О ПОРЯДКЕ ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ ФЕДЕРАЛЬНОГО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА. Положение. Министерство путей сообщения РФ (МПС России). 06.04.00 ЦИС-763

Оглавление

           О ПОРЯДКЕ ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ
               ФЕДЕРАЛЬНОГО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

                              ПОЛОЖЕНИЕ

                   МИНИСТЕРСТВО ПУТЕЙ СООБЩЕНИЯ РФ

                           6 апреля 2000 г.
                              N ЦИС-763

                                 (Д)


                                                             УТВЕРЖДАЮ
                                                  Заместитель Министра
                                                       путей сообщения
                                                  Российской Федерации
                                                           А.С.МИШАРИН
                                                    6 апреля 2000 года
                                                             N ЦИС-763

                          1. Общие положения

     1.1.   Настоящее   Положение   устанавливает  порядок  допуска  к
информационным  ресурсам  и базам данных федерального железнодорожного
транспорта   (далее   -  железнодорожный  транспорт)  и  осуществления
контроля за правильностью их использования.
     1.2. Настоящее Положение предназначено для руководящих работников
МПС России, железных дорог, ответственных исполнителей департаментов и
управлений     МПС     России,     разработчиков,     администраторов,
эксплуатационного     персонала,    а    также    других    работников
железнодорожного  транспорта,  связанных  с  процессом  предоставления
информационных ресурсов.
     Основные   термины   и   определения,  используемые  в  настоящем
Положении, приведены в Приложении 1 к настоящему Положению.
     Требования   настоящего   Положения  являются  обязательными  для
исполнения сотрудниками подразделений (отделов и групп) информационной
безопасности  информационных  систем (ИС) и телекоммуникационных сетей
(ТС)   железнодорожного   транспорта   при   разработке  требований  и
рекомендаций  к  системам  разграничения доступа при защите информации
ограниченного  доступа  в ИС и ТС железнодорожного транспорта, а также
при    определении   порядка   обеспечения   защиты   информации   при
взаимодействии  пользователей  ИС  железнодорожного транспорта (ИС МПС
России) с информационными системами организаций, не входящих в систему
федерального  железнодорожного  транспорта,  а  также  информационными
системами общего пользования.
     1.3.  При  использовании  информации, хранящейся в ИС МПС России,
должны  обеспечиваться  безопасность  Российской  Федерации,  а  также
защита интересов организаций железнодорожного транспорта. С этой целью
осуществляется  разделение  информационных  ресурсов  на  категории по
защите информации.
     1.4.  Информация,  содержащаяся  в ИС МПС России, предоставляется
пользователям     организациями    железнодорожного    транспорта    в
установленном   порядке   на   договорной  основе  по  согласованию  с
владельцем этой информации.
     1.5.   Копирование   информации   из   ИС  МПС  России  для  нужд
пользователей осуществляется с разрешения МПС России.
     1.6.  Лица,  допустившие  нарушение правил защиты и использования
информации или совершившие действия, приведшие к нарушению целостности
данных  или  к  утечке  информации,  привлекаются  к ответственности в
соответствии с законодательством Российской Федерации.
     1.7.  Предоставление  информационных  ресурсов  организациям,  не
входящим  в  систему  железнодорожного  транспорта,  осуществляется на
договорной основе с учетом требований настоящего Положения.

        2. Разграничение информационных ресурсов ИС МПС России
                на категории по уровням доступа к ним

     2.1. Информационные ресурсы (ИР) ИС МПС России представляют собой
отдельные  документы  и  массивы  документов в электронной форме, базы
данных   и   программное  обеспечение,  используемые  для  обеспечения
функционирования железнодорожного транспорта.
     Вся    информация    (информационные   ресурсы),   представляемая
пользователям ИС МПС России, подразделяется на два класса:
     общедоступная  информация (общедоступные ИР), то есть информация,
доступная для всех категорий пользователей ИС;
     информация с ограниченным доступом (ИР с ограниченным доступом).
     Информация  с  ограниченным  доступом  по  условиям  ее правового
режима  подразделяется  на  информацию,  отнесенную  к государственной
тайне, и конфиденциальную информацию.
     2.2.  По требуемому уровню защищенности информация с ограниченным
доступом из ИС МПС России подразделяется на следующие категории:
     первая   категория:  к  ней  относится  информация,  составляющая
государственную  тайну,  а  также  информация  о  комплексной  системе
безопасности ИС и парольная информация администраторов безопасности;
     вторая  категория:  к  ней относится конфиденциальная информация,
составляющая служебную тайну;
     третья  категория:  к  ней относится конфиденциальная информация,
составляющая  коммерческую  тайну, а также информация о структуре ИС и
IP-адреса  абонентов системы передачи информации ИС, то есть служебная
управляющая информация.
     2.3. Правовую основу для отнесения информационных ресурсов (ИР) к
первой    категории    составляет    Перечень   сведений,   подлежащих
засекречиванию  по  Министерству путей сообщения Российской Федерации,
утвержденный Приказом МПС России от 29.04.1996 N 0142.
     К   информационным  ресурсам  первой  категории  относится  также
информация из следующих подсистем ИС МПС России:
     подсистемы изготовления ключей и паролей;
     подсистемы авторизации подписи;
     программно-аппаратной части серверов безопасности;
     подсистемы  сбора  и  анализа  аудиторской информации о состоянии
безопасности ИС;
     подсистемы  обеспечения  резервирования баз данных и программного
обеспечения;
     базы  данных  документов по вопросам информационной безопасности,
ее копия и архив.
     2.4.  Правовую  основу  для  отнесения информационных ресурсов ко
второй  категории  составляет  Перечень  сведений  Министерства  путей
сообщения Российской Федерации, не подлежащих открытому опубликованию,
утвержденный  указанием МПС России от 08.04.1994 N М-288/сп-у, а также
Положение   о   порядке   обращения  с  конфиденциальной  информацией,
утвержденное указанием МПС России от 24.05.1999 N Л-906 у/сп.
     2.5.  Правовую  основу  для  отнесения  информационных ресурсов к
третьей   категории  составляют  Перечень  сведений  конфиденциального
характера,  утвержденный указанием МПС России от 14.03.1997 N 79 пр-у,
Перечень  сведений,  относящихся  к  категории  "коммерческая  тайна",
утвержденный  указанием  МПС  России  от  24.05.1999  N  Л-906 у/сп, и
Положение   о   порядке   защиты   от   несанкционированного   доступа
конфиденциальной    информации,   составляющей   коммерческую   тайну,
передаваемой  по  незащищенным техническим каналам связи, утвержденное
указанием МПС России от 16.06.1999 N А-1076 сп/у.

                 3. Способы предоставления информации

     3.1.  Информация  из  ИС  МПС  России предоставляется в следующем
виде:
     на  бумажном  носителе в виде распечатки на печатающем устройстве
электронно-вычислительной машины и доставляемой пользователю нарочным;
     с  помощью  персональных  электронно-вычислительных машин (ПЭВМ),
имеющих  выход на вычислительный комплекс по каналам связи посредством
сети передачи информации ИС МПС России;
     с использованием магнитных носителей информации (дискет и т.п.);
     с  использованием  телеграфной  связи, включенной в сеть передачи
информации.
     3.2.  Любая  информация, получаемая пользователями ИС МПС России,
должна   быть   учтена   как   в   организациях  обработки  информации
железнодорожного    транспорта    (далее   -   организация   обработки
информации), так и в самой организации-пользователе.

                     4. Правила защиты информации

     4.1. Основными задачами обеспечения защиты информации при доступе
пользователей  к  информационным  ресурсам железнодорожного транспорта
являются:
     организация   и   осуществление  разрешительной  системы  допуска
пользователей  к  работе  с  документами  и  сведениями  ограниченного
доступа (ИР 1, 2, 3 категорий);
     организация  хранения и обращения с конфиденциальными документами
(носителями информации);
     осуществление закрытой переписки и шифрованной связи;
     организация   и   координация   работ   по   защите   информации,
обрабатываемой  и  передаваемой  средствами и системами вычислительной
техники и связи в ИС МПС России.
     4.2.    Допуск    пользователей    к    информационным   ресурсам
железнодорожного  транспорта  осуществляется  на  основе  интеграции и
согласованного   взаимодействия  трех  основных  систем,  составляющих
соответственно три рубежа защиты:
     общей  организационной  системы  пропуска  персонала в здания МПС
России и управлений железных дорог;
     технической системы контроля за пропуском персонала на объекты ИС
МПС России (ГВЦ МПС России и ИВЦ железных дорог);
     программно-технической  системы обеспечения доступа пользователей
к   информационным  ресурсам  железнодорожного  транспорта  с  рабочих
станций (РС) и автоматизированных рабочих мест (АРМ).
     4.3.   Правовую  основу  функционирования  общей  организационной
системы пропуска персонала в здания МПС России (система первого рубежа
защиты)  составляют  Правила  пропускного  режима  в  служебные здания
Министерства   путей   сообщения  Российской  Федерации,  утвержденные
указанием  МПС  России  от  24.03.1999 N Л-328у, и Правила пропускного
режима  на объектах Министерства путей сообщения Российской Федерации,
утвержденные МПС России от 13.01.1997 N ЦУО-419.
     4.4. Техническая система контроля за пропуском персонала в здания
МПС России и управлений железных дорог (система второго рубежа защиты)
строится на основе:
     оборудования  контрольно-пропускных  пунктов (постов) в зданиях и
помещениях   МПС  России  и  управлений  железных  дорог  техническими
средствами,   обеспечивающими  достоверный  контроль  проходящих  лиц,
объективную  регистрацию прохода и предотвращение несанкционированного
проникновения в них посторонних лиц;
     выделения технологических зон размещения вычислительных средств и
баз хранения информационных ресурсов отрасли и оборудования помещений,
в  которых  расположены  элементы  ИС  МПС  России,  средствами защиты
(замками)   и  системами  контроля  доступа  персонала,  в  том  числе
автоматизированными;
     оборудования  персональных электронно-вычислительных машин (ПЭВМ)
средствами защиты от несанкционированного включения.
     4.5.    Программно-техническая    система   обеспечения   доступа
пользователей  к информационным ресурсам железнодорожного транспорта с
рабочих  станций  и  автоматизированных  рабочих  мест  ИС  МПС России
(третий рубеж защиты) должна обеспечивать реализацию следующих функций
разграничения доступа:
     разграничение  доступа  пользователей  в  соответствии с матрицей
доступов,     формируемой    службой    информационной    безопасности
(администраторами   безопасности,   назначенными   в   соответствии  с
указанием  МПС  России  от  16.06.1999  N  А-1076  сп/у)  на основании
письменного    разрешения   руководителя   организации   (структурного
подразделения организации) железнодорожного транспорта;
     идентификацию  и  аутентификацию пользователей при входе в ИС МПС
России;
     аудит действий пользователей в ИС МПС России;
     шифрование  информации и данных 1-й категории на дисках и съемных
носителях;
     обеспечение  поставки  авторизованной электронной подписи с целью
осуществления контролируемого документооборота в ИС МПС России.
     4.6. Выполнение установленных требований по разграничению доступа
контролируется организациями обработки информации (ГВЦ МПС России, ИВЦ
железных    дорог)   с   использованием   автоматизированной   системы
санкционированного   доступа  с  фиксацией  даты  и  времени  доступа,
наименования баз данных, в которые была осуществлена попытка обращения
организаций-пользователей,  количество  таких  случаев, а также объема
передаваемой    информации    по   запросу   организации-пользователя.
Статистический  учет  организаций-пользователей и регламента их работы
производится системой санкционированного доступа.
     Кроме того, подразделения информационной безопасности организаций
обработки информации осуществляют контроль потоков информации в ИС МПС
России  и  активный  контроль  среды, выявляющий признаки деятельности
нарушителя (искусственный трафик в сети).
     4.7.    При    увольнении,    перемещении    пользователей    или
администраторов    ИС   МПС   России   подразделением   информационной
безопасности  (совместно с администратором безопасности ИС МПС России)
должны   быть   приняты   меры   по  оперативному  изменению  паролей,
идентификаторов и ключей шифрования.
     4.8. В соответствии с Указом Президента Российской Федерации от 6
октября  1998 г. N 1189 и решением Гостехкомиссии России от 21 октября
1997 г. N 61 не разрешается подключение к глобальной компьютерной сети
"Интернет"  средств  вычислительной  техники,  входящих  в комплексную
информационно-вычислительную  сеть  МПС  России  (КИВС МПС России) или
локальные   вычислительные   сети   (ЛВС),   а  также  функционирующих
автономно,     но    обрабатывающих    информацию    секретного    или
конфиденциального характера.

             5. Организация контролируемого электронного
                   документооборота в ИС МПС России

     5.1.   Пользователь,   разрабатывающий   электронные   документы,
указанные в пункте 2.2 настоящего Положения, должен иметь персональную
электронную  подпись.  Подпись  может  быть  реализована  или  по ГОСТ
3410-94,  ГОСТ  3411-94,  или  при  помощи  утвержденного  МПС  России
алгоритма  шифрования  и набора ключей. В первом случае подпись должна
иметь  сертификат  Центра  авторизации  подписи,  который  может  быть
реализован  на  базе  одного  из  серверов безопасности ИС МПС России.
Подписи  и персональные ключи должны готовиться на изолированной от ИС
МПС России рабочей станции.
     При  отправлении по электронной почте указанных документов должны
передаваться  все  подписи, подтверждающие их информационные элементы.
Получатель  документа,  переданного по почте, должен иметь возможность
проверить подписи в документе.
     5.2.  На  специализированном  сервере  ИС  МПС России должна быть
создана  база  данных  документов. Если документ относится к категории
ограниченного   доступа  (это  определяет  ответственный  за  документ
пользователь  в  соответствии  с  требованиями  раздела  2  настоящего
Положения)  и  (или)  в  документ  внесены  завизированные  правки или
отметки  о согласовании, то документ должен быть занесен в базу данных
(БД)  документов  путем  отправки  на  указанный сервер по электронной
почте.
     Документ   может   храниться  в  БД  документов  в  открытом  или
зашифрованном   виде  на  ключе  пославшего  его  в  БД  пользователя.
Поскольку в БД могут храниться несколько версий одного документа, то к
именам   соответствующих   версий   должен  добавляться  идентификатор
пользователя,  записавшего  документ  в БД, а также номер версии. В БД
документов  можно  только  добавлять  новые документы и версии, ничего
нельзя  стирать  и  изменять,  старые  документы должны отправляться в
архив.    БД    документов    должны   регулярно   резервироваться   и
архивироваться.
     5.3.   При   создании  бумажной  версии  документа  ответственный
исполнитель  должен  зафиксировать данный факт на электронной версии и
указать  на  бумажной  копии  название  электронной  версии  под  свою
подпись,   а   также   указать   перечень   проведенных  согласований,
зафиксированных в БД документов.
     Порядок  получения  информации  на бумажных носителях определен в
разделе 7 настоящего Положения.
     5.4.  При переносе документа с бумажной версии на электронную, на
бумажной  версии  должно  указываться  название  электронной  версии и
реквизиты  ответственного  за  электронную версию лица. На электронной
версии указывается бумажный источник.
     Уничтожение  электронного  документа  на  рабочей  станции  и его
архивирование  в  БД  определяется  пользователем, разрабатывавшим или
корректировавшим электронный документ.

           6. Порядок подключения терминалов пользователей

     6.1. В организации-пользователе определяется перечень должностных
лиц,    наделенных    правом   доступа   к   информационным   ресурсам
железнодорожного  транспорта,  и их полномочия по доступу к конкретным
базам данных ИС МПС России.
     6.2.  Заявка  на  подключение  конкретных  пользователей  к базам
данных  ГВЦ  МПС  России  согласовывается  с Управлением экономической
защиты  и  направляется  в  Департамент  информатизации и связи (ЦИС).
Решение  Департамента  информатизации  и связи является основанием для
ГВЦ  МПС России на подключение пользователей к информационным ресурсам
железнодорожного транспорта.
     6.3.   В   случае   необходимости   подключения  пользователей  к
информационным  ресурсам  других департаментов и управлений МПС России
заявка,  перед  представлением  в  ЦИС, согласовывается с руководством
соответствующего департамента или управления.
     6.4.   Терминалы,   включенные   в   глобальную   сеть  Internet,
международные  и  общегосударственные  сети передачи данных, не должны
иметь   доступа   к   ИС   МПС  России  (КИВС  МПС  России,  локальным
вычислительным сетям и т.д.).
     6.5.   Подключение   терминалов   пользователей  (ПЭВМ,  дисплея,
телетайпа)   к  ИС  МПС  России  производится  на  основе  письменного
разрешения  Департамента  информатизации  и  связи  в  соответствии  с
Порядком  эксплуатации  комплексной  информационно-вычислительной сети
МПС   России   (КИВС   МПС   России).   Форма  заявки  на  подключение
пользователей  в  КИВС МПС России и установку программного обеспечения
приведена в Приложении 2 к настоящему Положению.
     6.6.  В  заявке  на  подключение  терминала  должны быть отражены
следующие вопросы:
     функциональное назначение терминала;
     марка  подключаемого терминала, наличие разрешения ГВЦ МПС России
или  ИВЦ железной дороги на право использования данного оборудования в
ИС МПС России;
     фамилия, инициалы и должность лица, ответственного за организацию
эксплуатации терминала и защиту информации в организации-пользователе;
     указание  перечня информации, который пользователь будет получать
на терминал;
     время  работы  терминала  (начало, окончание), специфика работы в
выходные и праздничные дни;
     перечень   лиц,  допускаемых  к  работе  с  терминалом  (фамилия,
инициалы).
     6.7.  Организация  обработки  информации осуществляет регистрацию
заявки на подключение терминалов в Первом отделе (для доступа к ИР 1-й
категории)   или  в  подразделении  информационной  безопасности  (для
доступа  к  ИР  2-й  и 3-ей категорий), присваивает код автоответа для
терминала,   совместно  с  пользователем  определяет  пароль,  который
фиксируется  в  журнале  специального  учета и в котором расписывается
пользователь.
     6.8.  На  основании  заявки на подключение терминала Первый отдел
или    подразделение    информационной   безопасности   (администратор
безопасности)    организации    обработки    информации    данные    о
предоставленных полномочиях и правах пользователя вносит в программные
средства  защиты  ИС  МПС России, после чего осуществляется физическое
подключение   пользователя   к   действующей  системе  и  контроль  за
установленным порядком доступа к информации и ее использования.
     По   результатам   указанного   контроля   организация  обработки
информации    представляет    данные   контроля   в   ЦИС   и   другие
заинтересованные  департаменты  и  управления МПС России для анализа и
принятия   решения   о   выполнении   требований   по   информационной
безопасности.
     6.9.   Подключение   терминала  пользователя  оформляется  актом,
который  подписывается представителем организации обработки информации
и  представителем  организации-пользователя,  ответственным  за защиту
информации.
     6.10. Телеграфная связь для получения информации из баз данных ИС
МПС России используется только работниками железнодорожного транспорта
при отсутствии ПЭВМ.

          7. Порядок получения информации, распространяемой
                        на бумажных носителях

     7.1. Для получения информации, выдаваемой организациями обработки
информации   на  бумажных  носителях,  руководитель  департамента  или
управления   МПС  России,  службы  (отдела)  железной  дороги,  других
предприятий  и организаций железнодорожного транспорта должен подать в
письменной   форме  заявку  в  соответствующую  организацию  обработки
информации с визой Первого отдела (для доступа к ИР 1-й категории) или
подразделения  информационной  безопасности  (для  доступа к ИР 2-ой и
3-ей категорий) организации-пользователя железнодорожного транспорта.
     Предоставление   ИР  организациям-пользователям,  не  входящим  в
систему  железнодорожного  транспорта,  осуществляется  на  договорной
основе с учетом требований настоящего Положения.
     В  заявке  на  предоставление информационных ресурсов должно быть
указано (Приложение 3 к настоящему Положению):
     организационно-правовая  форма  (ЗАО,  ОАО,  ООО и т.п.) и полное
наименование  организации-пользователя,  ее  юридический  адрес (номер
телефона);
     наименование, перечень задач и код документа;
     фамилия, инициалы пользователя документа и его адрес;
     периодичность выдачи документа, с указанием особенностей выдачи в
выходные и праздничные дни;
     ответственный за хранение документа.
     7.2.  Вся  информация,  предоставляемая  пользователям,  подлежит
анализу с точки зрения ее конфиденциальности и (или) секретности.
     Решение    о    возможности    передачи    секретной   информации
организациям-пользователям,  не  входящим  в  систему железнодорожного
транспорта,  принимается  руководством  МПС  России  в  соответствии с
Законом Российской Федерации "О государственной тайне".
     Анализ  информации  на  конфиденциальность  и  принятие решения о
предоставлении конфиденциальной информации организациям-пользователям,
не  входящим  в  систему  железнодорожного  транспорта, осуществляется
причастными департаментами и управлениями МПС России по согласованию с
Управлением экономической защиты.
     Первый   отдел   (для   ИР   1-й   категории)  или  подразделение
информационной  безопасности  (для ИР 2-й и 3-й категорий) организации
обработки   информации   осуществляет   регистрацию   поступающих   от
организаций-пользователей  заявок  и  направляет  их в соответствующее
подразделение  для  включения  в разнарядку на доставку. Подразделения
организации    обработки   информации,   отвечающие   за   обеспечение
информационной    безопасности,   при   необходимости,   разрабатывают
предложения  и определяют в установленном порядке условия и требования
по    защите    секретной    и    конфиденциальной    информации    от
несанкционированного доступа.
     7.3.  На  каждого пользователя в организации обработки информации
заводится  регистрационная карточка, в которую заносится перечень всех
задач и документов, выдаваемых пользователю.
     7.4.  Документы или их копии (если документ одновременно выдается
нескольким   пользователям)   регистрируются   организацией  обработки
информации  и  выдаются  пользователю на руки под расписку в разносной
книге.
     7.5. Все носители информации с ограниченным доступом на бумажной,
а также магнитной, оптической (магнитооптической) основе, используемые
в  технологическом  процессе  обработки  информации  в  ИС МПС России,
подлежат учету.
     Учет отчуждаемых носителей информации на магнитной или оптической
основе   (гибких   магнитных   дисков,   дискет,  съемных  накопителей
информации  большой  емкости  или  картриджей, съемных пакетов дисков,
магнитных  лент  и  других  носителей),  а также распечаток текстовой,
графической и иной информации на бумажной или пластиковой (прозрачной)
основе осуществляется по карточкам или журналам установленной формы, в
том  числе  автоматизировано  с  использованием средств вычислительной
техники.  При  этом перед выполнением работ сотрудником, ответственным
за  их учет, на этих носителях информации предварительно проставляются
любым  доступным способом следующие учетные реквизиты: учетный номер и
дата,   гриф   конфиденциальности,  номер  экземпляра,  подпись  этого
сотрудника,  а также другие возможные реквизиты, идентифицирующие этот
носитель.
     Распечатки  учитываются совместно с другими печатными документами
по установленным для этого учетным формам.

         8. Порядок получения информации через подразделения
            системы фирменного транспортного обслуживания
                     железнодорожного транспорта

     8.1.    Предоставление    информации   на   коммерческой   основе
организациям-пользователям    может   осуществляться   подразделениями
системы   фирменного   транспортного   обслуживания   железнодорожного
транспорта   на   основании   типового   договора   на  предоставление
информационных  услуг  с  учетом  требований  настоящего  Положения. В
договоре   оговаривается  перечень  предоставляемых  услуг,  регламент
предоставления  информации  с  учетом требований настоящего Положения,
средства  доступа,  стоимость  услуг  и  иные  условия  предоставления
информации.
     8.2.   Анализ   конфиденциальности  предоставляемой  коммерческим
пользователям  информации и принятие решения о возможности ее передачи
осуществляет  Управление  экономической  защиты (на железных дорогах -
работник,  ответственный  за  защиту  экономических интересов железной
дороги,  назначаемый  в  установленном  порядке).  ГВЦ МПС России (ИВЦ
железных  дорог) организовывают техническое обеспечение предоставления
соответствующих  информационных  ресурсов  из  отраслевых баз, а также
осуществляют    контроль    и   учет   информации,   отпускаемой   для
предоставления коммерческим пользователям.

              9. Организационные мероприятия, проводимые
                 в процессе использования информации

     9.1. В процессе использования информации организация-пользователь
железнодорожного транспорта выполняет следующие мероприятия:
     приказом   руководителя   назначаются   ответственные   лица,   и
определяется  совместно  с  организацией  обработки информации порядок
проведения работы по профилактике и анализу нарушений, зафиксированных
системой регистрации запросов информационных систем;
     в должностные инструкции (карты) работников, использующих в своей
работе  данные  (информацию),  получаемые  из  ИС МПС России, вносятся
требования по обеспечению защиты информации;
     при  передаче  смены,  в начале рабочего дня выполняется проверка
ПЭВМ  на  отсутствие  компьютерных  вирусов.  В  случае их обнаружения
всякая  работа должна быть немедленно прекращена, компьютер выключен и
об  этом  немедленно  должен  быть  поставлен  в известность системный
администратор  организации  обработки  информации либо начальник смены
информационно-вычислительного центра.
     9.2.  Подразделения организации обработки информации обеспечивают
с  помощью  программных  средств  учет  и  регистрацию  всех обращений
пользователей   за  получением  информации,  в  том  числе  и  попыток
неправомерного получения пользователями информации.
     9.3.  Руководитель  организации обработки информации обеспечивает
систематический   контроль  выполнения  пользователями  технических  и
организационных мер по защите информации.
     По  результатам контроля, в случае выявления нарушений требований
по  обеспечению  безопасности информации, администратор безопасности и
(или) руководитель подразделения информационных технологий имеют право
заблокировать  с  помощью  средств  защиты  информации соответствующее
рабочее   место  до  устранения  причин,  приведших  к  нарушениям,  с
составлением  соответствующего  акта.  Акт  утверждается руководителем
организации обработки информации. В этом случае, назначаемой комиссией
(в   комиссию   в   обязательном   порядке   включаются  администратор
безопасности  и  сотрудники,  отвечающие  за  защиту  конфиденциальной
информации) проводится служебное расследование.

Согласовано
Начальник юридического Управления
                                                         А.А.МЕЛЬНИКОВ

Руководитель Департамента
информатизации и связи
                                                           В.С.ВОРОНИН

Начальник Управления
экономической защиты
                                                          П.Е.МАРТЫНОВ

Директор Аттестационного центра
"Желдоринформзащита МПС России"
                                                            М.М.ПЕТРОВ

И.о. Начальника ГВЦ МПС РФ
                                                          В.Ф.ВИШНЯКОВ

Заместитель
Генерального директора
Центра Фирменного Транспортного
Обслуживания МПС России
                                                           Е.А.КУНАЕВА

Начальник Первого отдела
МПС России
                                                            А.А.КРЫЛОВ


                                                          Приложение 1

                                                 к Положению о порядке
                                         предоставления информационных
                                                 ресурсов федерального
                                           железнодорожного транспорта

                  ИСПОЛЬЗУЕМЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

---------------------------------------------------------------------------------
| Информация             | Сведения о лицах, предметах, фактах, событиях,       |
|                        | явлениях и процессах независимо от формы их          |
|                        | представления                                        |
|------------------------|------------------------------------------------------|
| Информационные         | Отдельные документы и отдельные массивы              |
| ресурсы                | документов в электронной форме, базы данных и        |
| информационной         | программное обеспечение, используемые в              |
| системы                | информационных системах                              |
|------------------------|------------------------------------------------------|
| Информационная         | Приемы, способы и методы применения средств          |
| технология             | вычислительной техники при выполнении функций        |
|                        | хранения, обработки, передачи и использования        |
|                        | данных (ГОСТ 34.003)                                 |
|------------------------|------------------------------------------------------|
| Информационный         | Процесс создания, сбора, обработки, накопления,      |
| процесс                | хранения, поиска, распространения и потребления      |
|                        | информации                                           |
|------------------------|------------------------------------------------------|
| Документированная      | Информация, зафиксированная на материальном          |
| информация, документ   | носителе, с реквизитами, позволяющими ее             |
|                        | идентифицировать.                                    |
|                        |  Примечание:                                         |
|                        |  Документированная информация с ограниченным         |
|                        | доступом по условиям ее правового режима             |
|                        | подразделяется на информацию, отнесенную к           |
|                        | государственной тайне, и конфиденциальную            |
|------------------------|------------------------------------------------------|
| Защищаемая информация  | Информация, являющаяся предметом собственности и     |
|                        | подлежащая защите в соответствии с требованиями      |
|                        | правовых документов, или требования,                 |
|                        | устанавливаемые собственником информации             |
|------------------------|------------------------------------------------------|
| Государственная тайна  | Защищаемые государством сведения в области его       |
|                        | военной, внешнеполитической, экономической,          |
|                        | разведывательной, контрразведывательной и            |
|                        | оперативно-розыскной деятельности, распространение   |
|                        | которых может нанести ущерб безопасности             |
|                        | Российской Федерации.                                |
|                        |  Примечание:                                         |
|                        |  Отнесение информации к государственной тайне        |
|                        | осуществляется в соответствии с Законом              |
|                        | Российской Федерации "О государственной тайне"       |
|------------------------|------------------------------------------------------|
| Секретная информация   | Информация, содержащая сведения, отнесенные к        |
|                        | государственной тайне                                |
|------------------------|------------------------------------------------------|
| Конфиденциальная       | Информация, не составляющая государственную          |
| информация             | тайну, доступ к которой ограничивается в             |
|                        | соответствии с законодательством Российской          |
|                        | Федерации                                            |
|------------------------|------------------------------------------------------|
| Служебная тайна        | Сведения служебного характера, не составляющие       |
|                        | государственную тайну, доступ к которым              |
|                        | ограничивается органами государственной власти       |
|                        | в соответствии с Гражданским кодексом                |
|                        | Российской Федерации и федеральными законами         |
|------------------------|------------------------------------------------------|
| Коммерческая тайна     | Сведения, связанные с коммерческой деятельностью,    |
|                        | не составляющие государственную тайну,               |
|                        | доступ к которым ограничен в соответствии с          |
|                        | Гражданским кодексом Российской Федерации и          |
|                        | федеральными законами                                |
|------------------------|------------------------------------------------------|
| Доступность информации | Состояние информации, ее носителей и технологии      |
|                        | ее обработки, при котором обеспечивается             |
|                        | беспрепятственный доступ к информации субъектов,     |
|                        | имеющих на это надлежащие полномочия                 |
|------------------------|------------------------------------------------------|
| Доступ к информации    | Получение субъектом возможности ознакомления с       |
|                        | информацией и/или воздействия на нее (проникновения  |
|                        | к защищаемой информации), в том числе при            |
|                        | помощи технических средств                           |
|------------------------|------------------------------------------------------|
| Разграничение доступа  | Способ защиты информации путем установления          |
|                        | правил разграничения доступа к информации и/или      |
|                        | объекту защиты                                       |
|------------------------|------------------------------------------------------|
| Правила разграничения  | Совокупность норм и правил, регламентирующих         |
| доступа                | порядок доступа к информации и/или объекту           |
|                        | зашиты                                               |
|------------------------|------------------------------------------------------|
| Правило доступа к      | Порядок и условия доступа субъекта к защищаемой      |
| защищаемой информации; | информации и ее носителям                            |
| правило доступа        |                                                      |
|------------------------|------------------------------------------------------|
| Право доступа к        | Совокупность норм, регулирующих отношение            |
| защищаемой информации, | субъектов к защищаемой информации, установленных     |
| право доступа          | правовыми документами или собственником,             |
|                        | владельцем информации                                |
|------------------------|------------------------------------------------------|
| Санкционированный      | Доступ к информации, не нарушающий право доступа     |
| доступ к информации    |                                                      |
|------------------------|------------------------------------------------------|
| Несанкционированный    | Доступ к защищаемой информации заинтересованным      |
| доступ к информации    | субъектом с нарушением установленных нормативны-     |
|                        | ми правовыми актами или собственником,               |
|                        | владельцем информации прав и правил доступа к        |
|                        | защищаемой информации                                |
|------------------------|------------------------------------------------------|
| Субъект доступа        | Лицо или процесс, действия которого регламентируются |
|                        | правилами разграничения доступа                      |
|------------------------|------------------------------------------------------|
| Нарушитель правил      | Субъект, осуществляющий несанкционированный          |
| разграничения доступа  | доступ к информации                                  |
|------------------------|------------------------------------------------------|
| Уровень полномочий     | Совокупность прав доступа субъекта доступа           |
| субъекта доступа       |                                                      |
|------------------------|------------------------------------------------------|
| Идентификатор доступа  | Уникальный признак субъекта или объекта доступа      |
|------------------------|------------------------------------------------------|
| Идентификация          | Присвоение субъектам и объектам доступа              |
|                        | идентификатора и/или сравнение предъявляемого        |
|                        | идентификатора с перечнем присвоенных                |
|                        | идентификаторов                                      |
|------------------------|------------------------------------------------------|
| Пароль                 | Идентификатор субъекта доступа, который              |
|                        | является его секретом                                |
|------------------------|------------------------------------------------------|
| Аутентификация         | Проверка принадлежности субъекта доступа             |
|                        | предъявленному им идентификатору, подтверждение      |
|                        | подлинности                                          |
|------------------------|------------------------------------------------------|
| Администратор          | Субъект доступа, ответственный за защиту             |
| безопасности           | автоматизированной системы от несанкционированного   |
|                        | доступа к информации и несанкционированных           |
|                        | воздействий на нее                                   |
|------------------------|------------------------------------------------------|
| Секретность            | Характеристика информации, свидетельствующая о       |
| (конфиденциальность)   | принадлежности информации к секретной                |
| информации             | (конфиденциальной)                                   |
|------------------------|------------------------------------------------------|
| Метка секретности      | Символ, знак или их совокупность, нанесенные на      |
| (конфиденциальности)   | носитель информации, свидетельствующие об отнесении  |
| информации             | информации к секретной (конфиденциальной)            |
|------------------------|------------------------------------------------------|
| Гриф секретности       | Реквизиты, свидетельствующие о степени               |
| (конфиденциальности)   | секретности (конфиденциальности) информации,         |
|                        | проставляемые на самом материальном носителе         |
|                        | и/или в сопроводительной документации на него        |
|------------------------|------------------------------------------------------|
| Пользователь           | Подразделение МПС России, организация федерального   |
| (организация -         | железнодорожного транспорта либо работник            |
| пользователь)          | указанных подразделений и организаций, а также       |
|                        | организации, не входящие в систему федерального      |
|                        | железнодорожного транспорта, и физические лица,      |
|                        | имеющие доступ к ИС МПС России в соответствии с      |
|                        | заключенными договорами                              |
---------------------------------------------------------------------------------


                                                          Приложение 2

                                                 к Положению о порядке
                                         предоставления информационных
                                                 ресурсов федерального
                                           железнодорожного транспорта

                                ЗАЯВКА
            НА ПОДКЛЮЧЕНИЕ В КИВС И УСТАНОВКУ ПРОГРАММНОГО
                             ОБЕСПЕЧЕНИЯ

     1. Департамент --------------------------------------------------
     2. Адрес --------------------------------------------------------
     3. Комната ------------------------------------------------------
     4. Телефон, факс ------------------------------------------------
     5. Фамилия, имя, отчество пользователя --------------------------
     6. Программные средства -----------------------------------------
     7. Характеристика ПК --------------------------------------------
----------------------------------------------------------------------
----------------------------------------------------------------------
     8. Код абонента (устанавливается ГВЦ МПС России) ----------------
     9. Logon/пароль (устанавливается ГВЦ МПС России) ----------------

     Подпись пользователя -----------------------


                                                          Приложение 3

                                                 к Положению о порядке
                                         предоставления информационных
                                                 ресурсов федерального
                                           железнодорожного транспорта

                                ЗАЯВКА

на получение информации (документа) в --------------------------------
                                         (наименование организации
----------------------------------------------------------------------
                        обработки информации)
     Прошу предоставить ----------------------------------------------
                                (наименование и код документа)
--------------------------------------------------------- пользователю
----------------------------------------------------------------------
            (фамилия и инициалы пользователя и его адрес)
     Вышеназванный документ ------------------------------------------
                                  (наименование и код документа)
----------------------------------------------------------------------
подлежит выдаче исполнителю с периодичностью -------------------------
                                              (указать периодичность
----------------------------------------------------------------------
        выдачи документа с учетом выходных и праздничных дней)
     Ответственным за хранение документов является -------------------
                                                        (фамилия
----------------------------------------------------------------------
             и инициалы ответственного лица и его адрес)

     Руководитель Департамента (Управления) -----------------------
Оглавление