|
|
УТВЕРЖДЕН
|
|
|
приказом руководителя
|
|
|
ГАУ ЯО «МФЦ»
|
|
|
от _________ № _____
|
РЕГЛАМЕНТ
подключения к автоматизированной информационной системе
многофункционального центра предоставления государственных и
муниципальных услуг Ярославской области абонентских пунктов,
развернутых в сторонних организациях
-
Введение
Настоящий Регламент подключения к автоматизированной информационной системе многофункционального центра предоставления государственных и муниципальных услуг Ярославской области абонентских пунктов развернутых в сторонних организациях (далее - Регламент) определяет порядок организации, условия функционирования, а также порядок подключения абонентских пунктов (далее – АП), развернутых в сторонних, по отношению к государственному автономному учреждению Ярославской области «Многофункциональный центр предоставления государственных и муниципальных услуг» (далее – ГАУ ЯО «МФЦ»), организациях к автоматизированной информационной системе многофункционального центра предоставления государственных и муниципальных услуг Ярославской области (далее АИС МФЦ ЯО).
Настоящий Регламент разработан в соответствии с положениями следующих нормативно-правовых актов, нормативно-технических, руководящих, методических документов, действующих на территории Российской Федерации, а также внутренних документов ГАУ ЯО «МФЦ» по обеспечению информационной безопасности:
Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Руководящий документ ФСТЭК России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (утвержден решением председателя Гостехкомиссии РФ от 30.03.1992).
Руководящий документ ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утвержден решением председателя Гостехкомиссии РФ от 30.03.1992).
Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (утвержден решением председателя Гостехкомиссии РФ от 30.03.1992).
ГОСТ РО 0043-003-2012. Аттестация объектов информатизации. Общие положения.
Модель угроз безопасности персональных данных, обрабатываемых в автоматизированной информационной системе многофункционального центра предоставления государственных и муниципальных услуг Ярославской области.
Технический проект на систему обеспечения информационной безопасности автоматизированной информационной системы многофункционального центра предоставления государственных и муниципальных услуг Ярославской области.
Основной целью настоящего Регламента является формулирование условий, выполнение которых при подключении АП, развернутых в сторонних организациях, позволит обеспечить соблюдение необходимых требований и условий по обеспечению безопасности информации, обрабатываемой в АИС МФЦ ЯО.
Порядок организации, условия функционирования, а также порядок подключения АП, развернутых на базе филиалов ГАУ ЯО «МФЦ», к АИС МФЦ ЯО приведен в отдельном регламенте.
Условия подключения иных информационных систем к АИС МФЦ ЯО согласовываются с ГАУ ЯО «МФЦ» для каждой информационной системы в отдельном порядке.
-
Перечень используемых сокращений
АИС МФЦ ЯО
|
- автоматизированная информационная система многофункционального центра предоставления государственных и муниципальных услуг Ярославской области
|
АП
|
- абонентский пункт
|
АРМ
|
- автоматизированное рабочее место
|
ГАУ ЯО «МФЦ»
|
- государственное автономное учреждение Ярославской области «Многофункциональный центр предоставления государственных и муниципальных услуг
|
НСД
|
- несанкционированный доступ
|
ПДн
|
- персональные данные
|
ПЭВМ
|
- персональная электронно-вычислительная машина
|
СЗИ
|
- средства защиты информации
|
СКЗИ
|
- средства криптографической защиты информации
|
ФСБ
|
- Федеральная служба безопасности
|
ФСТЭК
|
- Федеральная служба по техническому и экспортному контролю
|
-
Общее описание
Функционирование АИС МФЦ ЯО обеспечивает автоматизацию основных процессов, связанных с предоставлением государственных и муниципальных услуг физическим и юридическим лицам, а также индивидуальным предпринимателям на территории Ярославской области с участием ГАУ ЯО «МФЦ», что подразумевает обработку персональных данных в рамках:
консультирования лиц, обратившихся в ГАУ ЯО «МФЦ»;
приема, первичной обработки, а также подготовки ряда документов, необходимых для предоставления государственной или муниципальной услуги;
подготовки и направления межведомственных запросов на предоставление необходимой информации или документов, а также получения и обработки ответов на них;
передачи в органы (организации), оказывающие услуги, документов, необходимых для предоставления услуг, а также получения результатов оказания услуг и выдачи их обратившемуся лицу;
контроля соблюдения сроков предоставления государственных и муниципальных услуг (в целом и поэтапно), выдачи информации о ходе предоставления услуги.
В составе АИС МФЦ ЯО выделены следующие структурные компоненты:
объект информатизации – центральныйсерверный сегмент АИС МФЦ ЯО (центр обработки данных) (расположен в центральном подразделенииздании ГАУ ЯО «МФЦ» по адресу: г. Ярославль, ул. Ленина, 14а);
объекты информатизации – подключаемые к АИС МФЦ ЯО абонентские пункты (располагаются в филиалах ГАУ ЯО «МФЦ» и в сторонних организациях, подключаемых к АИС МФЦ ЯО).
Совокупность центральногосерверного сегмента АИС МФЦ ЯО и абонентского пункта реализуют полный технологический процесс обработки информации в АИС МФЦ ЯО.
Термин «Абонентский пункт» определяет автоматизированную систему – удаленный объект информатизации, подключаемый к сети провайдера передачи данных, в т.ч. к сети «Интернет» с помощью коммуникационного оборудования и предназначенный для взаимодействия с информационными ресурсами центральногосерверного сегмента АИС МФЦ ЯО.
АП предназначены для подключения по защищенным каналам связи к информационным ресурсам АИС МФЦ ЯО.
АИС МФЦ ЯО как объект информатизации аттестуется по требованиям безопасности информации в соответствии с Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», при этом:
центральныйсерверный сегмент АИС МФЦ ЯО защищается как государственная информационная система 2-го класса защищенности;
абонентские пункты, являющиеся сегментами АИС МФЦ ЯО, защищаются как государственные информационные системы 3-го класса защищенности.
-
Требования по организационному и техническому обеспечению АП,
развернутых в сторонних организациях
-
Основные положения.
Система защиты информации АП, развернутых в сторонних организациях, должна соответствовать не ниже чем 3-му классу защищенности информационной системы в соответствии с Приказом ФСТЭК России от 1.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
При обработке персональных данных на АП, развернутых в сторонних организациях, реализуемые меры защиты информации должны обеспечивать не ниже 3-го уровня защищенности персональных данных в соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Взаимодействие АП, развернутых в сторонних организациях, с информационными ресурсами АИС МФЦ ЯО, расположенными в центральном сегменте, должно осуществляться по каналам передачи данных, защищенным с использованием СКЗИ совместимых с СКЗИ семейства ViPNet производства компании ОАО «ИнфоТеКС».
До подключения и принятия решения о включении в состав АИС МФЦ ЯО на АП, развернутых в сторонних организациях, должен быть выполнен комплекс организационных и технических мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи, а также проведены мероприятия по подготовке персонала, эксплуатирующего технические средства объекта информатизации.
Ответственность за организацию работ и выполнение мероприятий по защите информации при подготовке к подключению и эксплуатации АП, развернутых в сторонних организациях, возлагается на руководителей соответствующих организаций, подключаемых к АИС МФЦ ЯО.
Рекомендации по составу технических средств.
В состав технических средств АП, развернутых в сторонних организациях, могут входить одна или несколько ПЭВМ (объединенных в сегмент локальной вычислительной сети), оснащенных сетевыми адаптерами и имеющих подключение с использованием коммуникационного оборудования к сети провайдера передачи данных.
Технические требования к аппаратным средствам ПЭВМ должны удовлетворять требованиям, предъявляемым к ПЭВМ, использующей в качестве операционной системы программное обеспечение Microsoft Windows. В состав технических средств АП могут входить средства обеспечения технологических процессов, реализуемых в АИС МФЦ ЯО: принтеры, сканеры и др.
Выбор технических и программных средств защиты АП, развернутых в сторонних организациях, осуществляется в соответствии с требованиями, изложенными в приложении 1 к Регламенту.
К проведению работ по установке, монтажу и настройке СЗИ (СКЗИ) на АП должны допускаться исполнители, имеющие соответствующий уровень квалификации, из числа сотрудников организаций, обладающих необходимыми лицензиями ФСТЭК России и ФСБ России на осуществление соответствующих видов деятельности.
-
Требования по организационному обеспечению защиты информации, обрабатываемой на АП, развернутых в сторонних организациях.
Допуск к работам на АП, развернутым в сторонних организациях, с определением полномочий пользователей и порядок контроля над выполнением мероприятий по обеспечению безопасности информации должен оформляться приказом по организации или аналогичным организационно-распорядительным документом.
Для выполнения мероприятий по обеспечению безопасности информации, обрабатываемой на АП, развернутых в сторонних организациях, и контроля их эффективности назначается лицо, ответственное за обеспечение безопасности ПДн.
При размещении в помещении технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации.
При увольнении или перемещении лица, ответственного за обеспечение безопасности ПДн, руководителем организации должны быть приняты меры по оперативному изменению паролей и идентификаторов используемых средств и систем защиты информации.
Все машинные носители информации (HDD, CD, DVD, флеш-накопители и др.), используемые в технологическом процессе обработки ПДн на АП, развернутых в сторонних организациях, должны быть учтены.
Временно не используемые носители информации должны храниться пользователями в местах, недоступных для посторонних лиц.
В нерабочее время помещения, в которых размещаются АП, развернутые в сторонних организациях, сдаются под охрану в установленном порядке.
При необходимости указанный минимальный набор организационно-технических мер защиты информации может быть расширен по решению руководителя организации.
Требования по организации взаимодействия АП, развернутых в сторонних организациях, с АИС МФЦ ЯО.
Выполнение мероприятий по обеспечению безопасности информации и контроль их эффективности при взаимодействии АП, развернутых в сторонних организациях, с АИС МФЦ ЯО осуществляют лица, ответственные за обеспечение безопасности ПДн в данных организациях.
Вопросы обеспечения безопасности информации, обрабатываемой на АП, развернутых в сторонних организациях, должны быть отражены в приведенных или аналогичных по своей сути организационно-распорядительных документах:
приказ о назначении лица, ответственного за обеспечение безопасности персональных данных;
приказ о контролируемой зоне;
приказ об определении мест хранения носителей персональных данных;
журнал учета обращений и запросов субъектов персональных данных;
журнал учета фактов прекращения обработки персональных данных;
приказ о создании комиссии по уничтожению персональных данных;
форма акта об уничтожении персональных данных;
порядок доступа в помещения, в которых обрабатываются персональные данные, а также в спецпомещения;
перечень лиц, имеющих право самостоятельного доступа в помещения, в которых обрабатываются персональные данные, а также в спецпомещения;
порядок обращения с персональными данными;
перечень целей и сроков обработки персональных данных;
перечень должностей, назначение на которые предполагает доступ к персональным данным или их обработку;
политика оператора в отношении обработки персональных данных;
план внутренних проверок соблюдения требований по обращению с персональными данными и обеспечению их безопасности;
уведомление работника о факте обработки им персональных данных (обязательство о неразглашении);
форма письменного согласия субъекта ПДн на обработку его ПДн;
инструкция пользователя по обращению с СКЗИ;
перечень лиц, допущенных к работе с СКЗИ.
Пользователи АП, развернутых в сторонних организациях, обязаны:
знать порядок работы на АП, порядок регистрации и взаимодействия с АИС МФЦ ЯО;
знать и выполнять требования инструкций по обеспечению безопасности информации на АП;
знать и соблюдать правила работы со средствами защиты информации от НСД, используемыми на АП.
Пользователи АП, развернутых в сторонних организациях, не должны иметь прав производить самостоятельную установку и модификацию установленного на АП программного обеспечения.
Для защиты информационных ресурсов АП, развернутых в сторонних организациях, при подключении к сети Интернет должны быть обеспечены следующие мероприятия:
обеспечение фильтрации входящих/исходящих сетевых пакетов;
скрытие внутренней структуры АП;
осуществление периодического анализа безопасности установленных межсетевых экранов на основе имитации внешних атак на АП;
осуществление активного аудита безопасности АП на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
осуществление анализа принимаемой из сети информации, в том числе на наличие компьютерных вирусов.
-
-
В соответствии с установленными в организации требованиями по безопасности информации могут осуществляться дополнительные мероприятия.
-
Требования к квалификации персонала АП, развернутых в сторонних организациях.
Лицо, ответственное за обеспечение безопасности ПДн, обрабатываемых на АП, должно быть подготовленным специалистом по вопросам настройки и эксплуатации средств защиты (аппаратных и программных), входящих в состав АП.
Квалификация пользователей АП должна позволять им работать с ПЭВМ, операционной системой Microsoft Windows, браузером Internet Explorer из состава операционной системы Microsoft Windows, пакетом офисных программ Microsoft Office, программой Adobe Reader и программным обеспечением АИС МФЦ ЯО на уровне уверенного пользователя.
-
Порядок реализации подключения АП, развернутых в сторонних
организациях, к информационным ресурсам АИС МФЦ ЯО
Основанием для проведения комплекса мероприятий по подключению АП, развернутого в сторонней организации, к информационным ресурсам АИС МФЦ ЯО является официальное указание директора (в случае его отсутствия – заместителя директора) ГАУ ЯО «МФЦ».
Реализация подключения АП, развернутого в сторонней организации, подключаемой к АИС МФЦ ЯО, осуществляется совместно сотрудниками информационно-аналитического отдела ГАУ ЯО «МФЦ» и заинтересованной организацией.
Заинтересованная организация, желающая подключиться к АИС МФЦ ЯО, направляет в ГАУ ЯО «МФЦ» на имя руководителя ГАУ ЯО «МФЦ» официальное письмо-запрос с приложением анкеты пользователей АП (приложение 2 к Регламенту), подписанное руководителем или иным уполномоченным лицом организации.
Копия письма-запроса в формате PDF направляется на электронный адрес начальника информационно-аналитического отдела ГАУ ЯО «МФЦ» – poikalainen@mfc76.ru.
В информационно-аналитическом отделе ГАУ ЯО «МФЦ» на основе сведений, содержащихся в письме-запросе, формируется и направляется в стороннюю организацию, подключаемую к АИС МФЦ ЯО1:
а) файл-дистрибутив со справочно-ключевой информацией для ПО ViPNet Client;
б) файл, содержащий пароль для первичной инициализации ПО ViPNet Client.
В организации осуществляется комплекс работ по установке, монтажу и настройке СЗИ (СКЗИ) АП с привлечением исполнителей, имеющих соответствующий уровень квалификации, из числа сотрудников организаций, обладающих необходимыми лицензиями ФСТЭК России и ФСБ России на осуществление соответствующих видов деятельности.
По результатам аттестационных испытаний на АП, развернутых в сторонних организациях, должен быть получен специальный документ – «Аттестат соответствия», подтверждающий соответствие объекта информатизации требованиям безопасности информации не ниже чем 3 классу защищенности информационных систем в соответствии с Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия».
По окончании проведения работ по защите информации заинтересованная организация должна направить в информационно-аналитический отдел ГАУ ЯО «МФЦ» следующие документы:
заверенная копия акта приема-сдачи работ по установке, монтажу и настройке СЗИ, СКЗИ АП, проведенных исполнителями из числа сотрудников организаций, обладающих необходимыми лицензиями ФСТЭК России и ФСБ России на осуществление соответствующих видов работ;
заверенная копия аттестата соответствия.
-
После получения документов ГАУ ЯО «МФЦ» проводит комплекс мероприятий по логическому подключению АП, развернутого в сторонней организации, к информационным ресурсам АИС МФЦ ЯО.
Пользователям АП, развернутого в сторонней организации, доводятся логины и пароли для доступа к информационным ресурсам АИС МФЦ ЯО.
-
Периодические испытания
Периодические испытания АП, развернутых в сторонних организациях, проводятся уполномоченными лицами соответствующей организации предназначены для периодического контроля заданных при подключении АП к АИС МФЦ ЯО показателей защищенности. Допускается привлечение сторонних организаций, обладающих необходимыми компетенциями в области защиты информации для выполнения данных работ.
Результаты проведенных проверок должны быть зафиксированы в отдельном протоколе периодических испытаний.
При проведении периодических испытаний АП, развернутых в сторонних организациях, должны быть выполнены следующие проверки:
проверки комплектности СЗИ и СКЗИ, используемых для организации защищенного взаимодействия, в соответствии с эксплуатационной документацией;
проверки наличия у СЗИ и СКЗИ, используемых для организации защищенного взаимодействия, действующих сертификатов соответствия;
проверки выполнения требований и рекомендаций по размещению технических средств СЗИ и СКЗИ в соответствии с эксплуатационной документацией;
проверки наличия защищенного канала связи между АП и АИС МФЦ ЯО.
-
Периодические испытания должны проводиться не реже одного раза в год.
Копии протоколов приемо-сдаточных испытаний и протоколов периодических испытаний должны быть предоставлены в информационно-аналитический отдел ГАУ ЯО «МФЦ» в течение 7 рабочих дней по факту получения соответствующего запроса.
-
Контроль
Ответственность за соблюдение требований по обеспечению безопасности информации, а также за соблюдение требований к эксплуатации СЗИ, СКЗИ, которые используются на АП, развернутых в сторонних организациях, лежит на руководителе соответствующей организации.
В случае выявления нарушений требований по защите информации и (или) положений Регламента, ГАУ ЯО «МФЦ» немедленно производит отключение соответствующего АП, развернутого в сторонней организации, от АИС МФЦ ЯО.
Повторное подключение АП, развернутого в сторонней организации, к АИС МФЦ ЯО производится после документального подтверждения устранения нарушений по безопасности информации организацией, АП которой был отключен, а также после ознакомления ответственных сотрудников ГАУ ЯО «МФЦ» с текущим уровнем обеспечения информационно безопасности ранее отключенного АП.
Разработано:
ООО «Стандарт безопасности»
(г. Ярославль, ул. Угличская, д. 39В, ИНН 7604131520, КПП 760401001)
|
Заместитель директора,
главный инженер
|
|
К.Ф. Тарасевич
|
Приложение 1
к Регламенту
Требования к составу технических и программных средств
абонентских пунктов АИС МФЦ ЯО, развернутых в сторонних организациях
Персональный компьютер с характеристиками, предъявляемыми к ПЭВМ, использующей в качестве операционной системы программное обеспечение Microsoft Windows.
Для защиты информации, обрабатываемой в АИС МФЦ ЯО должны использоваться:
сертифицированное ФСТЭК России по требованиям безопасности информации СЗИ от НСД;
сертифицированное ФСТЭК/ФСБ России средство межсетевого экранирования;
сертифицированное ФСТЭК России средство антивирусной защиты;
сертифицированное ФСБ России СКЗИ, совместимое с СКЗИ семейства ViPNet производства компании ОАО «ИнфоТеКС»;
другие сертифицированные средства защиты информации, необходимые для нейтрализации актуальных угроз безопасности информации при ее обработке на АП.
Наличие подключения к сети провайдера передачи данных.
Наличие (при необходимости) сканера и принтера, подключенных к рабочему месту.
Приложение 2
к Регламенту
Анкета пользователя абонентского пункта АИС МФЦ ЯО
1. Сведения об организации
Наименование организации:
|
|
Наименование структурного подразделения:
|
|
Должность руководителя организации:
|
|
Фамилия, имя, отчество руководителя организации:
|
|
Адрес организации:
|
|
Контактные телефоны организации:
|
|
2. Сведения об абонентском пункте
Место расположения АП:
|
|
IP-адрес АП:
|
|
Внешний IP-адрес NAT устройства, за которым расположен АП (при наличии такового):
|
|
Цель подключения к АИС МФЦ ЯО:
|
|
3. Сведения о пользователях2
Фамилия, имя, отчество:
|
|
Должность пользователя:
|
|
Роль пользователя в АИС МФЦ ЯО:
|
|
Контактный телефон (рабочий):
|
|
Контактный телефон (мобильный):
|
|
Адрес электронной почты (рабочий):
|
|
4. Сведения о лице, ответственном за обеспечение безопасности ПДн
Фамилия, имя, отчество:
|
|
Контактный телефон (рабочий):
|
|
Контактный телефон (мобильный):
|
|
Адрес электронной почты (рабочий):
|
|
|