VIII. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ ОАО "РЖД"

36. Основанием для предоставления доступа к ИС внешним пользователям является договор (соглашение) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными, в котором указываются перечень информационных систем, доступ к которым необходим внешним пользователям, состав передаваемой информации, порядок приостановления или прекращения доступа к ИС внешних пользователей, требования по обеспечению безопасности информации в соответствии с организационно-правовыми документами ОАО "РЖД" в области информационной безопасности, а также следующие обязательства организации внешнего пользователя:

1) обеспечивать конфиденциальность информации, составляющей коммерческую тайну ОАО "РЖД", не передавать полученную информацию третьим лицам без письменного согласия ОАО "РЖД";

2) обеспечивать конфиденциальность персональных данных, обрабатываемых при исполнении договора (соглашения), а также соблюдать меры по обеспечению их безопасности при обработке, предусмотренные статьей 19 Федерального закона "О персональных данных" (в случае предоставления в рамках договора (соглашения) доступа к ИС, в которых обрабатываются персональные данные);

3) незамедлительно информировать ОАО "РЖД" о допущенном организацией внешнего пользователя либо ставшем ей известном факте разглашения или об угрозе разглашения, о незаконном получении или незаконном использовании третьими лицами информации, составляющей коммерческую тайну ОАО "РЖД";

4) возместить убытки ОАО "РЖД" в случае разглашения организацией внешнего пользователя информации, составляющей коммерческую тайну ОАО "РЖД", а также в других случаях нарушения внешним пользователем требований информационной безопасности, в том числе безопасности персональных данных;

5) обеспечить средства электронно-вычислительной техники, подключаемые к информационным системам, антивирусной защитой и защитой от несанкционированного доступа в соответствии с организационно-правовыми документами ОАО "РЖД" в области информационной безопасности.

37. Проекты договоров (соглашений) об электронном обмене данными согласовываются с распорядителями информационных систем, Главным вычислительным центром (информационно-вычислительным центром в случае предоставления доступа к ИС в зоне его ответственности) и с Департаментом управления информационной безопасностью (региональным центром безопасности - в случае предоставления доступа к ИС в зоне ответственности информационно-вычислительного центра).

38. Предоставление внешним пользователям доступа к ИС осуществляется на основании утвержденных заявок, оформленных с использованием ВП АС ОЗ.

В случае наличия у организации внешнего пользователя доступа к АС ЭТРАН, предоставленного в соответствии с настоящим Порядком, заявка на ВП АС ОЗ может оформляться с использованием указанной информационной системы в рамках технологии взаимодействия АС ЭТРАН и ВП АС ОЗ.

39. До начала оформления заявки на предоставление доступа к ИС организация внешнего пользователя представляет в Главный вычислительный центр (информационно-вычислительный центр) электронную копию действующего заключенного договора (соглашения) об электронном обмене данными, а также копию типовой схемы предоставления доступа к ИС внешним пользователям, оформленной, согласованной и утвержденной в соответствии с приложением N 3.

40. При необходимости использования схемы предоставления доступа к ИС внешних пользователей, отличной от типовой, организация внешнего пользователя согласовывает ее с Главным вычислительным центром (информационно-вычислительным центром).

После указанного согласования схема согласовывается с Департаментом управления информационной безопасностью (региональным центром безопасности) и утверждается Департаментом информатизации.

41. Предоставление внешним пользователям доступа к ИС в зоне ответственности Главного вычислительного центра (информационно-вычислительных центров) осуществляется в следующем порядке:

1) заявки на предоставление доступа к ИС, оформленные на ВП АС ОЗ или в письменном виде согласно абзацу второму пункта 6 настоящего Порядка, направляются в Главный вычислительный центр (информационно-вычислительный центр) подразделением ОАО "РЖД", инициирующим данное подключение (заключение договора или соглашения об электронном обмене данными);

2) в Главном вычислительном центре (информационно-вычислительном центре) заявки согласовываются администратором информационной системы, администратором безопасности и начальником отдела безопасности информационных ресурсов (начальником подразделения информационной безопасности) и направляются на рассмотрение распорядителю информационной системы;

3) согласованные распорядителем информационной системы заявки направляются:

для информационных систем в зоне ответственности информационно-вычислительных центров - на согласование в региональный центр безопасности и утверждение в службу корпоративной информатизации железной дороги;

для информационных систем в зоне ответственности Главного вычислительного центра - на утверждение в Департамент информатизации.

Утвержденные Департаментом информатизации (службой корпоративной информатизации железной дороги) заявки направляются в Главный вычислительный центр (информационно-вычислительный центр) для исполнения.

42. Предоставление внешним пользователям доступа к ИС в зоне ответственности иных подразделений ОАО "РЖД", самостоятельно осуществляющих эксплуатацию информационных систем ОАО "РЖД", осуществляется в следующем порядке:

1) заявки на предоставление доступа к ИС, оформленные на ВП АС ОЗ или в письменном виде согласно абзацу второму пункта 6 настоящего Порядка, направляются в подразделение ОАО "РЖД", осуществляющее эксплуатацию информационной системы;

2) заявки согласовываются администратором информационной системы, ответственным за обеспечение информационной безопасности, и направляются на согласование распорядителю информационной системы;

3) согласованные распорядителем информационной системы заявки направляются на утверждение в Департамент информатизации;

4) утвержденные в Департаменте информатизации заявки направляются в подразделение ОАО "РЖД", осуществляющее эксплуатацию информационной системы, для исполнения.

43. Срок действия заявки на предоставление внешнему пользователю доступа к ИС - один год с даты ее утверждения, но не более срока действия заключенного договора (соглашения) об электронном обмене данными.

44. Доступ к ИС внешних пользователей осуществляется через ЦУДИС согласно схеме предоставления доступа к ИС, утвержденной в соответствии с пунктами 39 и 40 настоящего Порядка.

45. Доступ к ИС внешних пользователей, содержащей информацию, обладателем которой ОАО "РЖД" не является, возможен только при наличии письменного согласия обладателя данной информации.

46. Предоставление внешним пользователям доступа к сети "Интернет" через СПД не допускается.