У Т В Е Р Ж Д Е Н

приказом комитета информационных технологий Волгоградской области  от  2015 г. №

РЕГЛАМЕНТ ПОДКЛЮЧЕНИЯ К АВТОМАТИЗИРОВАННОЙ

СИСТЕМЕ ОБРАБОТКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ВОЛГОГРАДСКОЙ ОБЛАСТИ


ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В настоящем документе применены следующие термины и соответствующие определения:

Абонент автоматизированной системы обработки конфиденциальной информации (Абонент) - орган исполнительной власти Волгоградской области, его подведомственное учреждение или иная организация, на законных основаниях получающая доступ к информационным ресурсам автоматизированной системы обработки конфиденциальной информации Волгоградской области.

Автоматизированное рабочее место автоматизированной системы обработки конфиденциальной информации Волгоградской области - программно-технический комплекс, предназначенный для автоматизации деятельности пользователей автоматизированной системы обработки конфиденциальной информации Волгоградской области.

Администратор - пользователь, уполномоченный выполнять некоторые действия (имеющий полномочия) по администрированию (управлению) информационной системы и (или) ее системы защиты информации в соответствии с установленной ролью.

Администратор информационной безопасности - лицо или группа лиц, ответственных за обеспечение информационной безопасности, за реализацию и непрерывность соблюдения установленных мер защиты и осуществляющих поддержку функционирования средств защиты информации, применяемых в информационной системе.

НЕ нашли? Не то? Что вы ищете?

Доступ к информации, обрабатываемой в автоматизированной системе обработки конфиденциальной информации - комплекс взаимосвязанных организационно-технических мероприятий и программно-технических средств, обеспечивающих получение пользователями доступа к информации, обрабатываемой в автоматизированной системе обработки конфиденциальной информации Волгоградской области.

Единый центр обработки данных органов исполнительной власти Волгоградской области - информационно-технологический и программно-технический комплекс, предназначенный для организации безопасной процедуры централизованного сбора, хранения и обработки информации и оперативного предоставления доступа к информационным ресурсам, сервисам, приложениям, функционирующий в соответствии с Положением о едином центре обработки данных органов исполнительной власти Волгоградской области (утв. Постановлением Губернатора Волгоградской области от 01.01.01 г. № 000).

Конфиденциальная информация - информация, не содержащая сведения, составляющие государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, а также информация, ограничения на распространение которой определяются служебной необходимостью.

Лицензиат - организация, имеющая лицензию на деятельность по технической защите конфиденциальной информации и/или разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) в соответствии с Федеральным законом от 4 мая 2011 г. №99-ФЗ «О лицензировании отдельных видов деятельности».

Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Оператор автоматизированной системы обработки конфиденциальной информации Волгоградской области (Оператор) – комитет информационных технологий Волгоградской области.

Оператор центра обработки данных – Государственное бюджетное учреждение «Центр информационных технологий Волгоградской области», осуществляющее техническое обеспечение функционирования единого центра обработки данных органов исполнительной власти Волгоградской области.

Пользователь - лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной системе или использующее результаты ее функционирования.

Пользователь автоматизированной системы обработки конфиденциальной информации Волгоградской области – должностное лицо абонента автоматизированной системы обработки конфиденциальной информации Волгоградской области, участвующее в функционировании автоматизированной системы обработки конфиденциальной информации Волгоградской области, или использующее результаты ее функционирования.

Реестр пользовательских сегментов автоматизированной системы обработки конфиденциальной информации Волгоградской области - специализированное хранилище данных, содержащее формализованные описания автоматизированных информационных систем и выделенных автоматизированных рабочих мест, подключенных к автоматизированной системе обработки конфиденциальной информации Волгоградской области.

Реестр пользователей - специализированное хранилище данных, содержащее формализованные унифицированные описания сведений о пользователях автоматизированной системы обработки конфиденциальной информации Волгоградской области.

Терминальный клиент – автоматизированное рабочее место, предназначенное для осуществления доступа пользователя к терминальному серверу с предоставлением на нем для использования фиксированного набора системных и прикладных программных средств, не доступным для изменения пользователем, не имеющее возможности хранения данных информационной системы после окончания сеанса работы пользователя.

Терминальный сервер (сервер терминалов) - сервер, предоставляющий пользователям вычислительные ресурсы (процессорное время, память, дисковое пространство) для решения задач.

Терминальный режим работы - организация сетевой работы автоматизированной информационной системы посредством размещения пользовательских приложений и данных на центральном сервере (серверах), доступ к которым осуществляется с терминалов (терминальных клиентов). При работе пользователя автоматизированной системы с сервером терминалов приложение выполняется на сервере, а по сети передаются только события клавиатуры, мыши и отображения на экране.


СОКРАЩЕНИЯ

В настоящем документе применены следующие сокращения:

АРМ
    автоматизированное рабочее место

АСОКИ
    автоматизированная система обработки конфиденциальной информации Волгоградской области

ИБ
    информационная безопасность

ИС 
    информационная система

КСЭП
    квалифицированный сертификат ключа проверки электронной подписи

ЛВС
    локальная вычислительная сеть

СКЗИ
    средство криптографической защиты информации

СВТ
    средство вычислительной техники

ЦОД 
    Единый центр обработки данных органов исполнительной власти Волгоградской области

NTP
    Network Time Protocol (сетевой протокол для синхронизации времени)

VPN 
    Virtual Private Network (виртуальная частная сеть)

ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий регламент подключения к автоматизированной системе обработки конфиденциальной информации Волгоградской области (далее - Регламент) определяет порядок действий Оператора, Абонентов и Оператора ЦОД, а также условия и требования, при выполнении которых может предоставляться доступ и возможность работы Абонентов с информационными ресурсами АСОКИ. Информационный обмен сведениями в АСОКИ осуществляется в соответствии с законодательством Российской Федерации только с использованием сертифицированных в установленном порядке средств защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (в том числе средств шифрования и электронной подписи). Абонентом для обеспечения взаимодействия с АСОКИ могут применяться:
    АРМ, предназначенные для осуществления доступа пользователей к информационным ресурсам АСОКИ с использованием клиент-серверного взаимодействия и имеющие возможность обработки и хранения защищаемой информации на локальных ресурсах АРМ после окончания сеанса работы пользователя в АСОКИ (далее – АРМ. П); АРМ, предназначенные для терминального режима работы с АСОКИ, с  хранением защищаемой информации на вычислительных ресурсах АСОКИ, размещенных в ЦОД, с исключением возможности хранения и обработки защищаемой информации на АРМ без подключения к АСОКИ – терминальные клиенты (далее – АРМ. Т); ведомственные автоматизированные информационные системы, имеющиеся у Абонента (далее - АИС).
Под подключением к АСОКИ понимается предусмотренный настоящим Регламентом комплекс организационных и технических мероприятий, результатом которых является предоставление возможности доступа Пользователей АСОКИ с использованием АИС, АРМ. Т или АРМ. П (далее – пользовательские сегменты АСОКИ) к информационным и вычислительным ресурсам АСОКИ или осуществление информационного взаимодействия АСОКИ с внешними информационными системами на основании заключенного договора (соглашения) или в соответствии с нормативно-правовыми актами. Пользовательские сегменты АСОКИ, в отношении которых принято решение о подключении к АСОКИ, подлежат учету и регистрации в Реестре пользовательских сегментов АСОКИ, форма которого приведена в приложении 1 к настоящему Регламенту. Регистрация пользовательских сегментов АСОКИ и ведение Реестра пользовательских сегментов АСОКИ осуществляется Оператором ЦОД на основании акта готовности подключения к АСОКИ, типовая форма которого приведена в приложении 2 к настоящему Регламенту (далее – Акт готовности).
ПОРЯДОК ПОДКЛЮЧЕНИЯ К АСОКИ
Подключение пользовательских сегментов к АСОКИ осуществляется совместно Абонентом, Оператором и Оператором ЦОД. Для обеспечения подключения к АСОКИ Абонент обеспечивает: подготовку помещений для размещения технических средств пользовательского сегмента АСОКИ; наличие СВТ, программного обеспечения и сетевого оборудования с учетом технических требований к пользовательским сегментам при подключении к АСОКИ, приведенных в приложении 3 к настоящему Регламенту; выполнение требований к составу организационных мер по защите информации при подключении к АСОКИ, согласно приложению 4 к настоящему Регламенту; определение (уточнение) угроз, реализация которых может привести к нарушению безопасности информации в пользовательском сегменте АСОКИ, и разработку (доработку) на их основе частной модели угроз безопасности пользовательского сегмента АСОКИ. определение (уточнение) класса защищенности пользовательского сегмента АСОКИ и уровня защищенности обрабатываемых персональных данных; допуск представителей Оператора и (или) Оператора ЦОД для установки специального или иного программного обеспечения (при необходимости). В целях подключения АСОКИ Абонент направляет Оператору  заявку на подключение по форме согласно приложению 5 к настоящему Регламенту (далее - Заявка). В Заявке указываются основания для подключения, подтверждается выполнение мероприятий предусмотренных п.4.2. настоящего Регламента и готовность выполнения дальнейших мероприятий по подключению к АСОКИ. По результатам рассмотрения Заявки Оператор принимает решение о возможности подключения пользовательского сегмента к АСОКИ и направляет Абоненту соответствующее уведомление. В случае принятия Оператором положительного решения о возможности подключения к АСОКИ Абонент совместно с Оператором и Оператором ЦОД обеспечивают разработку плана подключения пользовательского сегмента АСОКИ. План подключения в общем случае может предусматривать следующие мероприятия: Определение Оператором возможности распространения действующего аттестата соответствия АСОКИ на подключаемый пользовательский сегмент АСОКИ (определяется соответствие классов защищенности и актуальных угроз безопасности пользовательскому сегменту АСОКИ, в отношении которого ранее были проведены аттестационные испытания технических решений по системе защиты информации). В случае невозможности распространения аттестата соответствия на подключаемый пользовательский сегмент АСОКИ: Абонент (с привлечением при необходимости в соответствии с законодательством Лицензиата):
    осуществляет формирование требований к системе защиты информации пользовательского сегмента АСОКИ путем разработки частного технического задания на создание  (модернизацию) системы защиты информации пользовательского сегмента АСОКИ; организует разработку технического проекта на создание  (модернизацию) системы защиты информации пользовательского сегмента АСОКИ, а также эксплуатационной документации на систему защиты информации пользовательского сегмента АСОКИ (технического паспорта, руководства пользователя и администратора, инструкции по эксплуатации системы защиты информации, формуляр и т. п.); обеспечивает разработку документов, определяющих правила и процедуры, направленные на обеспечение защиты информации в ходе эксплуатации пользовательского сегмента АСОКИ и внедрение организационных мер защиты информации (при необходимости); обеспечивает получение, установку и настройку необходимых для подключения к АСОКИ средств защиты информации, их монтаж и настройку; организует проведение предварительных испытаний системы защиты информации пользовательского сегмента АСОКИ, ее опытную эксплуатацию, а также анализ уязвимостей и принятие мер защиты информации по их устранению в пользовательском сегменте АСОКИ; организует проведение приемочных испытаний системы защиты информации пользовательского сегмента АСОКИ и его аттестацию по требованиям защиты информации.
Оператор (при наличии соответствующих полномочий):
    обеспечивает привлечение Лицензиатов для выполнения работ по созданию и вводу в эксплуатацию системы защиты информации пользовательских сегментов АСОКИ, поставке, установке и настройке технических средств защиты информации, аттестации пользовательских сегментов АСОКИ. 
В случае возможности распространения аттестата соответствия на подключаемый пользовательский сегмент АСОКИ: Оператор:
    передает Абоненту для использования и ведения эксплуатационную документацию на систему защиты информации пользовательского сегмента АСОКИ (руководства пользователя и администратора, инструкции по эксплуатации системы защиты информации, формуляр и т. п.); с привлечением Оператора ЦОД обеспечивает настройку технических средств защиты информации с централизованным управлением в соответствии с эксплуатационной документацией; организует проведение приемочных испытаний системы защиты информации пользовательского сегмента АСОКИ.
Абонент:
    разрабатывает технический паспорт на пользовательский сегмент АСОКИ; обеспечивает настройку технических средств защиты информации (с привлечением при необходимости в соответствии с законодательством Лицензиата); обеспечивает проведение приемочных испытаний системы защиты информации пользовательского сегмента АСОКИ.
По завершении мероприятий, предусмотренных планом подключения, осуществляется проверка готовности к осуществлению информационного обмена пользовательского сегмента с АСОКИ путем проведения приемочных испытаний пользовательского сегмента АСОКИ. Приемочные испытания пользовательского сегмента АСОКИ проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (утв. постановлением Комитета стандартизации и метрологии СССР от 01.01.01 г. № 000) и включают проверку выполнения требований настоящего Регламента, а также проведение тестовой передачи данных. Приемочные испытания осуществляются комиссией, создаваемой  распоряжением Оператора. В состав комиссии должны входить представители Абонента, Оператора и Оператора ЦОД. Председателем комиссии является представитель Оператора. При проведении приемочных испытаний пользовательского сегмента АСОКИ оформляется протокол испытаний, на основании которого делается заключение о соответствии пользовательского сегмента АСОКИ предъявляемым требованиям и возможности оформления Акта готовности или указываются выявленные недостатки. Повторные приемочные испытания пользовательского сегмента АСОКИ и тестовая передача данных производится после устранения выявленных недостатков. Пользовательский сегмент АСОКИ, в отношении которого принято решение о готовности подключения к АСОКИ, подлежит регистрации согласно пп.3.3-3.6 настоящего Регламента. В случае распространения действующего аттестата соответствия АСОКИ на пользовательский сегмент АСОКИ после его регистрации в реестре пользовательских сегментов АСОКИ Оператор ЦОД направляет Абоненту подтверждение распространения аттестата соответствия по требованиям защиты информации АСОКИ на пользовательский сегмент АСОКИ. После получения указанного подтверждения Абонентом оформляется акт ввода пользовательского сегмента АСОКИ в эксплуатацию (с направлением копии в адрес Оператора) и подключение пользовательского сегмента к АСОКИ признается завершенным.
ОСОБЕННОСТИ ПОДКЛЮЧЕНИЯ К АСОКИ АТТЕСТОВАННЫХ АИС
План мероприятий при подключении к АСОКИ аттестованной АИС дополнительно должен предусматривать анализ Оператором возможности подключения аттестованной АИС к АСОКИ. Аттестованная АИС, подключаемая к АСОКИ, должна соответствовать требованиям законодательства Российской Федерации к защите информации, установленным для класса защищенности АСОКИ, и иметь действующей аттестат соответствия требованиям защиты информации для равного или более высокого класса защищенности. В случае прекращения действия аттестата соответствия требованиям защиты информации доступ из АИС к АСОКИ прекращается. В подключаемой к АСОКИ АИС Абонентом обеспечивается соблюдение организационно-распорядительных документов по защите информации, действующих в АСОКИ. В отношении аттестованной АИС возможно проведение дополнительных аттестационных испытаний в рамках действующего аттестата соответствия требованиям по защите информации в случае, если класс защищенности АИС не меняется в результате необходимости подключения к АСОКИ.
ИНФОРМАЦИОННОЕ ВЗАИМОДЕЙСТВИЕ АСОКИ С ВНЕШНИМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
В настоящем документе под внешней информационной системой подразумевается информационная система, взаимодействие АСОКИ с которой должно быть обеспечено в соответствии с действующим законодательством и из которой не предоставляется доступ пользователям к информационным ресурсам АСОКИ. Подключение внешней информационной системы к АСОКИ осуществляется в соответствии с настоящим Регламентом и с учетом нормативно-правовых актов, регламентирующих функционирование внешней информационной системы. Внешняя информационная система, подключаемая к АСОКИ, должна соответствовать требованиям законодательства Российской Федерации к защите информации, установленным для класса защищенности АСОКИ и иметь действующий аттестат соответствия требованиям защиты информации для равного или более высокого класса защищенности. В случае прекращения действия аттестата соответствия требованиям защиты информации доступ из внешней информационной системы к АСОКИ прекращается. Подключение к АСОКИ внешней информационной системы с более низким классом защищенности или информационных систем общего пользования разрешается только при обеспечении однонаправленной передачи конфиденциальной информации из внешней информационной системы в АСОКИ с использованием сертифицированных средств защиты информации однонаправленной передачи конфиденциальной информации из внешней информационной системы в АСОКИ и/или при необходимости публикации или передачи общедоступных сведений, содержащихся в АСОКИ в соответствии с законодательством. При организации информационного взаимодействия Оператор совместно с владельцем подключаемой внешней информационной системы и оператором ЦОД проводят оценку возможности информационного взаимодействия, осуществляют при необходимости доработку (модернизацию) системы защиты информации и осуществляют тестовый обмен данными. Подключение осуществляется на основании  протокола (или иных документов) об информационном обмене сведениями между АСОКИ и внешней информационной системой.
ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ДОСТУПА ПОЛЬЗОВАТЕЛЯМ К ИНФОРМАЦИОННЫМ РЕСУРСАМ АСОКИ
Предоставление доступа Пользователям к АСОКИ осуществляется совместно Абонентом, Оператором и Оператором ЦОД. В целях организации взаимодействия между Абонентом и Оператором Абонент назначает ответственное лицо (далее - Уполномоченный представитель). Для получения доступа пользователей к информационным ресурсам АСОКИ Абонент обеспечивает: получение пользователями ключей и КСЭП у Оператора ЦОД в установленном регламентом оказания услуг Оператора ЦОД по изготовлению КСЭП порядке (при этом в заявке на изготовление ключей и КСЭП должна быть указана область использования «Доступ к информационным ресурсам ЕЦОД» и указана информационная система - АСОКИ); регистрацию пользователей АРМ. Т в АСОКИ в соответствии с Положением о едином домене органов исполнительной власти Волгоградской области, утвержденным приказом комитета информационных технологий Волгоградской области от 01.01.01 г. №31-о/д; направление в адрес Оператора запроса на предоставление пользователям доступа к информационным ресурсам АСОКИ (далее - Запрос) по форме согласно приложению 6 к настоящему Регламенту с указанием:
    основания предоставления доступа к АСОКИ (нормативно-правовой акт Абонента, должностной регламент и т. п. с указанием реквизитов документа); должности (с полным наименованием подразделения), фамилии, имени и отчества пользователя; типа пользовательского сегмента АСОКИ используемого для получения доступа к АСОКИ (АРМ. П, АРМ. Т, АИС); сведений о КСЭП пользователя (серийный номер и дата выдачи); имени учетной записи пользователя (для АРМ. Т);  полномочий, которые необходимо предоставить пользователю (путем указания решаемых пользователем задач в АСОКИ); адреса электронной почты Уполномоченного представителя для направления уведомлений.
По результатам рассмотрения Запроса Оператор принимает решение о предоставлении пользователю доступа к АСОКИ и направляет Абоненту уведомление о возможности регистрации или об отказе в предоставлении доступа с обоснованием причины отказа. Для обеспечения регистрации пользователя в АСОКИ Оператор направляет Запрос Оператору ЦОД. Оператор ЦОД осуществляет:
    формирование идентификатора и временного (предназначенного для смены после входа в систему) пароля пользователя для работы в специальном программном обеспечении АСОКИ; инициализацию в средствах защиты информации от несанкционированного доступа персональных аппаратных идентификаторов (ключевые носителей) регистрируемых пользователей при использовании АРМ. Т для доступа к АСОКИ (при условии их предоставления Абонентом Оператору ЦОД).
Пользователи, которым предоставляется доступ к информационным ресурсам АСОКИ, подлежат регистрации в Реестре пользователей, ведение которого осуществляется Оператором ЦОД по форме согласно приложению 7 к настоящему Регламенту. После внесения сведений о пользователе в Реестр пользователей Оператор ЦОД обеспечивает необходимые настройки специального и общесистемного программного обеспечения, средств защиты информации АСОКИ для предоставления соответствующих полномочий пользователю в АСОКИ и направляет Абоненту уведомление о предоставлении пользователю доступа к АСОКИ. Изменение регистрационных данных пользователей, в том числе прекращение доступа к АСОКИ, осуществляется на основании письменных запросов Абонента, направляемых в адрес Оператора.

Приложение 1 к регламенту  предоставления доступа к автоматизированной системе обработки конфиденциальной информации

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5