соглашение об информационном взаимодействии.
Подключение сторонних организаций к ЛВС префектуры
осуществляется через абонентский пункт сторонней организации,
представляющий собой комплекс средств автоматизации со средствами
связи, позволяющий осуществить доступ к ЛВС префектуры. В состав
абонентского пункта могут входить как автономные рабочие станции,
так и выделенные сегменты ЛВС сторонней организации, не имеющие
подключения к сетям общего пользования, информационным сетям
других организаций или другим сегментам ЛВС сторонней организации.
Основным видом подключения абонентского пункта является
организация доступа к информационным ресурсам по выделенному
каналу связи.
9.1. Порядок организации подключения сторонних организаций
Подключение сторонней организации осуществляется на основании
соглашения об информационном взаимодействии (далее - Соглашение).
В Соглашении должны быть отражены следующие сведения:
1) предмет Соглашения;
2) срок действия Соглашения;
3) порядок использования информации;
4) обязательства сторон;
5) права сторон;
6) ответственность сторон;
7) действие форс-мажорных обстоятельств;
8) порядок разрешения споров;
9) порядок изменения и расторжения Соглашения;
10) прочие условия;
11) юридические адреса и банковские реквизиты сторон.
К Соглашению в обязательном порядке должны быть приложены
требования к автоматизированным рабочим местам сторонних
организаций, подключаемых к ЕАС ДОУ.
Оснащение, монтаж, установку, инсталляцию и настройку
программно-аппаратных средств, необходимых для подключения
абонентского пункта, после принятия решения о подключении
производит сторонняя организация.
Дальнейший информационный обмен и взаимодействие между
сторонней организацией и префектурой производится в соответствии с
утвержденным Соглашением об информационном взаимодействии между
префектурой и сторонней организацией.
9.2. Требования по обеспечению информационной безопасности
Требования, предъявляемые к подключению абонентского пункта
сторонней организации к ЛВС префектуры, включают в себя:
- требования, предъявляемые к абонентскому пункту сторонней
организации;
- требования, предъявляемые к подключению абонентского пункта
сторонней организации.
Требования, предъявляемые к абонентскому пункту сторонней
организации:
- на технических средствах должно быть установлено только
программное обеспечение, заявленное при обосновании необходимости
подключения;
- на технических средствах в обязательном порядке должно быть
установлено лицензионное программное обеспечение антивирусной
защиты информации;
- должны быть обеспечены разграничение и контроль доступа
сотрудников сторонней организации;
- должен вестись журнал учета работы.
Требования, предъявляемые к подключению абонентского пункта
сторонней организации в префектуре:
- подключение абонентского пункта должно осуществляться только
через сертифицированный межсетевой экран;
- правила фильтрации потоков, передаваемых через точку
подключения при информационном взаимодействии, должны быть
документально оформлены и подписаны ответственным за защиту
информации в префектуре;
- запрещается изменять правила фильтрации потоков без
документального оформления внесенных изменений.
Контроль над обеспечением информационной безопасности при
информационном взаимодействии абонентского пункта сторонней
организации ЛВС префектуры осуществляется ответственным за защиту
информации в префектуре.
9.3. Порядок отключения абонентских пунктов
сторонних организаций
Начальник отдела СООиИ префектуры имеет право на
приостановление или отказ в выдаче разрешения на подключение в
случае невыполнения сторонней организацией технических условий.
О необходимости отключения абонентского пункта сторонней
организации от ЛВС начальник отдела СООиИ извещает руководство
соответствующей сторонней организации не позднее 1 (одного) месяца
до даты отключения. Отключение сторонней организации при нарушении
последней технических условий осуществляется в 3(трех)-дневный
срок со дня письменного уведомления, при этом демонтаж
оборудования и абонентских устройств осуществляется в срок не
более 3 (трех) месяцев.
10. Резервирование ИР
Резервирование информации должно производиться в
автоматизированном режиме ежедневно.
Обязанности по обеспечению своевременного резервирования
информации серверов префектуры возлагаются на администратора ЛВС.
Он несет полную ответственность за поддержание сохраненных данных
в актуальном состоянии и информирование ответственного по ЗИ о
системных и аппаратных инцидентах.
Администратор ИР отвечает за контроль состояния программного
обеспечения, осуществляющего резервирование информации.
Один раз в сутки администратор ИР проверяет наличие файлов
очередного резервирования. Контроль осуществляется по дате
создания. При отсутствии указанных файлов администратор ИР
предпринимает меры по выяснению причины случившегося и уведомляет
ответственного по ЗИ о необходимости проведения срочной процедуры
резервирования.
11. Действия в аварийных ситуациях
Действия в аварийных ситуациях регламентируются планами
восстановления ИР. План восстановления ИР в обязательном порядке
разрабатывается для каждого ИР, принятого в промышленную
эксплуатацию в префектуре. Планы восстановления должны быть
разработаны таким образом, чтобы любой инцидент с защитой ЛВС мог
быть своевременно улажен, с наименьшим, насколько это возможно,
воздействием на возможности организации по обработке и передаче
данных. План восстановления должен описывать (1) действия по
улаживанию инцидента, (2) действия по резервированию и (3)
действия по восстановлению.
Приложение 1
к Регламенту
ФОРМА ЗАЯВКИ
Подать заявку на выполнение работ
---------------------------------¬
Ф.И.О.: ¦ ¦
L---------------------------------
--------¬
Комната: ¦ ¦
L--------
-----------T--¬
¦ремонт ¦\/¦
L----------+---
-------------------------------------------------T--¬
¦ ¦/\¦
¦ +--+
¦ +--+
¦ ¦ ¦
¦ ¦ ¦
Заявка: ¦ ¦ ¦
¦ ¦ ¦
¦ ¦ ¦
¦ +--+
¦ ¦\/¦
+--T--T---------------------------------------T--+--+
¦< ¦ ¦ ¦ >¦ ¦
L--+--+---------------------------------------+--+---
----------¬
¦Отправить¦
L----------
Приложение 2
к Регламенту
<Реквизиты подрядной организации, осуществляющей ремонт
персональных компьютеров и администрирование
ЛВС префектуры>
АКТ N ______
ОТ "___" __________ 2006 Г.
Заказчик:
Кабинет N ________
Ответственное лицо: ______________________________________________
(Ф.И.О.)
Исполнитель:
Ответственное лицо: ______________________________________________
Неисправность:
__________________________________________________________________
__________________________________________________________________
Выполненные работы:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Время проведения работ: с ___ до ___
с ___ до ___
с ___ до ___
Заказчик претензий по выполненной работе не имеет:
Заказчик: ___________________________
(подпись)
Исполнитель: ___________________________
(подпись)
Приложение 3
к Регламенту
УЧЕТНАЯ КАРТОЧКА ПОЛЬЗОВАТЕЛЯ ИР
--------------------------T----------------------------¬
¦ ¦Данные на момент регистрации¦
+-------------------------+----------------------------+
¦Фамилия, И.О.: ¦ ¦
+-------------------------+----------------------------+
¦Организация: ¦ ¦
+-------------------------+----------------------------+
¦Подразделение: ¦ ¦
+-------------------------+----------------------------+
¦Должность: ¦ ¦
+-------------------------+----------------------------+
¦Комната: ¦ ¦
+-------------------------+----------------------------+
¦Телефон/факс: ¦ ¦
+-------------------------+----------------------------+
¦Используемые СВТ: ¦ ¦
+-------------------------+----------------------------+
¦Используемая ИС 1 (код) ¦ ¦
¦<*>: ¦ ¦
+-------------------------+----------------------------+
¦Права доступа к ИС 1 <*>:¦ ¦
+-------------------------+----------------------------+
¦Используемая ИС 2 (код): ¦ ¦
+-------------------------+----------------------------+
¦Права доступа к ИС 2: ¦ ¦
+-------------------------+----------------------------+
¦... ¦ ¦
L-------------------------+-----------------------------
Сведения верны:
1.1. Начальник подразделения Ответственный по ЗИ
____________________________ ____________________________
(подпись, фамилия) (подпись, фамилия)
"___" ______________ 200_ г. "___" ______________ 200_ г.
--------------------------------
<*> Код и права доступа указываются в соответствии с
классификатором по Реестру информационных систем префектуры.
Приложение 4
к Регламенту
ФОРМА
ПРЕДСТАВЛЕНИЯ ДАННЫХ ОБ ИСПОЛНИТЕЛЯХ
ВО ВНЕШНИХ ОРГАНИЗАЦИЯХ
----------------------------T----------------------------¬
¦Ф.И.О.: ¦ ¦
+---------------------------+----------------------------+
¦Должность: ¦ ¦
+---------------------------+----------------------------+
¦Организация: ¦ ¦
+---------------------------+----------------------------+
¦Рассылать в подразделение: ¦ ¦
+---------------------------+----------------------------+
¦Пол: ¦ ¦
+---------------------------+----------------------------+
¦Тип: ¦ ¦
+---------------------------+----------------------------+
¦Телефон: ¦ ¦
+---------------------------+----------------------------+
¦Куратор: ¦ ¦
+---------------------------+----------------------------+
¦Адрес электронной почты: ¦ ¦
+---------------------------+----------------------------+
¦Ф.И.О. в дательном падеже: ¦ ¦
L---------------------------+-----------------------------
Приложение 2
к распоряжению префекта
Зеленоградского АО г. Москвы
от 30 июня 2006 г. N 686-рп
РЕГЛАМЕНТ
ПОДКЛЮЧЕНИЯ К РЕСУРСАМ ЕАС ДОУ ДОПОЛНИТЕЛЬНЫХ
АВТОМАТИЗИРОВАННЫХ РАБОЧИХ МЕСТ И ПРИНИМАЕМЫХ
НА РАБОТУ СОТРУДНИКОВ
1. Регламент подключения дополнительных рабочих станций
к ЕАС ДОУ префектуры Зеленоградского АО г. Москвы
1.1. Регистрация и подключение дополнительного рабочего места,
входящего в состав локальной сети префектуры, к ЕАС ДОУ
выполняется информационным администратором ЕАС ДОУ по заявке
руководителя соответствующего подразделения с визой начальника
отдела службы "одного окна" и информатизации.
1.2. Подключение дополнительного рабочего места к ЕАС ДОУ
префектуры осуществляется информационным администратором ЕАС ДОУ
при наличии технической возможности подключения.
1.3. Информационный администратор ЕАС ДОУ префектуры при
наличии физического соединения рабочего места с серверами
префектуры, на которых установлена ЕАС ДОУ префектуры, создает
учетную запись пользователя, работающего на данном рабочем месте,
почтовый ящик и выполняет настройку программного обеспечения для
подключения рабочего места к ЕАС ДОУ префектуры.
1.4. Доступ пользователя к работе в ЕАС ДОУ префектуры
производится после проверки информационным администратором
технической готовности рабочего места к работе в ЕАС ДОУ
префектуры.
1.5. Конфигурация рабочих мест, подключаемых к ресурсам ЕАС ДОУ
префектуры в части аппаратно-программного обеспечения, должна
соответствовать минимальным требованиям, выдвигаемым
разработчиками ЕАС ДОУ к конфигурации рабочей станции. Для
комфортной работы с системой рекомендуется использовать
оптимальную конфигурацию рабочей станции.
1.6. В соответствии с Указом Президента Российской Федерации N
611 от 12.05.2004 "О мерах по обеспечению информационной
безопасности Российской Федерации в сфере международного
информационного обмена" у сотрудников, использующих в своей работе
документы с грифом "Для служебного пользования" и выше, на рабочих
станциях должен быть отключен выход в сеть Интернет.
1.7. Для подключения к ЕАС ДОУ организаций, не входящих в
состав локальной сети префектуры, должно быть заключено соглашение
об информационном взаимодействии.
1.8. Под сторонними организациями подразумеваются органы
исполнительной власти, другие организации независимо от форм
собственности, участвующие в электронном документообороте с
префектурой.
1.9. Подключение сторонних организаций к ЕАС ДОУ префектуры
осуществляется через абонентский пункт, представляющий собой
комплекс средств автоматизации со средствами связи, позволяющий
осуществить доступ к локальной сети префектуры. В состав
абонентского пункта могут входить как автономные рабочие станции,
так и выделенные сегменты ЛВС сторонней организации.
1.10. Основным видом подключения абонентского пункта является
организация доступа к ЕАС ДОУ префектуры по выделенному каналу
связи.
1.11. На технических средствах должно быть установлено только
программное обеспечение, заявленное при обосновании необходимости
подключения.
1.12. На технических средствах в обязательном порядке должно
быть установлено лицензионное программное обеспечение антивирусной
защиты информации.
1.13. Подключение абонентского пункта к ЕАС ДОУ префектуры
должно осуществляться только через сертифицированный межсетевой
экран.
1.14. Правила фильтрации потоков, передаваемых через точку
подключения при информационном взаимодействии, должны быть
документально оформлены и подписаны ответственным за защиту
информации в префектуре.
1.15. Запрещается изменять правила фильтрации потоков без
документального оформления внесенных изменений.
1.16. Контроль над обеспечением информационной безопасности при
информационном взаимодействии абонентского пункта сторонней
организации с префектурой осуществляется ответственным за защиту
информации в префектуре.
1.17. Начальник отдела службы "одного окна" и информатизации
префектуры имеет право на приостановление или отказ в выдаче
разрешения на подключение к ЕАС ДОУ префектуры в случае
невыполнения сторонней организацией технических или
организационных условий, описанных в соглашении об информационном
взаимодействии.
1.18. О необходимости отключения абонентского пункта сторонней
организации от ЕАС ДОУ префектуры начальник отдела службы "одного
окна" и информатизации извещает руководство соответствующей
сторонней организации не позднее 1 (одной) недели до даты
отключения.
1.19. Отключение сторонней организации при нарушении последней
технических условий осуществляется в трехдневный срок со дня
письменного уведомления.
2. Регламент подключения к информационным ресурсам ЕАС ДОУ
префектуры Зеленоградского АО г. Москвы принимаемых
на работу сотрудников
2.1. Пользователями ЕАС ДОУ префектуры являются сотрудники
префектуры, а также сотрудники других организаций, участвующих в
электронном документообороте префектуры Зеленоградского АО г.
Москвы, и прошедшие установленную процедуру регистрации и обучения
в качестве пользователей.
2.2. В ходе регистрации за каждым пользователем закрепляются
имя, пароль, выделяется почтовый ящик, а также закрепляется одно
или несколько определенных рабочих мест в соответствии с заявкой
от руководителя структурного подразделения.
2.3. Регистрацию пользователя производит информационный
администратор ЕАС ДОУ на основании копии приказа о приеме
сотрудника на работу с визой начальника отдела службы "одного
окна" и информатизации.
2.4. Управление госслужбы и кадров не позднее одного дня после
приема сотрудника на работу передает начальнику службы "одного
окна" и информатизации копию приказа о приеме сотрудника на
работу.
2.5. Разграничение прав на доступ к информационным базам,
входящим в состав ЕАС ДОУ, для каждого нового пользователя системы
производится информационным администратором ЕАС ДОУ после
регистрации пользователя в системе на основании данных из таблицы
прав доступа, указанных непосредственным руководителем
структурного подразделения префектуры, в котором работает
пользователь, и согласованных с начальником отдела службы "одного
окна" и информатизации.
2.6. В случае изменения служебных обязанностей пользователя п.
2.5 настоящего Регламента повторяется. Предыдущая таблица
разграничения прав доступа аннулируется.
2.7. Информационный администратор ЕАС ДОУ префектуры хранит
копии документов о приеме сотрудников на работу, а также таблицы с
разграничением прав доступа с визами соответствующих
руководителей.
2.8. Регистрация пользователя ЕАС ДОУ префектуры аннулируется
информационным администратором ЕАС ДОУ:
- по письменному представлению руководителя структурного
подразделения префектуры, в котором работает пользователь, с визой
начальника службы "одного окна" и информатизации;
- в связи с прекращением трудовых или договорных отношений.
2.9. В случае прекращения регистрации пользователя в связи с
прекращением трудовых отношений руководитель структурного
подразделения, в котором работает пользователь, письменно извещает
об этом начальника службы "одного окна" и информатизации не менее
чем за неделю до даты увольнения.
2.10. Информационный администратор ЕАС ДОУ на основании
письменного извещения с визой начальника службы "одного окна" и
информатизации производит аннулирование регистрации пользователя
на следующий рабочий день после поступления приказа об увольнении
сотрудника.
Приложение 3
к распоряжению префекта
Зеленоградского АО г. Москвы
от 30 июня 2006 г. N 686-рп
РЕГЛАМЕНТ
ДОСТУПА В СЕРВЕРНЫЕ ПОМЕЩЕНИЯ ПРЕФЕКТУРЫ
ЗЕЛЕНОГРАДСКОГО АДМИНИСТРАТИВНОГО ОКРУГА Г. МОСКВЫ
1. Настоящий Регламент подготовлен в соответствии с
распоряжениями префекта от 01.07.2005 N 651-рп "О ходе работ по
созданию системы защиты информации", от 03.03.2006 N 228-рп "О
ходе работ по развитию электронного документооборота в системе
управления Зеленограда".
2. Настоящий Регламент определяет основные требования по
организации приема-сдачи под охрану серверных помещений в
префектуре Зеленоградского административного округа г. Москвы
(далее по тексту - Префектура).
3. Серверные помещения относятся к помещениям с ограниченным
доступом.
4. К серверным помещениям Префектуры во всех случаях относятся
помещения, где установлено серверное оборудование Префектуры.
5. В Префектуре размещение серверных помещений и их
оборудование должны соответствовать установленным нормам и
исключать возможность бесконтрольного проникновения в них
посторонних лиц и гарантировать сохранность находящегося в них
оборудования.
6. Входные двери серверных помещений должны быть прочными
(допускается изготовление внутренней металлической двери),
оборудуются замками, гарантирующими надежное закрытие помещений в
нерабочее время. Для контроля за входом устанавливаются кодовые
замки.
7. Размещение оборудования, технических средств в серверных
помещениях Префектуры должно соответствовать правилам техники
безопасности, санитарным нормам и отвечать требованиям пожарной
безопасности.
8. В серверные помещения Префектуры допускаются лица, которые
имеют прямое отношение к ведущимся в этих помещениях работам.
Перечень таких лиц утверждается префектом. Доступ других лиц в
серверные помещения Префектуры может быть разрешен только в случае
служебной необходимости заместителем префекта по направлению,
начальником отдела службы "одного окна" и информатизации.
9. Все работы в серверных помещениях могут проводиться только в
присутствии лиц по п. 8. Все проведенные работы на серверном или
коммутационном оборудовании, хозяйственные и ремонтные работы
фиксируются в журнале (форма приложения 2).
10. Уборка и другие необходимые хозяйственные работы в
серверных помещениях Префектуры производятся только в присутствии
работников в соответствии со списком по п. 8.
11. По окончании рабочего дня серверные помещения запираются и
опечатываются. При опечатывании мастика накладывается так, чтобы
исключить возможность ее снятия без повреждения оттиска. Пенал с
ключами от серверного помещения опечатывается той же печатью, что
и его входная дверь.
12. Сдача и получение опечатанных пеналов с ключами от
серверных помещений, а также вскрытие серверных помещений
производят работники, работающие в этих помещениях, по списку с
образцами подписей этих работников, которые находятся у охраны
здания Префектуры.
13. Опечатанные серверные помещения могут быть вскрыты только
лицами по п. 8. Списки таких лиц с образцами из подписей
утверждаются заместителем префекта по направлению и находятся у
охраны здания Префектуры.
14. При отсутствии лиц по п. 8 серверные помещения могут быть
вскрыты комиссией, созданной по указанию префекта, о чем
составляется акт.
15. Опечатанные пеналы с ключами от серверных помещений
хранятся в охране здания Префектуры таким образом, чтобы исключить
повреждение оттиска печати или утрату (хищение) пеналов.
16. Перед вскрытием серверных помещений должны быть проверены
целость оттисков печатей и исправность запоров. При обнаружении
нарушения целости оттисков печатей, повреждения запоров и других
признаков, указывающих на возможное проникновение в эти помещения
посторонних лиц, последние не вскрываются, а составляется акт, и о
случившемся немедленно ставятся в известность префект, заместитель
префекта по направлению, начальник первого отдела и начальник
службы "одного окна" и информатизации.
17. После вскрытия серверных помещений принимаются меры по
охране места происшествия, и до прибытия работников, указанных в
п. 16, в серверные помещения никто не допускается.
18. После опечатывания помещений сдача серверных помещений под
охрану и опечатанных пеналов с ключами от них производится под
запись в журнале (приложение 1).
19. При пожаре, аварии или стихийном бедствии дежурный по
Префектуре и работники охраны немедленно вызывают пожарную команду
или аварийно-спасательную службу, вызывают начальника отдела
службы "одного окна" и информатизации, ставят в известность
префекта, его заместителя, курирующего информатизацию, и принимают
меры к ликвидации пожара или аварии и спасению имущества
серверного помещения. В случае возможности коммутационные шкафы,
отдельные серверы отсоединяются от сетей и выносятся из серверного
помещения в безопасное место.
20. Серверные помещения должны быть в установленном порядке
обеспечены первичными и исправными средствами пожаротушения и
пожарной сигнализацией. Каждый работник в соответствии с перечнем
по п. 8 обязан уметь пользоваться первичными средствами
пожаротушения. Огнетушители должны своевременно проходить
соответствующую проверку годности.
Приложение 1
к Регламенту
ПРАВИТЕЛЬСТВО Г. МОСКВЫ
ПРЕФЕКТУРА ЗЕЛЕНОГРАДСКОГО АДМИНИСТРАТИВНОГО
ОКРУГА Г. МОСКВЫ
ЖУРНАЛ
ПРИЕМА (СДАЧИ) ПОД ОХРАНУ СЕРВЕРНЫХ ПОМЕЩЕНИЙ
И КЛЮЧЕЙ ОТ НИХ
Начат: "___" ______________ ____ г.
Окончен: "___" ____________ ____ г.
Срок хранения _____________________
-----------T----------------T---------------------T----------------T---------------¬
¦Порядковый¦Наименование ¦Наименования и ¦Дата и время ¦Фамилия и ¦
¦номер ¦серверных ¦номера печатей, ¦сдачи под охрану¦подпись лица, ¦
¦ ¦помещений, ¦которыми опечатаны ¦ ¦сдавшего под ¦
¦ ¦сдаваемых под ¦помещения, ¦ ¦охрану ¦
¦ ¦охрану, с ¦хранилища, пеналы с ¦ ¦ ¦
¦ ¦указанием ¦ключами ¦ ¦ ¦
¦ ¦ответственных ¦ ¦ ¦ ¦
¦ ¦лиц ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ 1 ¦ 2 ¦ 3 ¦ 4 ¦ 5 ¦
+----------+----------------+---------------------+----------------+---------------+
¦Образец заполнения ¦
+----------T----------------T---------------------T----------------T---------------+
¦1. ¦Помещение к. ¦ 34 ¦12.01.88, 18.30 ¦Петрова ¦
¦ ¦322А, ¦ ¦ ¦(подпись) ¦
¦ ¦отв. Петрова ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦2. ¦Пенал с ключами ¦ 32 ¦12.01.88, 18.45 ¦Федоров ¦
¦ ¦Федорова ¦ ¦ ¦(подпись) ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------+----------------+---------------------+----------------+---------------+
¦ ¦ ¦ ¦ ¦ ¦
L----------+----------------+---------------------+----------------+----------------
------------------------T----------------T------------------T------------¬
¦Фамилия и подпись ¦Дата и время ¦Фамилия и подпись ¦Примечание ¦
¦лица, принявшего под ¦вскрытия ¦лица, вскрывшего ¦ ¦
¦охрану ¦помещения, ¦помещение, ¦ ¦
¦ ¦хранилища, ¦получившего ключи ¦ ¦
¦ ¦получения ключей¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ 6 ¦ 7 ¦ 8 ¦ 9 ¦
+-----------------------+----------------+------------------+------------+
¦ ¦
+-----------------------T----------------T------------------T------------+
¦Макаров (подпись) ¦13.01.2006, 8.45¦Петрова (подпись) ¦ ¦
+-----------------------+----------------+------------------+------------+
¦Макаров (подпись) ¦13.01.2006, 8.47¦Семенов (подпись) ¦ ¦
+-----------------------+----------------+------------------+------------+
¦Макаров (подпись) ¦13.01.2006, 8.50¦Рыбакова (подпись)¦ ¦
+-----------------------+----------------+------------------+------------+
¦Макаров (подпись) ¦13.01.2006, 8.56¦Федоров (подпись) ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
+-----------------------+----------------+------------------+------------+
¦ ¦ ¦ ¦ ¦
L-----------------------+----------------+------------------+-------------
Приложение 2
к Регламенту
ПРАВИТЕЛЬСТВО Г. МОСКВЫ
ПРЕФЕКТУРА ЗЕЛЕНОГРАДСКОГО АДМИНИСТРАТИВНОГО
ОКРУГА Г. МОСКВЫ
ЖУРНАЛ
УЧЕТА РАБОТ В СЕРВЕРНОМ ПОМЕЩЕНИИ КОМН. N ___
Начат: "___" _____________ ____ г.
Окончен: "___" ___________ ____ г.
Срок хранения ____________________
-----------T------------T-----------------------T----------------T-------------------T-----------T--------------¬
¦Дата ¦Время ¦Ф.И.О. сотрудника, ¦Организация <*> ¦Проведенные работы ¦Подпись ¦Подпись ¦
¦ ¦входа/выхода¦телефон <*> ¦ ¦ ¦сотрудника ¦ответственного¦
¦ ¦ ¦ ¦ ¦ ¦ ¦за вход <*> ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦ 1 ¦ 2 ¦ 3 ¦ 4 ¦ 5 ¦ 6 ¦ 7 ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦01.03.2006¦16.00-17.00 ¦Осипов Г.И., 111-11-11 ¦ФХУ Мэрии Москвы¦Проверка работы ¦Осипов ¦Манухин ¦
¦ ¦ ¦ ¦ ¦телефонной станции ¦ ¦ ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+----------+------------+-----------------------+----------------+-------------------+-----------+--------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
L----------+------------+-----------------------+----------------+-------------------+-----------+---------------
--------------------------------
<*> Заполняется в случае доступа лиц, отсутствующих в списке,
утвержденном префектом.
Ведение журнала контролируется начальником отдела службы
"одного окна" и информатизации Коробовой А.Н. путем еженедельного
визирования в графе 7.
Приложение 4
к распоряжению префекта
Зеленоградского АО г. Москвы
от 30 июня 2006 г. N 686-рп
ПОЛОЖЕНИЕ
О РЕЕСТРЕ ИНФОРМАЦИОННЫХ РЕСУРСОВ И СИСТЕМ ПРЕФЕКТУРЫ
ЗЕЛЕНОГРАДСКОГО АДМИНИСТРАТИВНОГО ОКРУГА ГОРОДА МОСКВЫ
1. Общие положения
1.1. Реестр информационных ресурсов и систем префектуры
Зеленоградского административного округа города Москвы (далее -
Реестр) является внутренним информационным ресурсом префектуры
Зеленоградского административного округа города Москвы.
1.2. Реестр ведет отдел службы "одного окна" и информатизации
префектуры или назначенный в установленном порядке оператор
Реестра (далее - Оператор Реестра) в целях учета и контроля.
1.3. Настоящее Положение определяет:
- состав Реестра;
- порядок и условия учета в Реестре;
- порядок доступа к сведениям, содержащимся в Реестре;
- задачи и функции Оператора ведения Реестра.
1.4. Объектами учета Реестра являются:
- информационные ресурсы и системы, находящиеся полностью или
частично в собственности г. Москвы и установленные в префектуре
Зеленограда.
2. Состав Реестра
2.1. В состав Реестра входят:
- совокупность реестровых дел объектов учета;
- информационные ресурсы Реестра (база данных).
2.2. В реестровых делах учитываются и хранятся копии
регистрационных, правоустанавливающих и других документов, а также
изменения к ним, договоры и иные решения лиц, реализующих
правомочия собственника информационных ресурсов и (или) систем,
устанавливающие права и обязанности операторов информационных
систем, порядок доступа к соответствующим информационным ресурсам,
статус информационных ресурсов и (или) систем как первичного или
вторичного источника информации. Документы хранятся в электронном
и/или бумажном виде.
2.3. Объекты учета, указанные в пункте 1.4 настоящего
Положения, подлежат обязательному учету путем регистрации в
Реестре.
2.4. Учету подлежат объекты любой тематической направленности,
назначения и структуры, не содержащие сведения, отнесенные в
установленном порядке к государственной тайне.
2.5. На основании Реестра ИР префектуры формируется документ
"Классификатор ИР, используемых в префектуре", этот документ
доводится до всех подразделений префектуры путем размещения на
внутреннем портале префектуры и служит справочником при
составлении заявок на оснащение рабочих станций программным
обеспечением и допуска пользователей к АРМ. Форма ведения
Классификатора приведена в приложении 1.
3. Порядок и условия учета информационных ресурсов и систем
3.1. Учет информационных систем и ресурсов осуществляется путем
их регистрации в Реестре на этапах создания информационных систем,
формирования информационных ресурсов и после их ввода в действие
(в эксплуатацию).
3.2. Регистрация осуществляется:
- предварительная (временная) - после принятия решения о
создании информационной системы и (или) формировании
информационного ресурса (заключение договора на создание или
поставку информационной системы и (или) ресурса);
- постоянная - после ввода в действие (в эксплуатацию)
информационной системы и (или) ресурса.
3.3. Для регистрации в Реестре информационного ресурса и (или)
системы заявители должны представить комплект документов в
следующем составе:
- заявление в адрес Оператора Реестра, подписанное
руководителем структурного подразделения префектуры, где
устанавливается информационная система;
- описание информационного ресурса и (или) системы (паспорт);
- копия документа (документов) - основания для создания
информационной системы и (или) формирования информационного
ресурса (постановление, распоряжение, приказ, договор, иное
основание).
Для постоянной регистрации:
- контактные данные разработчика и эксплуатирующей организации
ИРиС;
- технические требования, технические задания, частные
технические задания, инструкции пользователя информационной
системы.
3.4. Рассмотрение заявления и прилагаемых документов
осуществляется в 15-дневный срок с момента их представления
Оператору Реестра, в течение которого заявитель информируется о
регистрации в Реестре или невозможности внесения в Реестр.
В случае отказа во внесении в Реестр заявителю направляется
мотивированный отказ в письменной форме.
3.5. В процессе регистрации Оператор Реестра имеет право
потребовать дополнительные документы, а заявитель обязан
представить указанные документы.
3.6. Оператор Реестра имеет право отказать в регистрации в
следующих случаях:
- несоответствия представленных документов и содержащихся в них
сведений требованиям законодательства, другим установленным
требованиям и положениям настоящего документа;
- недостоверности представленной информации.
3.7. Любые изменения в составе и объеме прав на информационные
ресурсы и системы подлежат обязательному учету в Реестре путем
представления Оператору Реестра измененных правоустанавливающих и
распорядительных документов, на основании которых указанные
изменения произведены.
4. Порядок доступа к сведениям, содержащимся в Реестре
4.1. Сведения о составе информационных ресурсов, информационных
систем являются открытыми и могут подлежать представлению в сети
Интернет.
4.2. Классификатор ИР, используемых в префектуре, доводится до
всех подразделений префектуры путем размещения на внутреннем
портале префектуры.
4.3. Порядок доступа к другой информации, содержащейся в
Реестре, определяется Оператором Реестра.
Приложение 1
к Положению
ФОРМА
РЕЕСТРА ИНФОРМАЦИОННЫХ СИСТЕМ И РЕСУРСОВ ПРЕФЕКТУРЫ
ЗЕЛЕНОГРАДСКОГО АО Г. МОСКВЫ
(С ПРИМЕРОМ ЗАПОЛНЕНИЯ)
-----T-------------------------------T--------------------------------T--------¬
¦N ¦Полное наименование ИСиР ¦Группы прав доступа ¦Маркер ¦
¦п/п ¦ ¦ ¦<*> ¦
+----+-------------------------------+--------------------------------+--------+
¦1. ¦Серверное ПО ¦Администратор ¦О001 ¦
¦ ¦ ¦Пользователь ¦ ¦
+----+-------------------------------+--------------------------------+--------+
¦2. ¦Программные продукты Microsoft:¦ ¦ ¦
¦ ¦Microsoft Windows 2003 Server ¦Администратор ¦О002 ¦
¦ ¦Microsoft Windows 2000 Server ¦Пользователь ¦О00З ¦
¦ ¦Microsoft Windows 98SE ¦ ¦О004 ¦
¦ ¦Microsoft Windows XP ¦ ¦О005 ¦
¦ ¦Microsoft Office XP ¦ ¦П001 ¦
+----+-------------------------------+--------------------------------+--------+
¦3. ¦Lotus Domino ¦ ¦П002 ¦
+----+-------------------------------+--------------------------------+--------+
¦4. ¦Lotus Notes ¦ ¦П003 ¦
+----+-------------------------------+--------------------------------+--------+
¦5. ¦Модель "Распоряжения префекта" ¦"На просмотр". Предназначен для ¦А001 ¦
¦ ¦единой автоматизированной ¦специалистов, не принимающих ¦ ¦
¦ ¦системы документационного ¦участие в системе электронного ¦ ¦
¦ ¦обеспечения управления (ЕАС ¦документооборота. Позволяет ¦ ¦
¦ ¦ДОУ) ¦просматривать информацию в ¦ ¦
¦ ¦ ¦регистрационных карточках, ¦ ¦
¦ ¦ ¦поручениях, пунктах, ¦ ¦
¦ ¦ ¦прикрепленных файлах. Не ¦ ¦
¦ ¦ ¦позволяет изменять информацию ¦ ¦
¦ ¦ +--------------------------------+ ¦
¦ ¦ ¦"Исполнитель". Имеет доступ к ¦ ¦
¦ ¦ ¦полям "ответ" и "файл" с ответом¦ ¦
¦ ¦ ¦карточек назначенных ему ¦ ¦
¦ ¦ ¦поручений. В карточках ¦ ¦
¦ ¦ ¦назначаемых им поручений имеет ¦ ¦
¦ ¦ ¦полный доступ. В карточках ¦ ¦
¦ ¦ ¦поручений, назначенных другим ¦ ¦
¦ ¦ ¦исполнителям, имеет доступ ¦ ¦
¦ ¦ ¦только на просмотр. В первичных ¦ ¦
¦ ¦ ¦регистрационных карточках имеет ¦ ¦
¦ ¦ ¦доступ только на просмотр, ¦ ¦
¦ ¦ ¦включая прикрепленные файлы ¦ ¦
¦ ¦ +--------------------------------+ ¦
¦ ¦ ¦"Регистратор". Позволяет ¦ ¦
¦ ¦ ¦создавать и редактировать ¦ ¦
¦ ¦ ¦первичные регистрационные ¦ ¦
¦ ¦ ¦карточки. Имеет полный или ¦ ¦
¦ ¦ ¦ограниченный доступ к ¦ ¦
¦ ¦ ¦редактированию первичных ¦ ¦
¦ ¦ ¦документов ¦ ¦
+----+-------------------------------+--------------------------------+--------+
¦6. ¦ГИС "Зеленоград" - web-версия ¦ ¦А002 ¦
+----+-------------------------------+--------------------------------+--------+
¦7. ¦ГИС "Зеленоград" - клиент- ¦ ¦А003 ¦
¦ ¦серверная версия ¦ ¦ ¦
+----+-------------------------------+--------------------------------+--------+
¦8. ¦"Консультант+" ¦ ¦К001 ¦
+----+-------------------------------+--------------------------------+--------+
¦9. ¦"Парус" ¦ ¦Б004 ¦
+----+-------------------------------+--------------------------------+--------+
¦10. ¦СИОПР ¦ ¦Б005 ¦
+----+-------------------------------+--------------------------------+--------+
¦11. ¦"Кадры государственной службы" ¦ ¦Б006 ¦
+----+-------------------------------+--------------------------------+--------+
¦12. ¦"Служебная корреспонденция" ¦ ¦Б007 ¦
¦ ¦(ДОС) ¦ ¦ ¦
+----+-------------------------------+--------------------------------+--------+
¦13. ¦БД учета садоводов и ¦ ¦А001 ¦
¦ ¦огородников ¦ ¦ ¦
+----+-------------------------------+--------------------------------+--------+
¦14. ¦"Управление бюджетным ¦ ¦Б008 ¦
¦ ¦процессом" ¦ ¦ ¦
+----+-------------------------------+--------------------------------+--------+
¦15. ¦"Смета 2000" ¦ ¦Б009 ¦
+----+-------------------------------+--------------------------------+--------+
¦16. ¦... ¦ ¦ ¦
L----+-------------------------------+--------------------------------+---------
--------------------------------
<*> Для классификации используются следующие группы:
А - ПО, разработанное по заказу префектуры;
Б - ПО, разработанное по заказу департаментов и комитетов Мэрии
Москвы, других организаций, кроме ОС, офисного и прикладного ПО;
Д - драйверы, системные утилиты и др. системные приложения;
К - электронная документация, электронные библиотеки и другие
информационные данные, нормативные сборники;
О - ОС и системное ПО;
П - офисное и другое прикладное ПО;
Я - среды программирования.
Далее указывается порядковый номер в группе.
Приложение 5
к распоряжению префекта
Зеленоградского АО г. Москвы
от 30 июня 2006 г. N 686-рп
ПОЛОЖЕНИЕ
О ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ И РЕСУРСАХ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ И
БЮДЖЕТНОЙ СФЕРЫ ЗЕЛЕНОГРАДСКОГО АДМИНИСТРАТИВНОГО
ОКРУГА ГОРОДА МОСКВЫ
Общие положения
1.1. Защита информации информационных систем и ресурсов органов
исполнительной власти (ОИВ) и бюджетных организаций
Зеленоградского административного округа города Москвы является
составной частью мероприятий, проводимых в рамках информатизации
органов государственного управления города Москвы, муниципальных
образований города, организаций и предприятий города Москвы, и
осуществляется в соответствии с законодательством и требованиями
нормативно-технических документов в области защиты информации.
1.2. Положение устанавливает:
- объекты защиты информации и субъекты доступа к информации
информационных систем и ресурсов ОИВ Зеленоградского АО города
Москвы (ИСиР);
- основные требования по защите информации ИСиР;
- общие требования по организации работ по обеспечению защиты
информации ИСиР;
- основные положения по обеспечению контроля соответствия
требованиям по защите информации ИСиР.
Организация и контроль защиты информации ИСиР рассматриваются в
Положении с учетом задач обеспечения информационной безопасности,
определенных Доктриной информационной безопасности Российской
Федерации (введена Указом Президента РФ от 09.09.2000 N Пр-1895).
1.3. Информационные системы и информационные ресурсы
рассматриваются в Положении как автоматизированные системы <1>
(АС).
--------------------------------
<1> Согласно нормативным документам ФСТЭК России требования по
защите информации предъявляются к объектам информатизации, одним
из которых является АС.
Термины и определения, используемые в Положении, приведены в
проекте норматива "Информационная безопасность информационных
систем и ресурсов органов исполнительной власти и организаций
города Москвы. Термины и определения".
При подготовке Положения использованы проект нормативно-
технического документа "Информационная безопасность информационных
систем и ресурсов органов исполнительной власти и организаций
города Москвы. Нормативные документы", проект Перечня
конфиденциальной информации органов исполнительной власти и
организаций города Москвы (классификатор конфиденциальной
информации), проект Положения о защите информации, обрабатываемой
в информационных системах и ресурсах органов исполнительной власти
города Москвы.
1.4. Действие Положения распространяется на организацию работ
по защите открытой и конфиденциальной информации. Положение не
распространяется на работы по защите информации, составляющей
государственную тайну, организация защиты которой регламентируется
действующим законодательством и соответствующими нормативными
документами.
1.5. Требования данного Положения обязательны для выполнения
всеми органами исполнительной власти Зеленоградского АО города
Москвы, муниципальными образованиями, городскими организациями и
предприятиями, являющимися собственностью города Москвы,
расположенными на территории Зеленограда.
Проведение любых работ по созданию и эксплуатации АС без
принятия необходимых мер по защите информации, определенных
настоящим Положением, не допускается.
Объекты защиты
2.1. Защите подлежит информация, имеющая различную структуру и
обрабатываемая средствами вычислительной техники, представленная в
виде информативных электрических сигналов, физических полей,
носителей на бумажной, магнитной, магнитно-оптической и иной
основе.
Объектами защиты при этом являются:
- открытая, общедоступная информация;
- информация ограниченного доступа - конфиденциальная
информация, в том числе информация, содержащая служебную тайну,
коммерческую тайну, профессиональную тайну и персональные данные;
- АС различного уровня и назначения на базе средств
вычислительной техники, средства и системы связи и передачи данных
в АС, программные средства (операционные системы, системы
управления базами данных, другое общесистемное и прикладное
программное обеспечение), используемые для сбора, хранения,
обработки и передачи информации, средства защиты информации, на
которых осуществляется сбор, обработка и хранение информации.
2.2. Определение и категорирование подлежащей защите информации
осуществляют государственные заказчики (заказчики) создания и
эксплуатации АС в соответствии с действующим законодательством на
основании Перечня сведений конфиденциального характера органов
исполнительной власти и организаций города Москвы.
Цели защиты информации
3.1. Цели защиты ИСиР состоят в обеспечении:
- конфиденциальности информации (защите от утечки, разглашения
информации ограниченного доступа);
- целостности информации (защите информации от искажения и
уничтожения);
- доступности информации (защите от блокировки доступа к
информации пользователей).
3.2. Защита информации ИСиР обеспечивается реализацией
комплекса программно-аппаратных средств и организационных
мероприятий по противодействию потенциальным угрозам, которые
направлены на объект защиты и могут нанести ущерб собственнику или
владельцу информации. Основные виды угроз информационной
безопасности ИСиР приведены в приложении 1.
Конкретная АС как объект защиты характеризуется своей
совокупностью угроз, зависящей от условий, в которых создается или
функционирует система, и имеет уязвимости, используя которые могут
быть реализованы угрозы и нарушена защита.
3.3. Государственный заказчик создания (эксплуатации) АС (далее
- госзаказчик) на основании настоящего Положения и других
руководящих документов по информационной безопасности должен
выполнить комплекс мероприятий по защите информации
соответствующей категории исходя из требуемого уровня
информационной безопасности объекта защиты, задаваемого при
создании (проектировании) АС.
Основные требования по защите информации
4.1. Требования по защите информации должны основываться на
положениях Федерального закона "Об информации, информатизации и
защите информации", Специальных требований и рекомендаций по
технической защите конфиденциальной информации (СТР-К), Закона
города Москвы от 24.10.2001 N 52 "Об информационных ресурсах и
информатизации города Москвы", других правовых и нормативно-
технических документов по защите информации.
4.2. В зависимости от состава (категории) информации и
потенциальных угроз для определения требуемых мероприятий по
защите информации, а также для минимизации затрат на защиту
информации устанавливаются два уровня информационной безопасности
АС:
1. Базовый уровень информационной безопасности АС.
2. Уровень информационной безопасности АС для конфиденциальной
информации.
Первый (базовый) уровень информационной безопасности
устанавливается для АС, в которых обрабатывается общедоступная
информация. Второй уровень - для АС, в которых обрабатывается
конфиденциальная информация.
4.3. Конкретные требования по защите информации и мероприятия
по их выполнению определяются для АС в целом в зависимости от
уровня информационной безопасности, устанавливаемого объекту
защиты в соответствии с Методическими рекомендациями по
формированию требований к обеспечению информационной безопасности
ИСиР.
Организация работ по защите информации
5.1. Защита информации в АС различного уровня и назначения
является неотъемлемой составной частью научной, производственной и
управленческой деятельности заказчиков создания (эксплуатации)
ИСиР и должна осуществляться во взаимосвязи с другими мерами по
защите информации.
Организация защиты информации органов исполнительной власти и
бюджетных организаций Зеленоградского АО города Москвы включает
два уровня:
- уровень единой информационной среды органов исполнительной
власти и организаций Зеленограда;
- уровень организации (органа исполнительной власти,
учреждения, предприятия).
Госзаказчики организуют защиту информации на уровне
организации.
5.2. Основными задачами обеспечения защиты информации ИСиР на
уровне единой информационной среды Зеленограда являются:
- формирование технической политики в области защиты
информационно-коммуникационных технологий (ИКТ);
- координация деятельности органов власти Зеленограда в сфере
защиты информации ИСиР и оценка эффективности принимаемых мер;
- взаимодействие с уполномоченными федеральными и региональными
государственными органами в области защиты информации;
- организация исследований и анализа состояния защиты
информации города;
- координация межрегиональной и международной деятельности по
обеспечению защиты информации ИСиР;
- организация учета конфиденциальной информации ИСиР;
- организация мониторинга и контроля эффективности защиты
информации ИСиР в органах исполнительной власти и организациях
Зеленограда;
- организация обеспечения защиты информации ИСиР на уровне
городской инфраструктуры и обмена информацией в единой
информационной среде органов исполнительной власти и организаций
города Москвы;
- создание и обеспечение функционирования инфраструктурных
компонент системы защиты информации Зеленограда (центров
компетенции: удостоверяющих центров, центров резервного хранения
данных, центров мониторинга событий безопасности и других
объектов).
Деятельность по обеспечению защиты информации ИСиР
координируется уполномоченным органом управления информатизации
города Москвы. Ответственные за обеспечение информационной
безопасности назначаются в каждом ОИВ. Научно-методическое
руководство работами по созданию и развитию систем защиты
информации осуществляет генеральный конструктор городской целевой
программы "Электронная Москва".
5.3. Госзаказчики и другие организации, имеющие доступ в ИСиР,
должны решать следующие задачи по защите информации:
- планирование работ по созданию и совершенствованию систем
защиты информации на конкретных объектах информатизации;
- управление защитой информации на конкретных объектах
информатизации;
- анализ и прогнозирование потенциальных угроз для конкретных
объектов информатизации;
- оценка возможного ущерба от реализации угроз;
- реализация политики города Москвы;
- контроль эффективности принимаемых защитных мер и разбор
случаев нарушения.
5.4. На уровне организации ответственность за обеспечение
защиты ИСиР возлагается на руководителей органов исполнительной
власти и руководителей организаций.
Для обеспечения информационной безопасности ИСиР в органах
исполнительной власти Зеленограда создаются службы (подразделения)
информационной безопасности или назначаются должностные лица,
ответственные за обеспечение информационной безопасности органа
власти, его подразделений и организаций, находящихся в его
юрисдикции (далее - подразделение ИБ). При необходимости такие
подразделения могут создаваться в организации.
Подразделение ИБ подчиняется непосредственно руководителю
организации или его заместителю.
Специалисты подразделения ИБ должны иметь необходимую
квалификацию в области информационной безопасности и проходить
периодическую переподготовку (повышение квалификации) в
соответствии с программами послевузовского профессионального
образования.
Для проведения работ по созданию и эксплуатации системы защиты
информации АС могут привлекаться Центр компетенции и другие
специализированные организации (предприятия), имеющие лицензии на
право проведения работ в области защиты информации.
5.5. Подразделение ИБ осуществляет свою деятельность в
соответствии с Положением о подразделении информационной
безопасности и выполняет следующие задачи по обеспечению защиты
информации:
- реализация технической политики и политики информационной
безопасности Зеленограда, а также рекомендаций вышестоящих органов
по защите информации;
- координация работ по защите информации в подразделениях
организации;
- прогнозирование, выявление и анализ угроз информации и
принятие эффективных мер противодействия угрозам;
- планирование, разработка и реализация предложений по
организации и совершенствованию системы защиты информации;
- контроль за установкой, настройкой и сопровождением средств
защиты информации;
- контроль выполнения положений политики информационной
безопасности Зеленограда сотрудниками организации;
- участие в комиссиях по расследованию случаев нарушения
информационной безопасности.
5.6. В соответствии с проектными решениями системы защиты
информации АС или по решению руководителя органа исполнительной
власти (организации) для организации комплексной защиты процесса
обработки информации ИСиР может быть создана служба комплексного
администрирования ИСиР, состав и функции которой приведены в
приложении 4.
5.7. Должностные лица, специалисты и граждане, имеющие права
доступа к информационным системам и ресурсам Зеленограда, несут
ответственность в соответствии с действующим законодательством
и/или условиями договора, трудового соглашения (контракта) за
нарушение порядка обращения с информационными ресурсами или
документами, содержащими конфиденциальную информацию, разглашение
конфиденциальной информации, нарушения требований нормативных
документов, а также за иные действия, направленные на нарушение
защищенности информации и требований по защите информации.
Комплекс работ по обеспечению защиты информации
6.1. Мероприятия по защите информации должны выполняться на
всех этапах жизненного цикла ИСиР (предпроектная стадия,
разработка проекта, ввод в действие, эксплуатация, снятие с
эксплуатации и утилизация). Меры защиты информации ограниченного
распространения приведены в приложении 2.
Общий порядок организации работ по созданию и эксплуатации АС и
ее системы защиты информации определяется в приложении 3. Более
подробно организация работ определена в Положении о порядке
организации и проведения работ по защите информации при ее
автоматизированной обработке.
6.2. Госзаказчики в соответствии с нормативно-техническими
документами, регламентирующими порядок создания и ввода в действие
автоматизированных систем, должны обеспечить выполнение следующих
мероприятий в области защиты информации:
6.2.1. На предпроектной стадии создания ИСиР различного уровня
и назначения (доработки системы в части обеспечения защиты
информации) проводится обследование ИСиР и выполняются следующие
работы:
- категорирование информации, циркулирующей в системе,
построение модели объекта защиты;
- разработка и анализ моделей угроз, уязвимостей ИСиР, способов
их нейтрализации, задание уровня информационной безопасности АС;
- разработка концептуальных (стратегических) подходов к
организации защиты объекта применительно к условиям
жизнедеятельности данной организации, тактики обеспечения
информационной безопасности организации (организационных и
технических решений по защите объекта, реализующих безопасный
режим работы), технических требований к защите информации ИСиР и
технических заданий.
Выполнение работ предпроектной стадии осуществляется на основе
Концепции информационной безопасности в органах исполнительной
власти города Москвы, опыта исследований и разработок по планам
городской целевой программы "Электронная Москва", данного
Положения.
Документы предпроектной стадии (ТЗ, ТТ) должны быть согласованы
с генеральным конструктором ГЦП "Электронная Москва".
6.2.2. На стадии проектирования ИСиР (доработки, модификации)
выполняются следующие работы:
- разработка (эскизное, техническое и рабочее проектирование)
проектных решений по обеспечению защиты информации ИСиР, средств
защиты информации исходя из заданного уровня информационной
безопасности ИСиР;
- реализация системы мероприятий по обнаружению, локализации,
нейтрализации воздействия угроз безопасности информации и
устранению уязвимостей;
- реализация плана организационно-технических мероприятий по
подготовке объекта информатизации к внедрению, включая определение
подразделений и лиц, ответственных за эксплуатацию средств защиты
информации, разработку организационно-распорядительных документов,
обучение назначенных лиц специфике работ по защите информации при
эксплуатации объекта информатизации.
Проектирование системы защиты информации объекта должно
выполняться в соответствии с Положением о порядке разработки
систем защиты информации в автоматизированных системах города
Москвы и, как правило, должно осуществляться на основе типовых
проектных решений по защите информации ИСиР, реализуемых по планам
мероприятий городской целевой программы "Электронная Москва".
Проектные решения должны быть согласованы с генеральным
конструктором ГЦП "Электронная Москва".
6.2.3. На стадии ввода в действие ИСиР выполняются следующие
работы:
- опытная эксплуатация средств защиты информации в комплексе с
другими техническими и программными средствами в целях проверки их
работоспособности в составе ИСиР;
- приемо-сдаточные испытания средств защиты информации;
- проведение аттестации объектов информатизации (ИСиР) в
соответствии с действующими нормативно-техническими документами.
Аттестация АС на соответствие требованиям безопасности
проводится в соответствии с Положением по аттестации АС города
Москвы по требованиям безопасности информации комиссией с
привлечением необходимых специалистов или аккредитованными в
установленном порядке органами по аттестации в соответствии с
закрепленной Аттестатом аккредитации за этим органом области
аккредитации.
6.2.4. Эксплуатация ИСиР осуществляется в соответствии с
утвержденной организационно-распорядительной и эксплуатационной
документацией, подготовленной с учетом требований Положения о
порядке проведения эксплуатации систем защиты информации в АС
города Москвы. На объектах защиты в процессе эксплуатации ведутся
мониторинг и контроль состояния защищенности, выполняются
необходимые доработки и модернизация ИСиР.
6.3. Состав и содержание работ, проектной, проектно-сметной и
эксплуатационной документации на каждой из стадий жизненного цикла
ИСиР определяются действующими нормативно-техническими документами
и договорами на выполнение работ. Состав нормативных и
организационно-распорядительных документов, регламентирующих
процессы защиты информации на стадиях жизненного цикла системы
информационной безопасности, приведены в таблице 1.
Контроль состояния защиты информации
7.1. Мониторинг и контроль состояния защиты информации в ИСиР
(далее - контроль) осуществляются с целью своевременного выявления
и предотвращения утечки, несанкционированного доступа к
информации, преднамеренных программно-технических воздействий на
объект защиты.
Контроль состояния защиты информации и оценка эффективности
средств защиты являются неотъемлемой составной частью работ по
защите информации при создании и эксплуатации ИСиР.
Основными задачами контроля являются проверка соответствия
принятых и принимаемых мер по защите информации требованиям
настоящего Положения и других требований по обеспечению
информационной безопасности в ИСиР, проверка своевременности и
полноты выполнения требований нормативных документов,
регламентирующих организацию и порядок осуществления мероприятий
по защите информации.
Таблица 1
РАЗРАБОТКА ДОКУМЕНТОВ ПО СТАДИЯМ СОЗДАНИЯ СИСТЕМЫ
---------------T-------------------------------T--------------------------------------¬
¦Стадия ¦Наименование документов ¦Документы политики Правительства ¦
¦ ¦ ¦г. Москвы по информационной ¦
¦ ¦ ¦безопасности, являющиеся основанием ¦
¦ ¦ ¦для разработки ¦
+--------------+-------------------------------+--------------------------------------+
¦Предпроектная ¦- Перечень сведений ¦- Положение о защите информации в ¦
¦стадия ¦конфиденциального характера, ¦ИСиР; ¦
¦ ¦обрабатываемых в ИСиР; ¦- Положение о порядке организации и ¦
¦ ¦- аналитическое обоснование ¦проведения работ по защите информации ¦
¦ ¦необходимости создания системы ¦при ее автоматизированной обработке; ¦
¦ ¦защиты информации (СЗИ); ¦- Положение о порядке разработки ¦
¦ ¦- модель угроз; ¦систем защиты информации в ¦
¦ ¦- политика безопасности ¦автоматизированных системах города ¦
¦ ¦организации; ¦Москвы; ¦
¦ ¦- техническое задание на ¦- Методические рекомендации по ¦
¦ ¦разработку СЗИ ¦формированию требований к обеспечению ¦
¦ ¦ ¦информационной безопасности ИСиР; ¦
¦ ¦ ¦- Перечень сведений конфиденциального ¦
¦ ¦ ¦характера ¦
+--------------+-------------------------------+--------------------------------------+
¦Стадия ¦- эскизный проект СЗИ; ¦- Положение о защите информации в ¦
¦проектирования¦- технорабочий проект СЗИ; ¦ИСиР; ¦
¦и разработки ¦- инструкции и руководства по ¦- Положение о порядке организации и ¦
¦ ¦эксплуатации средств защиты ¦проведения работ по защите информации ¦
¦ ¦информации ¦при ее автоматизированной обработке; ¦
¦ ¦ ¦- Положение о порядке разработки ¦
¦ ¦ ¦систем защиты информации в ¦
¦ ¦ ¦автоматизированных системах города ¦
¦ ¦ ¦Москвы ¦
+--------------+-------------------------------+--------------------------------------+
¦Стадия ввода в¦- Программа и методика ¦- Положение о защите информации в ¦
¦действие ¦испытаний; ¦ИСиР; ¦
¦ ¦- акт внедрения системы защиты ¦- Положение о порядке организации и ¦
¦ ¦информации по результатам их ¦проведения работ по защите информации ¦
¦ ¦приемо-сдаточных испытаний; ¦при ее автоматизированной обработке; ¦
¦ ¦- протокол испытаний; ¦- Положение о порядке разработки ¦
¦ ¦- аттестат соответствия объекта¦систем защиты информации в ¦
¦ ¦информатизации требованиям по ¦автоматизированных системах города ¦
¦ ¦безопасности информации ¦Москвы; ¦
¦ ¦ ¦- Положение по аттестации АС города ¦
¦ ¦ ¦Москвы по требованиям безопасности ¦
¦ ¦ ¦информации ¦
+--------------+-------------------------------+--------------------------------------+
¦Стадия ¦- планы работ по контролю ¦- Положение о защите информации в ¦
¦эксплуатации ¦эффективности защиты информации¦ИСиР; ¦
¦ ¦и поддержанию системы защиты; ¦- Положения о порядке проведения ¦
¦ ¦- план действий во внештатных ¦эксплуатации систем защиты информации ¦
¦ ¦ситуациях ¦в АС города Москвы; ¦
¦ ¦ ¦- Положение по аттестации АС города ¦
¦ ¦ ¦Москвы по требованиям безопасности ¦
¦ ¦ ¦информации; ¦
¦ ¦ ¦- Положение о порядке проведения ¦
¦ ¦ ¦контроля защищенности АС г. Москвы ¦
L--------------+-------------------------------+---------------------------------------
7.2. На объектах защиты (ИСиР) Зеленограда должны
осуществляться следующие виды контроля:
- плановый - осуществляется специально назначенными
руководителем органа исполнительной власти (организации)
должностными лицами или комиссиями в соответствии с планом
контроля эффективности мер защиты информации, а также перед вводом
технических и программных средств в эксплуатацию;
- внеплановый - осуществляется специально назначенной комиссией
по распоряжению руководителя организации (учреждения) или
вышестоящего органа.
Аттестация объектов информатизации (аттестационный контроль)
осуществляется органом исполнительной власти (организацией),
органами государственной власти, аккредитованными ими
организациями (центрами компетенции) с периодичностью, указанной в
аттестате соответствия, или по заявкам организаций при изменении
условий, указанных в Аттестате соответствия.
7.3. Контроль состояния защиты информации при создании и
эксплуатации организуется руководителями организации (предприятий)
и осуществляется подразделением ИБ при участии центра компетенции
в соответствии с Положением о порядке проведения контроля
защищенности АС города Москвы.
Оценка эффективности мер защиты информации должна производиться
с использованием соответствующих технических средств и методик
контроля. Мониторинг событий информационной безопасности ИСиР
осуществляется централизованно на средствах Центра мониторинга -
компоненты инфраструктуры комплексной системы информационной
безопасности города Москвы.
Несоответствие мер установленным требованиям или нормам по
защите информации является нарушением.
7.4. При нарушении, связанном с невыполнением (ненадлежащим
выполнением) требований или норм по защите информации, в
результате чего создана предпосылка, имелась или имеется реальная
возможность нарушения нормального состояния информационной
безопасности системы, руководитель организации обязан:
- немедленно прекратить работы на участке (рабочем месте), где
обнаружены нарушения, и принять меры по их устранению;
- организовать в установленном порядке расследование причин и
условий появления нарушений с целью недопущения их в дальнейшем и
привлечения к ответственности виновных лиц;
- сообщить в уполномоченный орган управления информатизацией
города Москвы и в вышестоящий орган управления города о вскрытых
нарушениях и принятых мерах по их устранению.
Возобновление работ разрешается после устранения нарушений и
проверки достаточности и эффективности принятых мер. Контроль за
устранением нарушений осуществляется уполномоченным органом
управления информатизацией города Москвы. Результаты контроля
оформляются актами, заключениями и записями в специальных
журналах.
Приложение 1
к Положению
ОСНОВНЫЕ ВИДЫ УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основными видами угроз информационной безопасности ИСиР
являются: противоправные действия третьих лиц, ошибочные действия
пользователей и обслуживающего персонала, отказы и сбои
программных средств, вредоносные программные воздействия на
средства вычислительной техники и информацию, приводящие к ее
модификации, блокированию, искажению или уничтожению, а также к
утечке информации.
Кроме действий человека (умышленные, ошибочные или случайные),
источниками угроз информационной безопасности ИСиР являются сбои и
отказы программных и технических средств вычислительной техники,
техногенные катастрофы, акты терроризма, стихийные бедствия и т.п.
Понятие "утечка" связано только с информацией ограниченного
доступа (конфиденциальной информацией) и в общем случае трактуется
как выход информации из сферы обращения. Под утечкой понимается
несанкционированный доступ к информации, т.е. доступ в нарушение
правил разграничения доступа к информации, которые устанавливает
собственник информации.
При этом рассматривается только доступ к информации посредством
применяемых в АС информационных технологий (ИТ) и непосредственный
доступ к носителям информации (не рассматривается утечка
информации посредством ее распространения в различного вида
физических полях - по так называемым техническим каналам, так как
риск такого вида утечки конфиденциальной информации достаточно
низок).
В отличие от утечки информации блокирование, модификация,
искажение и уничтожение объекта защиты может произойти как
вследствие несанкционированного доступа человека к ресурсам АС,
так и по причинам, не зависящим от человека. При этом искажение и
уничтожение объекта защиты (например, изменение или замена
программ управления вычислительным процессом) также могут привести
к утечке информации.
Несанкционированный доступ не всегда влечет за собой утечку,
блокирование, искажение или уничтожение объекта защиты, что, в
свою очередь, не всегда приводит к значимому ущербу. Тем не менее
несанкционированный доступ к ресурсам АС определяется как
основополагающий фактор нарушения безопасности при рассмотрении
проблем обеспечения защиты информации ИСиР, противодействия
угрозам.
Угроза информационной безопасности может реализоваться только
при наличии уязвимостей объекта защиты. Уязвимость - это свойство
ИСиР (АС) или компонентов АС, используя которое реализуются
угрозы.
Уязвимость возникает в АС в основном из-за недоработок или
ошибок, содержащихся в продуктах ИТ, а также вследствие ошибок при
проектировании АС, которые могут привести к поведению АС,
неадекватному целям обеспечения ее безопасности. Кроме того,
уязвимости могут появляться в результате неправильной эксплуатации
АС.
Приложение 2
к Положению
МЕРЫ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Обеспечение защиты ИСиР, соответствующей уровню информационной
безопасности объекта защиты, содержащего конфиденциальную
информацию, должно предусматривать комплекс организационных,
программных, технических средств и мер по защите информации
ограниченного доступа.
К основным мерам защиты информации с ограниченным доступом
относятся:
- выделение информации с ограниченным доступом, средств и
систем защиты информации или их компонентов, подлежащих защите на
основе ограничительных перечней сведений, разрабатываемых органами
власти, на предприятиях и в организациях с учетом особенностей
автоматизированной обработки информации, а также определение
порядка отнесения информации к категории конфиденциальной;
- реализация разрешительной системы допуска исполнителей
(пользователей, обслуживающего персонала) к работам, документам и
информации с ограниченным доступом;
- ограничение доступа персонала и посторонних лиц в помещения,
где размещены средства информатизации и коммуникации, на которых
обрабатывается (хранится, передается) информация с ограниченным
доступом, непосредственно к самим средствам информатизации и
коммуникациям;
- разграничение доступа пользователей и обслуживающего
персонала к информационным ресурсам, программным средствам
обработки (передачи) и защиты информации;
- учет документов, информационных массивов, регистрация
действий пользователей АС и обслуживающего персонала, контроль за
санкционированным и несанкционированным доступом и действиями
пользователей, обслуживающего персонала и посторонних лиц;
- надежное хранение традиционных и машинных носителей
информации, ключей (ключевой документации) и их обращение,
исключающее их хищение, подмену и уничтожение;
- необходимое резервирование технических средств и дублирование
массивов и носителей информации;
- использование сертифицированных средств защиты информации при
обработке информации ограниченного доступа;
- использование технических средств, удовлетворяющих
требованиям стандартов по электромагнитной совместимости;
- проверка эффективности защиты технических средств и систем в
реальных условиях их размещения и эксплуатации с целью определения
достаточности мер защиты с учетом установленной категории;
- физическая защита помещений и собственно технических средств
АС с помощью сил охраны и технических средств, предотвращающих или
существенно затрудняющих проникновение в здания, помещения
посторонних лиц, хищение документов и информационных носителей;
- криптографическое преобразование информации, обрабатываемой и
передаваемой средствами вычислительной техники и связи (при
необходимости определяемой особенностями функционирования
конкретных АС);
- исключение возможности визуального (в том числе с
использованием оптических средств наблюдения) просмотра
обрабатываемой информации;
- предотвращение внедрения в автоматизированные системы
программ-вирусов, программных закладок;
- использование волоконно-оптических линий связи для передачи
информации с ограниченным доступом;
- использование защищенных каналов связи.
В целях дифференцированного подхода к защите информации,
осуществляемого в целях разработки и применения необходимых и
достаточных средств защиты информации, а также обоснованных мер по
достижению требуемого уровня информационной безопасности,
проводится классификация автоматизированных систем, обрабатывающих
информацию с ограниченным доступом, либо разрабатываются профили
защиты (в соответствии с ГОСТ Р ИСО/МЭК 15408).
Классификации подлежат все действующие, но ранее не
классифицированные и разрабатываемые АС, предназначенные для
обработки информации с ограниченным доступом.
Если АС, классифицированная ранее, включается в состав
вычислительной сети или системы и соединяется с другими
техническими средствами линиями связи различной физической
природы, образуемая при этом АС более высокого уровня
классифицируется в целом, а в отношении АС нижнего уровня
классификация не производится.
Если объединяются АС различных классов защищенности, то
интегрированная АС должна классифицироваться по высшему классу
защищенности входящих в нее АС, за исключением случаев их
объединения посредством межсетевого экрана, когда каждая из
объединяющихся АС может сохранять свой класс защищенности.
Требования к используемым при этом межсетевым экранам изложены в
руководящем документе "Средства вычислительной техники. Межсетевые
экраны. Защита от НСД к информации. Показатели защищенности от НСД
к информации" (утвержден решением Председателя Гостехкомиссии
России от 25.07.97).
Приложение 3
к Положению
ПОРЯДОК
СОЗДАНИЯ И ЭКСПЛУАТАЦИИ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ
В СОСТАВЕ АС
Разработка АС и ее системы защиты информации может
осуществляться как подразделениями органа исполнительной власти
(организации), так и специализированными предприятиями, имеющими
лицензию на соответствующий вид деятельности в области защиты
информации.
Организация работ по защите информации возлагается на
руководителей предприятий и учреждений, руководителей
подразделений, разрабатывающих и эксплуатирующих АС, а
методическое руководство и контроль за обеспечением защиты
информации - на руководителя подразделения ИБ (ответственного за
обеспечение информационной безопасности).
Научно-техническое руководство и организацию работ по
проектированию (модернизации) АС и ее системы защиты информации
осуществляет главный конструктор АС или другое должностное лицо,
обеспечивающее научно-техническое руководство всей разработкой АС.
В случае разработки системы защиты информации или ее отдельных
компонентов специализированным предприятием на предприятии (в
организации), для которого осуществляется разработка АС
(предприятие-заказчик), определяются подразделения (или отдельные
специалисты), ответственные за организацию и проведение (внедрение
и эксплуатацию) мероприятий по защите информации.
Разработка и внедрение системы защиты информации осуществляется
во взаимодействии разработчика с подразделением ИБ организации-
заказчика, которая осуществляет методическое руководство и участие
в разработке конкретных требований по защите информации,
аналитического обоснования необходимости создания системы защиты
информации, согласование выбора средств вычислительной техники и
связи, технических и программных средств защиты, организацию работ
по выявлению возможностей и предупреждению утечки и нарушения
целостности защищаемой информации, участвует в согласовании
технических заданий на проведение работ, в аттестации АС.
Устанавливаются следующие стадии создания системы защиты
информации:
- предпроектная стадия, включающая предпроектное обследование
объекта информатизации, разработку аналитического обоснования
необходимости создания системы защиты информации и технического
(частного технического) задания на ее создание;
- стадия проектирования (разработки проектов) и реализации АС,
включающая разработку системы защиты информации в составе АС;
- стадия ввода в действие системы защиты информации, включающая
опытную эксплуатацию и приемо-сдаточные испытания средств защиты
информации, а также аттестацию АС на соответствие требованиям
безопасности информации.
Предпроектное обследование может быть поручено
специализированному предприятию, имеющему соответствующую
лицензию, но и в этом случае анализ информационного обеспечения в
части состава и структуры конфиденциальной информации
целесообразно выполнять представителям предприятия-заказчика при
методической помощи специализированного предприятия. На этой
стадии разрабатываются аналитическое обоснование и техническое
задание на создание системы или частное техническое задание на
подсистему информационной безопасности АС.
На стадии проектирования и реализации АС и системы защиты
информации в ее составе на основе предъявляемых к системе
требований и заданных заказчиком ограничений на финансовые,
материальные, трудовые и временные ресурсы осуществляются:
- разработка задания и проекта на строительные, строительно-
монтажные работы (или реконструкцию) АС в соответствии с
требованиями ТЗ (ЧТЗ) на разработку системы защиты информации;
- разработка раздела технического проекта на АС в части защиты
информации;
- строительно-монтажные работы в соответствии с проектной
документацией, утвержденной заказчиком, размещение и монтаж
технических средств и систем;
- разработка организационно-технических мероприятий по защите
информации в соответствии с предъявляемыми требованиями;
- закупка сертифицированных образцов и серийно выпускаемых в
защищенном исполнении технических средств обработки, передачи и
хранения информации либо их сертификация или специсследования;
- закупка сертифицированных образцов и серийно выпускаемых
технических и программных (в том числе криптографических) средств
защиты информации и их установка;
- разработка (доработка) или закупка и последующая сертификация
по требованиям безопасности информации программных средств защиты
информации в случае, когда на рынке отсутствуют требуемые
сертифицированные программные средства;
- организация охраны и физической защиты помещений АС,
исключающих несанкционированный доступ к техническим средствам
обработки, хранения и передачи информации, их хищение и нарушение
работоспособности, хищение носителей информации;
- разработка и реализация разрешительной системы доступа
пользователей и эксплуатационного персонала АС к обрабатываемой
информации, оформляемой в виде раздела Положения о разрешительной
системе допуска исполнителей к документам и сведениям на
предприятии (в организации);
- определение заказчиком подразделений и лиц, ответственных за
эксплуатацию средств и мер защиты информации, обучение назначенных
лиц специфике работ по защите информации на стадии эксплуатации
АС;
- выполнение генерации пакета прикладных программ в комплексе с
программными средствами защиты информации;
- разработка организационно-распорядительной и рабочей
документации по эксплуатации АС в защищенном исполнении, а также
средств и мер защиты информации (приказов, инструкций и других
документов);
- выполнение других мероприятий, специфичных для конкретных АС
и направлений защиты информации.
Задание на проектирование оформляется отдельным документом,
согласовывается с проектной организацией, подразделением ИБ
организации-заказчика в части достаточности мер по защите
информации и утверждается заказчиком.
На стадии проектирования и реализации АС оформляются
технический и рабочий (технорабочий) проект и эксплуатационная
документация системы защиты информации.
На стадии ввода в действие АС и системы защиты информации в ее
составе осуществляются:
- опытная эксплуатация средств защиты информации в комплексе с
другими техническими и программными средствами в целях проверки их
работоспособности в составе АС и отработки технологического
процесса обработки (передачи) информации;
- приемо-сдаточные испытания средств защиты информации по
результатам опытной эксплуатации с оформлением приемо-сдаточного
акта, подписываемого разработчиком (поставщиком) и заказчиком;
- аттестация АС на соответствие требованиям безопасности
информации.
На этой стадии оформляются:
- акты внедрения средств защиты информации по результатам их
приемо-сдаточных испытаний;
- предъявительский акт к проведению аттестационных испытаний;
- заключение по результатам аттестационных испытаний.
Эксплуатация АС осуществляется в соответствии с утвержденной
организационно-распорядительной и эксплуатационной документацией.
Контроль состояния и эффективности защиты информации
осуществляется подразделением ИБ организации (предприятия),
отраслевыми и федеральными органами контроля и заключается в
оценке выполнения требований нормативных документов,
обоснованности принятых мер, проверке выполнения норм
эффективности защиты информации ограниченного доступа по
действующим методикам с применением поверенной контрольно-
измерительной аппаратуры и сертифицированных программных средств
контроля.
Приложение 4
к Положению
ПРИМЕРНЫЙ СОСТАВ И ФУНКЦИИ
СЛУЖБЫ АДМИНИСТРИРОВАНИЯ ИСиР
Служба комплексного администрирования ИСиР должна обеспечивать
администрирование информационной безопасности, администрирование
операционных систем, администрирование сетей (локальных и
глобальных вычислительных систем и сетей), администрирование баз
данных и систем управления базами данных.
Администратор защиты (безопасности) информации обеспечивает:
регистрацию пользователей, формирование матрицы доступа к
вычислительным и информационным ресурсам АС, учет наступления
системных событий, связанных с инициализацией функций
автоматизированной системы, изменением ее конфигурации, а также
изменением прав доступа, формирование параметров входа в систему
(идентификатора) и шифрключей, контроль текущего функционального
состояния системы.
Администратор операционных систем отвечает за генерацию
операционных систем и их сопровождение (тестирование
работоспособности, восстановление и т.п.), обновление версий
операционных систем (анализ необходимости перехода на новые
версии, разработку перечня мероприятий по переводу на новую
версию).
Администратор сети отвечает за ее функционирование, создает
структуру каталога сети; обеспечивает необходимый уровень защиты;
следит за рациональным использованием ресурсов, определяет
политику развития сети, ведет описание технической конфигурации
сети, ее функциональной структуры, структуры клиентов, имеющих
доступ к информационным ресурсам АС, формирует список
пользователей, допущенных к работе с АС.
Администратор баз данных отвечает за генерацию систем
управления базами данных, сопровождение и управление
информационными ресурсами, создание и ведение классификаторов,
ввод и модификацию нормативно-справочной информации, сохранение
резервных копий, восстановление искаженной информации,
архивирование информации и организацию поступления информации из
архива; обработку и анализ статистической информации о характере и
интенсивности использования данных, о распределении нагрузки на
различные компоненты структуры баз данных, внесение изменений в
структуру баз данных в процессе эксплуатации системы с целью
повышения производительности, обеспечивает ввод и поддержание в
актуальном состоянии общих разделов баз данных (классификаторов).
Приложение 6
к распоряжению префекта
Зеленоградского АО г. Москвы
от 30 июня 2006 г. N 686-рп
ТРЕБОВАНИЯ
К СОТРУДНИКАМ ПРЕФЕКТУРЫ В ОБЛАСТИ ПРИМЕНЕНИЯ
ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ
Общие требования
Пользователи должны знать нормативную документацию по работе с
ЛВС префектуры, требования по обеспечению безопасности обработки
информации на средствах вычислительной техники, правила безопасной
работы в Интернет, регламенты основных информационных процессов
электронного документооборота.
Пользователи должны иметь устойчивые навыки:
- работы с общераспространенным программным обеспечением в
объеме навыков пользователей системы:
операционные системы;
антивирусное обеспечение;
оболочки персональных компьютеров;
офисное ПО (MS Word, MS Excel, MS Power Point);
справочно-правовая система "КонсультантПлюс";
- работы с электронной почтой в среде "Lotus-Notes":
создание письма, отправка и получение;
создание вложений в письма;
шифрование писем;
настройка атрибутов письма (срочность, уведомления, подпись);
- работы с цифровой подписью (в случае, если пользователь -
владелец средств ЭЦП):
создание присоединенной и отсоединенной подписи;
проверка цифровой подписи;
- работы с системой электронного документооборота префектуры:
открытие поручения по ссылке в уведомлении;
формирование ответа;
включение вложения в состав карточки поручения;
поиск необходимых документов по различным реквизитам;
использование электронной библиотеки документов (формирование
документов из файлового архива, редактирование карточек, поиск
вложения, подписка).
Специальные требования
Руководители должны уметь:
- формировать поручения;
- осуществлять контроль исполнения;
- закрывать исполненные поручения.
Регистраторы ЕАС ДОУ должны знать возможности подсистемы ЕАС
ДОУ, в которой работают.
Они должны уметь осуществлять:
- регистрацию первичных и вторичных документов;
- регистрацию повторных документов на один номер с первичным
документом;
- поиск любого документа по любому известному атрибуту или
набору атрибутов, в том числе и контекстный поиск по содержанию
(названию) документа;
- контроль исполнительской дисциплины по заданному интервалу
времени и по исполнителям;
- выдачу напоминаний о контрольных документах и сроках их
исполнения;
- подготовку справок, сводок и списков по всему объему
документов, по тематическим рубрикам;
- работу с системой поточного сканирования АИДИС.
Сотрудники отдела финансирования, бухгалтерского учета и
отчетности должны знать особенности работы с прикладным
программным обеспечением: автоматизации финансово-хозяйственной
деятельности:
- система "Парус";
- система "Смета-2000".
Сотрудники управления государственной службы и кадров должны
уметь работать с системой автоматизированного учета "Кадры
государственной службы" <*>.
Сотрудники управления потребительского рынка и услуг должны
уметь работать с информационной системой СИОПР <*>.
Сотрудники управления строительства, транспорта и
землепользования должны уметь работать с БД учета садоводов и
огородников <*>.
--------------------------------
<*> Данные позиции действительны для сотрудников, имеющих
доступ к соответствующей программе.
Приложение 7
к распоряжению префекта
Зеленоградского АО г. Москвы
от 30 июня 2006 г. N 686-рп
СПИСОК
ОРГАНИЗАЦИЙ ЗЕЛЕНОГРАДСКОГО АДМИНИСТРАТИВНОГО ОКРУГА
Г. МОСКВЫ, ПОДКЛЮЧЕННЫХ К МУЛЬТИСЕРВИСНОЙ СЕТИ
ОРГАНОВ УПРАВЛЕНИЯ
----------------------------T----------------T--------------T---------¬
¦Объекты ¦Настройка ¦Подключение, ¦Доступ к ¦
¦ ¦мультисервисной ¦корпоративная ¦ЕАС ДОУ ¦
¦ ¦сети ¦телефония и ее¦ ¦
¦ ¦ ¦настройка ¦ ¦
+---------------------------+----------------+--------------+---------+
¦1. Управа района ¦ + ¦ + ¦ + ¦
¦Матушкино-Савелки ¦ ¦ ¦ ¦
+---------------------------+----------------+--------------+---------+
¦2. ГДЕЗ ¦ + ¦ - ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦3. Управа района Крюково ¦ + ¦ + ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦4. Управа района ¦ + ¦ + ¦ + ¦
¦Панфиловский ¦ ¦ ¦ ¦
+---------------------------+----------------+--------------+---------+
¦5. ДЕЗ N 1 ¦ + ¦ +/- ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦6. РЭУ N 1 ¦ - ¦ +/- ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦7. ООО РЭП "ЭКСРЕМЭКС" ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦8. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦9. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦10. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦11. ДЕЗ N 2 ¦ + ¦ +/- ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦12. РЭУ N 3 ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦13. РЭУ N 5 ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦14. РЭУ N МЖК ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦15. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦16. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦17. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦18. ДЕЗ N 3 ¦ + ¦ +/- ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦19. ООО "СТРОЙКОМПЛЕКС" ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦20. РЭУ N 7 ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦21. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦22. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦23. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦24. РЭУ N 9 ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦25. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦26. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦27. ДЕЗ N 4 ¦ + ¦ +/- ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦28. ДЕЗ "Крюково" ¦ + ¦ +/- ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦29. РЭУ N 10 ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦30. РЭУ N 12 ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦31. РЭУ N 14 ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦32. ГУП РЭУ "АМК" ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦33. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦34. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦37. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦38. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦39. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦40. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦41. Диспетчерская ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦42. РЭУ-8 ¦ - ¦ - ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦43. ГУП "Аварийная служба" ¦ - ¦ +* ¦ - ¦
+---------------------------+----------------+--------------+---------+
¦44. ТА ДИГМ ¦ + ¦ - ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦45. Комитет рекламы ¦ + ¦ - ¦ + ¦
+---------------------------+----------------+--------------+---------+
¦46. Территориальное ¦ +* ¦ +* ¦ - ¦
¦управление по Москве ФАУ ¦ ¦ ¦ ¦
¦СЭЗ ¦ ¦ ¦ ¦
+---------------------------+----------------+--------------+---------+
¦47. АПО ¦ + ¦ - ¦ + ¦
L---------------------------+----------------+--------------+----------
Условные обозначения:
"+*" - в процессе подключения.
"+" - оборудование мультисервисной сети подключено/настроено.
"+/-" - оборудование частично настроено (1-2 рабочих места).
"-" - оборудование установлено, но не подключено/ не настроено.
|