Распоряжение ОАО "РЖД" от 28.11.2011 N 2546р "О порядке предоставления доступа к информационным системам ОАО "РЖД"

ОАО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"

РАСПОРЯЖЕНИЕ
от 28 ноября 2011 г. N 2546р

О ПОРЯДКЕ
ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ ОАО "РЖД"

В целях оптимизации предоставления доступа к информационным системам ОАО "РЖД", уменьшения бумажного документооборота, а также в связи с вводом в эксплуатацию автоматизированных систем обработки заявок на доступ к информационным системам ОАО "РЖД":

1. Утвердить прилагаемый Порядок предоставления доступа к информационным системам ОАО "РЖД".

2. Руководителям подразделений аппарата управления, филиалов и других структурных подразделений ОАО "РЖД":

обеспечить выполнение требований Порядка предоставления доступа к информационным системам ОАО "РЖД";

организовать ознакомление под роспись и изучение указанного Порядка работниками, являющимися пользователями информационных систем ОАО "РЖД".

3. Признать утратившими силу:

Правила работы пользователей Комплексной информационно-вычислительной сети (КИВС) ОАО "РЖД" при их подключении к сети Интернет, утвержденные ОАО "РЖД" 3 июня 2005 года;

Распоряжение ОАО "РЖД" от 4 июля 2007 года N 1240р "О порядке предоставления доступа к информационным ресурсам ОАО "РЖД".

Президент ОАО "РЖД"
В.ЯКУНИН

1. Настоящий Порядок устанавливает единую процедуру организации доступа к информационным системам ОАО "РЖД" работников аппарата управления, филиалов, других структурных подразделений ОАО "РЖД", их обособленных подразделений, а также сторонних организаций.

2. В настоящем Порядке используются следующие основные понятия:

информация - сведения (сообщения, данные) независимо от формы их представления, в том числе находящиеся в информационных системах;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационная система общего пользования - глобальная информационная система (сеть Интернет), доступ к которой в соответствии с настоящим Порядком предоставляется за счет ресурсов ОАО "РЖД" внутренним пользователям для выполнения ими должностных обязанностей;

информационные технологии - процессы и методы поиска, сбора, хранения, обработки, предоставления и распространения информации;

подразделение ОАО "РЖД" - подразделение аппарата управления, филиал (его обособленное подразделение) или другое структурное подразделение ОАО "РЖД";

внутренний пользователь - работник подразделения ОАО "РЖД", использующий информационные системы;

внешний пользователь - работник сторонней организации (в том числе дочернего или зависимого общества ОАО "РЖД") или индивидуальный предприниматель, имеющий доступ к информационным системам ОАО "РЖД";

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации;

доступ к информационной системе - возможность ознакомления пользователя со сведениями, находящимися в информационной системе, и использования обеспечивающих их обработку информационных технологий и технических средств;

ответственный за оформление заявок - назначаемый приказом по подразделению ОАО "РЖД" работник, оформляющий доступ пользователей к информационной системе;

распорядитель информационной системы (раздела информационной системы) - подразделение ОАО "РЖД", реализующее полномочия обладателя информации по предоставлению доступа к информационной системе в соответствии с требованиями настоящего Порядка, а также других нормативных документов ОАО "РЖД" (как правило, функциональный заказчик информационной системы);

зона ответственности подразделения, осуществляющего эксплуатацию информационной системы, - область функционирования информационной системы, где данное подразделение несет ответственность за ее работоспособность;

руководитель подразделения ОАО "РЖД" - начальник (заместитель начальника) подразделения ОАО "РЖД", имеющий право подписи исходящих документов;

сеть передачи данных ОАО "РЖД" - корпоративная транспортная инфраструктура передачи данных, предназначенная для обмена информацией между пользователями, подключенными к сети передачи данных, а также обеспечения доступа пользователей к информационным системам ОАО "РЖД";

электронная почтовая система ОАО "РЖД" - технология и услуги по пересылке электронных сообщений по сети передачи данных ОАО "РЖД".

3. Предоставление пользователям доступа к информационным системам ОАО "РЖД" осуществляется на основании их заявок, которые оформляются с использованием автоматизированных систем обработки заявок на доступ к информационным системам ОАО "РЖД".

Подразделение ОАО "РЖД", инициирующее подключение пользователя к информационной системе (разделу информационной системы), обеспечивает оформление заявки на его доступ к информационной системе (разделу информационной системы). Заявка на доступ к информационной системе заполняется в автоматизированной системе обработки заявок ответственным за оформление заявок или самим пользователем, при этом указывается цель подключения и прилагается основание для предоставления доступа.

4. При отсутствии возможности использования автоматизированной системы обработки заявок заявка оформляется согласно приложениям N 1 или 2 и вместе с сопроводительным письмом, в котором указываются цель подключения и основание для предоставления доступа к информационной системе, пересылается почтой с соблюдением требований настоящего Порядка.

5. Основанием для предоставления доступа к информационной системе внутреннего пользователя являются его должностные обязанности, а также письменное указание руководства ОАО "РЖД" или руководителя филиала (структурного подразделения) ОАО "РЖД", копия (выписка) которого прилагается к заявке.

Срок действия заявки внутреннего пользователя - 2 года с даты ее утверждения.

6. Внешние пользователи в качестве основания для предоставления доступа к информационной системе указывают договор (соглашение) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными, а также соответствующие приказ или распоряжение ОАО "РЖД" (при необходимости), копии которых прилагаются. Срок действия заявки внешнего пользователя - один год с даты ее утверждения, но не более срока действия указанного договора (соглашения).

В сопроводительном письме внешние пользователи дополнительно указывают наименование информационной системы (раздела информационной системы), а также направляют вместе с заявкой копию утвержденной типовой схемы предоставления доступа к указанной информационной системе (разделу информационной системы), оформленной согласно приложению N 3, и копию договора (соглашения) об электронном обмене данными.

Типовая схема предоставления доступа внешнего пользователя к информационной системе ОАО "РЖД" согласовывается с Главным вычислительным центром или с информационно-вычислительным центром - структурным подразделением Главного вычислительного центра в случае подключения к информационной системе (разделу информационной системы), расположенной в зоне ответственности информационно-вычислительного центра. В последнем случае схема также согласовывается с соответствующим региональным центром безопасности.

После этого схема предоставления доступа внешних пользователей к информационной системе согласовывается с департаментом безопасности и утверждается департаментом информатизации и корпоративных процессов управления.

7. В договоре (соглашении) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными указываются информационная система (раздел информационной системы), содержание передаваемой информации, порядок приостановления или прекращения доступа внешнего пользователя к информационной системе, требования по обеспечению защиты информации в соответствии с политикой и стандартами безопасности ОАО "РЖД", а также следующие обязательства организации внешнего пользователя:

обеспечивать конфиденциальность информации, составляющей коммерческую тайну ОАО "РЖД";

передавать полученную информацию третьим лицам только с письменного согласия ОАО "РЖД";

незамедлительно сообщать ОАО "РЖД" о допущенном организацией внешнего пользователя либо ставшем ей известном факте разглашения или об угрозе разглашения, о незаконном получении или незаконном использовании третьими лицами информации, составляющей коммерческую тайну ОАО "РЖД";

возместить убытки ОАО "РЖД" в случае разглашения организацией внешнего пользователя информации, составляющей коммерческую тайну ОАО "РЖД", а также в других случаях нарушения внешним пользователем требований информационной безопасности;

обеспечить средства электронно-вычислительной техники, подключаемые к информационной системе, антивирусной защитой и защитой от несанкционированного доступа в соответствии с политикой и стандартами информационной безопасности ОАО "РЖД".

8. Договор (соглашение) об электронном обмене данными согласовывается с распорядителем информационной системы и с департаментом безопасности (с региональным центром безопасности в случае предоставления доступа к информационной системе в зоне ответственности информационно-вычислительного центра).

9. Доступ внешних пользователей к информационной системе (разделу информационной системы), содержащей информацию, обладателем которой является дочернее или зависимое общество ОАО "РЖД", возможен только при наличии письменного согласия обладателя информации.

10. Доступ внутренних и внешних пользователей к информационной системе обеспечивается путем подключения рабочей станции или персональной электронно-вычислительной машины (далее - ПЭВМ) пользователя к средствам информационного обмена Главного вычислительного центра или информационно-вычислительного центра - структурного подразделения Главного вычислительного центра, которыми для внутренних пользователей является сеть передачи данных ОАО "РЖД", а для внешних пользователей - защищенные узлы доступа из внешних сетей.

11. Доступ внешних пользователей к информационным системам осуществляется через узлы доступа Главного вычислительного центра (информационно-вычислительных центров - структурных подразделений Главного вычислительного центра) в соответствии со схемой предоставления доступа к информационным системам (разделу информационной системы) по технологиям, предусмотренным проектными решениями узлов доступа, в том числе с применением сертифицированных средств криптографической защиты.

Подключение внешних пользователей к электронно-почтовой системе ОАО "РЖД" для производственно-хозяйственной деятельности допускается только при соблюдении требований законодательства Российской Федерации.

12. Подключение по схеме "информационная система ОАО "РЖД" - автоматизированная система внешней организации", а также подключение технологического оборудования (стоек, терминалов, банкоматов и т.п.) осуществляется на основании разрабатываемого для каждого случая проекта, который согласовывается в установленном порядке с Главным вычислительным центром, департаментом безопасности и департаментом информатизации и корпоративных процессов управления.

13. Подключения пользователей подразделяются по типу на:

информационное - для получения справочных сведений из информационной системы в процессе выработки управленческих решений;

технологическое - для обмена данными с информационной системой в процессе производственной деятельности пользователя;

обеспечивающее - для сопровождения и обеспечения эффективного функционирования информационной системы (раздела информационной системы).

14. Подразделение - распорядитель информационной системы (раздела информационной системы) принимает решение о целесообразности и возможности предоставления конкретному пользователю доступа к данной информационной системе (разделу информационной системы). Указанное подразделение по согласованию с департаментом безопасности и департаментом информатизации и корпоративных процессов управления может делегировать часть своих полномочий распорядителя информационной системы подразделениям ОАО "РЖД" дорожного уровня в зоне ответственности соответствующего информационно-вычислительного центра - структурного подразделения Главного вычислительного центра.

Работник, ответственный за организацию работы с информацией, составляющей коммерческую тайну, в подразделении ОАО "РЖД" - распорядителе информационной системы, обеспечивает ведение учета заявок на подключение пользователей к информационной системе, содержащей сведения, составляющие коммерческую тайну ОАО "РЖД".

15. В Главном вычислительном центре (информационно-вычислительном центре - структурном подразделении Главного вычислительного центра) заявки на доступ к информационной системе (разделу информационной системы) рассматриваются соответствующими подразделениями (уполномоченными работниками), которые обеспечивают:

учет заявок на подключение пользователей к информационной системе (при отсутствии автоматизированной системы обработки заявок);

контроль правильности оформления заявки (при отсутствии автоматизированной системы обработки заявок);

физическое подключение ПЭВМ пользователя к сети передачи данных (если ранее ПЭВМ не была подключена) или подтверждение факта ее физического подключения;

организацию (при необходимости) работы по установке автоматизированных рабочих мест информационной системы на ПЭВМ пользователя;

предоставление прав доступа к информационной системе (разделу информационной системы) с передачей пользователю идентификационной информации;

безопасность подключения и доступа к информационной системе (разделу информационной системы).

16. В департаменте безопасности (региональном центре безопасности) заявки на доступ к информационным системам рассматриваются отделом (уполномоченными работниками), который:

проверяет полноту оформления документов и легитимность подписей, в том числе электронных цифровых;

проверяет оформление допуска пользователя к сведениям, составляющим коммерческую тайну, при подключении его к информационной системе (разделу информационной системы), содержащей такие сведения;

оценивает целесообразность продления сроков подключения пользователя к определенной информационной системе (разделу информационной системы) исходя из имеющейся информации о нарушениях, допущенных данным пользователем при работе в этой информационной системе (разделе информационной системы);

контролирует соблюдение настоящего Порядка, политики и стандартов информационной безопасности ОАО "РЖД", а также правил работы внутренних пользователей.

17. Срок рассмотрения заявки на доступ пользователей к информационной системе ОАО "РЖД" каждым из причастных подразделений ОАО "РЖД" не превышает трех рабочих дней.

18. Применение введенных до 2011 года в эксплуатацию автоматизированных систем обработки заявок на доступ к информационным системам допускается при их соответствии требованиям настоящего Порядка и требованиям к работе систем с использованием электронной цифровой подписи. В указанных системах использование электронной цифровой подписи руководителями подразделений ОАО "РЖД" - распорядителей информационных систем (разделов информационных систем), служб корпоративной информатизации железных дорог ОАО "РЖД", а также уполномоченными в соответствии с настоящим Порядком работниками Главного вычислительного центра (информационно-вычислительного центра), департамента безопасности (регионального центра безопасности) и департамента информатизации и корпоративных процессов управления является обязательным.

19. Эксплуатируемые автоматизированные системы обработки заявок должны обеспечивать соответствие данных о подключаемых внутренних пользователях сведениям, содержащимся в информационной системе кадрового учета (ЕК АСУТР).

20. При наличии ошибок (неточностей) в заявках, сопроводительных письмах, прилагаемых материалах и при нарушении порядка их согласования доступ к информационным системам не предоставляется, о чем автора заявки уведомляет работник, принявший решение об отказе в предоставлении доступа.

21. Работники ОАО "РЖД", являющиеся внутренними пользователями, обязаны соблюдать правила работы внутренних пользователей в информационных системах согласно приложению N 4.

22. Ответственными за допуск пользователей к информационным системам в зоне ответственности Главного вычислительного центра являются:

назначаемый приказом работник департамента информатизации и корпоративных процессов управления;

руководитель подразделения - распорядителя информационной системы (раздела информационной системы);

руководитель подразделения, в котором работает пользователь, - за допуск к конкретному разделу информационной системы и достоверность внесенных в заявку сведений;

администратор информационной системы - за своевременность подключения (отключения) пользователя к информационной системе (разделу информационной системы) и соответствие предоставляемых пользователю прав правам, указанным в заявке.

23. Ответственными за допуск пользователей к информационным системам в зоне ответственности информационно-вычислительных центров являются:

начальник службы корпоративной информатизации железной дороги ОАО "РЖД";

руководитель подразделения - распорядителя информационной системы (раздела информационной системы);

руководитель подразделения, в котором работает пользователь, - за допуск к конкретному разделу информационной системы и достоверность внесенных в заявку сведений;

администратор информационной системы - за своевременность подключения (отключения) пользователя к информационной системе (разделу информационной системы) и соответствие предоставляемых пользователю прав правам, указанным в заявке.

24. Контроль за организацией доступа внешних и внутренних пользователей к информационным системам (разделам информационных систем) и обеспечением информационной безопасности при осуществлении электронного обмена возлагается на департамент безопасности, отдел безопасности информационных ресурсов Главного вычислительного центра, а в зоне ответственности информационно-вычислительных центров на соответствующие региональные центры безопасности и подразделения информационной безопасности информационно-вычислительных центров.

25. Предоставление работникам ОАО "РЖД", подключаемым через Главный вычислительный центр, доступа к информационным системам в зоне ответственности Главного вычислительного центра осуществляется в следующем порядке:

а) заявки с прилагаемыми материалами по автоматизированной системе обработки заявок (либо оформленные в соответствии с приложением N 1 к настоящему Порядку, с сопроводительным письмом, подписанным руководителем подразделения аппарата управления ОАО "РЖД" - пользователя информационной системы) направляются в Главный вычислительный центр;

б) в Главном вычислительном центре заявки рассматриваются и подписываются администратором информационной системы, администратором безопасности и начальником отдела безопасности информационных ресурсов и направляются на рассмотрение распорядителю информационной системы;

в) подписанные руководителем подразделения - распорядителя информационной системы (раздела информационной системы) заявки с прилагаемыми материалами направляются на согласование в департамент безопасности, а затем на утверждение в департамент информатизации и корпоративных процессов управления;

г) департамент информатизации и корпоративных процессов управления направляет утвержденные заявки в Главный вычислительный центр для исполнения.

26. Предоставление внутренним пользователям, подключаемым через информационно-вычислительные центры - структурные подразделения Главного вычислительного центра, доступа к информационным системам в зоне ответственности Главного вычислительного центра осуществляется в следующем порядке:

а) заявки с прилагаемыми материалами по автоматизированной системе обработки заявок (либо оформленные в соответствии с приложением N 1 к настоящему Порядку, с сопроводительным письмом, подписанным руководителем подразделения - пользователя информационной системы) направляются в информационно-вычислительный центр для рассмотрения и подписания администратором информационной системы, администратором безопасности и начальником подразделения информационной безопасности, после чего направляются в соответствующий региональный центр безопасности;

б) подписанные в региональном центре безопасности - структурном подразделении ОАО "РЖД" заявки с сопроводительным письмом и прилагаемыми материалами направляются в Главный вычислительный центр;

в) рассмотренные уполномоченными работниками Главного вычислительного центра заявки направляются распорядителю информационной системы. Далее заявки обрабатываются в соответствии с пп. "в" и "г" п. 25 настоящего Порядка.

27. Предоставление внешним пользователям доступа к информационным системам ОАО "РЖД" осуществляется в соответствии с договором (соглашением) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными в следующем порядке:

а) заявки с прилагаемыми материалами, включая схему предоставления доступа, составленную согласно приложению N 3 к настоящему Порядку, основание и сопроводительное письмо, по автоматизированной системе обработки заявок (либо оформленные в соответствии с приложением N 1 к настоящему Порядку, подписанные руководителем внешней организации и пользователем информационной системы) направляются в Главный вычислительный центр (информационно-вычислительный центр);

б) далее заявки обрабатываются в соответствии с пп. "б", "в" и "г" п. 25 (при подключении через информационно-вычислительный центр - в соответствии с пп. "б" и "в" п. 26).

28. Предоставление работникам подразделений ОАО "РЖД" (кроме аппарата управления ОАО "РЖД") доступа к информационной системе (разделу информационной системы) в зоне ответственности информационно-вычислительного центра осуществляется в следующем порядке:

а) заявки по автоматизированной системе обработки заявок (либо оформленные в соответствии с приложением N 2 к настоящему Порядку, с сопроводительным письмом и прилагаемыми материалами, подписанные руководителем подразделения ОАО "РЖД" - пользователя информационной системы) направляются в соответствующий информационно-вычислительный центр;

б) в информационно-вычислительном центре заявки рассматриваются, подписываются администратором информационной системы, администратором безопасности и начальником подразделения информационной безопасности и направляются распорядителю информационной системы (раздела информационной системы);

в) подписанные руководителем подразделения - распорядителя информационной системы (раздела информационной системы) заявки с прилагаемыми материалами направляются на согласование в соответствующий региональный центр безопасности, а затем на утверждение в службу корпоративной информатизации железной дороги;

г) утвержденные заявки служба корпоративной информатизации железной дороги направляет в соответствующий информационно-вычислительный центр для исполнения.

29. Предоставление работникам подразделений аппарата управления ОАО "РЖД" доступа к информационным системам в зоне ответственности информационно-вычислительного центра осуществляется в следующем порядке:

а) заявки по автоматизированной системе обработки заявок (либо оформленные в соответствии с приложением N 2 к настоящему Порядку, с сопроводительным письмом и прилагаемыми материалами, подписанные руководителем подразделения аппарата управления ОАО "РЖД" - пользователя информационной системы) направляются в соответствующий информационно-вычислительный центр;

б) в информационно-вычислительном центре заявки рассматриваются, подписываются администратором информационной системы, администратором безопасности и начальником подразделения информационной безопасности и направляются распорядителю информационной системы;

в) подписанные руководителем подразделения - распорядителя информационной системы заявки с прилагаемыми материалами обрабатываются в соответствии с пп. "в" и "г" п. 25 настоящего Порядка.

30. Решение о предоставлении доступа внутренним пользователям в зоне ответственности Главного вычислительного центра (информационно-вычислительного центра) к информационным системам общего пользования в связи с производственной необходимостью принимается департаментом информатизации и корпоративных процессов управления (службой корпоративной информатизации железной дороги) на основании заявки в соответствии с требованиями п. 3 и 4 настоящего Порядка.

31. Подключение к информационным системам общего пользования внутренних пользователей осуществляется работниками Главного вычислительного центра (информационно-вычислительного центра), которые устанавливают на ПЭВМ пользователя "агента безопасности", а также производят необходимую настройку программного обеспечения в соответствии с политикой и стандартами информационной безопасности ОАО "РЖД".

Подключение внутренних пользователей на рабочих местах к информационным системам общего пользования через сторонних операторов, не имеющих договоров с ОАО "РЖД" о предоставлении услуг провайдера информационных систем общего пользования, не допускается.

32. Доступ к информационным системам общего пользования осуществляется только при наличии на ПЭВМ пользователя корпоративного антивирусного программного обеспечения в активном состоянии с регулярным (не реже одного раза в день) обновлением антивирусных баз данных.

33. Пользователь несет персональную ответственность за все действия, совершенные на его ПЭВМ и с использованием его ПЭВМ.

34. Предоставление внутренним пользователям доступа к информационным системам общего пользования в зоне ответственности Главного вычислительного центра осуществляется в следующем порядке:

а) заявки с прилагаемыми материалами по автоматизированной системе обработки заявок (либо оформленные в соответствии с приложением N 1 к настоящему Порядку, с сопроводительным письмом и прилагаемыми материалами, подписанные руководителем подразделения - пользователя информационной системы общего пользования) направляются в Главный вычислительный центр;

б) в Главном вычислительном центре заявки рассматриваются, подписываются администратором безопасности и начальником отдела безопасности информационных ресурсов и далее направляются в соответствии с пп. "в" и "г" п. 25 настоящего Порядка. В качестве распорядителя информационной системы в данном случае выступает Главный вычислительный центр.

35. Предоставление внутренним пользователям доступа к информационным системам общего пользования в зоне ответственности информационно-вычислительного центра осуществляется в следующем порядке:

а) заявки с прилагаемыми материалами по автоматизированной системе обработки заявок (либо оформленные в соответствии с приложением N 2 к настоящему Порядку, с сопроводительным письмом и прилагаемыми материалами, подписанные руководителем подразделения - пользователя информационной системы общего пользования) направляются в информационно-вычислительный центр;

б) в информационно-вычислительном центре заявки рассматриваются, подписываются администратором безопасности и начальником отдела безопасности информационных ресурсов и далее направляются в соответствии с пп. "в" и "г" п. 28 настоящего Порядка. В качестве распорядителя информационной системы в данном случае выступает информационно-вычислительный центр.

36. Предоставление внешним пользователям доступа к информационным системам общего пользования (сети Интернет) через сеть передачи данных ОАО "РЖД" не допускается.

37. По окончании срока действия заявки пользователь должен быть отключен от информационной системы (раздела информационной системы), к которой ему был предоставлен доступ на основании указанной заявки.

38. В случае увольнения работника или перевода его в другое подразделение ОАО "РЖД" руководитель подразделения ОАО "РЖД", в котором он работал, обязан сообщить об этом в письменной форме в Главный вычислительный центр (соответствующий информационно-вычислительный центр) не позднее следующего дня после дня увольнения или перевода. На основании этого сообщения Главный вычислительный центр (информационно-вычислительный центр) отключает указанного пользователя от всех информационных систем (разделов информационных систем), к которым он был подключен.

Руководитель подразделения, принявший решение об увольнении или переводе работника, несет персональную ответственность за несвоевременную передачу информации об этом в Главный вычислительный центр (информационно-вычислительный центр) как создающую угрозу информационной безопасности ОАО "РЖД".

39. Продление права доступа пользователя осуществляется на основании своевременно оформленной и согласованной заявки в соответствии настоящим Порядком.

40. Невыполнение внешним пользователем обязанностей организации внешнего пользователя, изложенных в договоре (соглашении) об электронном обмене данными, является основанием для отключения данной организации от всех информационных систем, к которым ей был предоставлен доступ.

41. Несоблюдение настоящего Порядка, требований политики и стандартов информационной безопасности, а также правил работы внутренних пользователей в информационных системах является основанием для отключения пользователя от информационной системы (раздела информационной системы), так как создает угрозу информационной безопасности ОАО "РЖД".

42. Случаи невыполнения требований настоящего Порядка, предусматривающие персональную ответственность работников, подлежат рассмотрению в соответствии с нормативными актами ОАО "РЖД", при необходимости - с привлечением специалистов информационной безопасности департамента безопасности (региональных центров безопасности) и Главного вычислительного центра (информационно-вычислительных центров).

43. Ответственность за отключение пользователей, не выполнивших требования политики и стандартов информационной безопасности, а также настоящего Порядка, несет администратор безопасности информационной системы Главного вычислительного центра (информационно-вычислительного центра).

44. Работники ОАО "РЖД", виновные в невыполнении требований настоящего Порядка, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с законодательством Российской Федерации. К указанным работникам также могут применяться положения п. 6.3 Кодекса деловой этики открытого акционерного общества "Российские железные дороги", утвержденного Распоряжением ОАО "РЖД" от 11 декабря 2006 г. N 2413р.

45. Оформленные заявки на предоставление доступа к информационным системам (разделу информационной системы) и копии схем предоставления доступа хранятся в Главном вычислительном центре (информационно-вычислительных центрах) в течение одного года после отключения пользователя от информационной системы. Копии указанных документов могут храниться в департаменте безопасности (региональных центрах безопасности).

46. При предоставлении доступа к информационным системам (разделу информационной системы), содержащим сведения, составляющие коммерческую тайну ОАО "РЖД", заявки с прилагаемыми материалами хранятся в течение трех лет после отключения пользователя от информационной системы. Копии указанных документов могут храниться в департаменте безопасности (региональных центрах безопасности).

         СОГЛАСОВАНО                                   УТВЕРЖДАЮ
От департамента безопасности                 От департамента информатизации
         ОАО "РЖД"                             и корпоративных процессов
                                                  управления ОАО "РЖД"
_________________ И.О. Фамилия               _________________ И.О. Фамилия
    (подпись)                                    (подпись)
"__" _________________ 20__ г.               "__" _________________ 20__ г.

                Заявка N _______ от "__" __________ 20__ г.
            на предоставление доступа к информационной системе
                              ОАО "РЖД" (ИС)
           ____________________________________________________
                  (наименование организации пользователя)

С правилами работы пользователей в ИС ознакомлен
"__" ______________ 20__ г.                       ____________ И.О. Фамилия
                                                    (подпись)

Руководитель организации
(подразделения) пользователя                      ____________ И.О. Фамилия
                                                    (подпись)

Начальник подразделения -
распорядителя ИС                                  ____________ И.О. Фамилия
                                                    (подпись)

Администратор ИС ГВЦ
ОАО "РЖД" (ИВЦ)                                   ____________ И.О. Фамилия
                                                    (подпись)

Администратор безопасности
ИС ГВЦ (ИВЦ)                                      ____________ И.О. Фамилия
                                                    (подпись)

Начальник отдела
БИР ГВЦ ОАО "РЖД" (ИВЦ)                           ____________ И.О. Фамилия
                                                    (подпись)

            СОГЛАСОВАНО                                 УТВЕРЖДАЮ
    Начальник _______________                Начальник службы корпоративной
    региональной безопасности                информатизации железной дороги
___________________________________          ______________________________
_________________ И.О. Фамилия               _________________ И.О. Фамилия
    (подпись)                                    (подпись)
"__" _________________ 20__ г.               "__" _________________ 20__ г.

               Заявка N ________ от "__" ___________ 20__ г.
            на предоставление доступа к информационной системе
                              ОАО "РЖД" (ИС)

С правилами работы пользователей в ИС ознакомлен
"__" _______________ 20__ г.                      ____________ И.О. Фамилия
                                                    (подпись)

Руководитель организации
(подразделения) пользователя                      ____________ И.О. Фамилия
                                                    (подпись)

Начальник подразделения -
распорядителя ИС                                  ____________ И.О. Фамилия
                                                    (подпись)

Администратор ИС ____________ ИВЦ                 ____________ И.О. Фамилия
                                                    (подпись)

Администратор безопасности ИВЦ                    ____________ И.О. Фамилия
                                                    (подпись)

         СОГЛАСОВАНО                                    УТВЕРЖДАЮ
От департамента безопасности                 От департамента информатизации
          ОАО "РЖД"                             и корпоративных процессов
                                                  управления ОАО "РЖД"
_________________ И.О. Фамилия               _________________ И.О. Фамилия
    (подпись)                                    (подпись)
"__" _________________ 20__ г.               "__" _________________ 20__ г.

                               Типовая схема
         предоставления доступа к информационной системе ОАО "РЖД"
             (______________________________ (железной дороги)
              (наименование железной дороги)
             ________________________________________________
                  (наименование организации пользователя)

(Схема подключения ПЭВМ пользователя с указанием разделов ИС, АРМ и т.п.)

В схеме указываются: рабочая станция и ПЭВМ пользователей, подключение к ИВЦ или к ГВЦ, средства защиты информации (СЗИ), тип канала связи (СПД, Интернет или др.), используемое активное сетевое и иное оборудование, через которое осуществляется подключение, а также СЗИ, используемые для защиты подключений (антивирусное программное обеспечение, средства защиты от НСД, средства обнаружения вторжений и др.).

1. Внутренний пользователь (работник ОАО "РЖД") при работе в информационных системах ОАО "РЖД" имеет право:

использовать информационные системы ОАО "РЖД" для более эффективного и качественного выполнения своих должностных обязанностей;

повышать уровень профессиональной квалификации с использованием доступных сетевых ресурсов ОАО "РЖД";

использовать доступные информационные производственные приложения (корпоративные web-сайты, FTP-серверы и т.п.), расположенные в сети передачи данных ОАО "РЖД";

обмениваться производственной информацией с работниками ОАО "РЖД" (передача информации конфиденциального характера регламентируется специальными нормативными документами ОАО "РЖД").

2. Внутренний пользователь при работе в информационных системах ОАО "РЖД" обязан:

сохранять в тайне свои пароли (ключевые носители) доступа к ПЭВМ, а также к автоматизированным рабочим местам;

во время перерывов в работе с информационными системами ОАО "РЖД", содержащими сведения, составляющие коммерческую тайну ОАО "РЖД", обеспечивать блокирование ПЭВМ парольной экранной заставкой;

обеспечивать при помощи установленного антивирусного программного обеспечения проверку используемых съемных носителей информации на наличие вредоносных программ;

при подозрении на появление на ПЭВМ вредоносных программ, автоматически не выявленных и не обезвреженных системой антивирусной защиты, незамедлительно отключать ПЭВМ от сети передачи данных и сообщать об этом в единую службу поддержки пользователей;

в случае полного или частичного прекращения работы антивирусного программного обеспечения незамедлительно сообщать об этом в единую службу поддержки пользователей;

при обнаружении некорректной работы программного обеспечения на ПЭВМ обращаться в единую службу поддержки пользователей.

3. Внутреннему пользователю при работе в информационных системах ОАО "РЖД" запрещается:

допускать использование ПЭВМ иными лицами, кроме работников Главного вычислительного центра ОАО "РЖД" (информационно-вычислительного центра - структурного подразделения Главного вычислительного центра ОАО "РЖД"), обслуживающих данную ПЭВМ, и работников департамента безопасности ОАО "РЖД" (регионального центра безопасности - структурного подразделения ОАО "РЖД"), осуществляющих контрольные функции;

осуществлять несанкционированное подключение к ПЭВМ и сетевому оборудованию внешних устройств, в том числе устройств телекоммуникации и обработки информации;

использовать ПЭВМ в непроизводственных целях;

передавать информацию конфиденциального характера по незащищенным каналам сети передачи данных ОАО "РЖД";

отключать "агента безопасности" либо вносить изменения в его настройки (кроме специалистов Главного вычислительного центра ОАО "РЖД" или информационно-вычислительного центра - структурного подразделения Главного вычислительного центра ОАО "РЖД", обслуживающих данную ПЭВМ), а также самостоятельно устанавливать любые программные продукты на ПЭВМ или разрешать это кому-либо, кроме специалистов Главного вычислительного центра ОАО "РЖД" или информационно-вычислительного центра - структурного подразделения Главного вычислительного центра ОАО "РЖД";

использовать ПЭВМ с частично или полностью неработающим антивирусным программным обеспечением, а также некорректной работой программного обеспечения;

использовать на ПЭВМ сменные носители информации, в том числе внешние средства хранения информации, без предварительной проверки на наличие вредоносных программ;

предоставлять сетевой доступ к своему автоматизированному рабочему месту другим пользователям.

4. Внутреннему пользователю при работе в информационных системах общего пользования запрещается:

публиковать свои адреса (электронной почты, IP-адреса и т.п.), а также адреса других работников ОАО "РЖД" на общедоступных интернет-ресурсах (форумы, конференции и т.п.);

использовать общедоступные электронные почтовые системы и иные службы обмена сообщениями в личных целях, а также для распространения любой информации;

подключать к информационным системам общего пользования автоматизированные рабочие места, на которых осуществляется обработка информации конфиденциального характера;

передавать сведения, создающие угрозу безопасности и обороноспособности государства, здоровью и безопасности людей;

запускать на ПЭВМ исполняемые файлы, полученные из информационных систем общего пользования (файлы с расширением .exe, .com, .bat, .scr, .reg и т.п.);

обращаться к потенциально опасным ресурсам информационных систем общего пользования.