Правила эксплуатации информационной системы (приложение к договору об эксплуатации информационной системы)

Содержание
  1. Государственные информационные системы (ГИСы): практические вопросы защиты информации
  2. Как отличить ГИС от неГИС
  3. Это ГИС. Что делать?
  4. 1. Провести классификацию ИС и определить угрозы безопасности
  5. 2. Сформировать требования к системе обработки информации
  6. 3. Разработать систему защиты информации информационной системы
  7. 4. Провести внедрение системы защиты информации информационной системы, а именно:
  8. 5. Аттестовать ИСПДн:
  9. 29.Эксплуатация ис. Этапы эксплуатации информационной системы
  10. 5.2. Первоначальный сбор собственной информации
  11. 5.3. Обновление информации, ее анализ и распространение
  12. Приказ ФСТЭК России от 31 августа 2010 г. N 489 – ФСТЭК России
  13. Федеральная служба по техническому и экспортному контролю
  14. ТРЕБОВАНИЯ
  15. Договор об эксплуатации информационной системы
  16. 2. ОБЯЗАННОСТИ СТОРОН
  17. 3. СРОКИ ВЫПОЛНЕНИЯ РАБОТ И ОКАЗАНИЯ УСЛУГ
  18. 4. РАСЧЕТЫ
  19. 5. ОТВЕТСТВЕННОСТЬ
  20. 6. СРОК ДЕЙСТВИЯ ДОГОВОРА
  21. 7. РАЗРЕШЕНИЕ СПОРОВ
  22. 8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
  23. 9. АДРЕСА И ПЛАТЕЖНЫЕ РЕКВИЗИТЫ СТОРОН
  24. ПОДПИСИ СТОРОН:

Государственные информационные системы (ГИСы): практические вопросы защиты информации

Правила эксплуатации информационной системы (приложение к договору об эксплуатации информационной системы)

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные.

Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются.

В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов.

К операторам  государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные  в Приказе ФСТЭК России от 11 февраля 2013 г.

№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите.

Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон.

Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять.  Тем не менее план проверок контролирующих органов растет,  планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления.  ИС «Учет граждан, нуждающихся в жилых помещениях на территории  Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому  операторы ГИС зачастую пренебрегают внедрением средств защиты.

Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ.

При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

Источник: https://kontur.ru/articles/1609

29.Эксплуатация ис. Этапы эксплуатации информационной системы

Правила эксплуатации информационной системы (приложение к договору об эксплуатации информационной системы)

Напервом этапе эксплуатации ИС проводитсяреальный запуск работ по эксплуатации:набор персонала, его обучение, выделениетребуемых финансовых ресурсов, техническихи программных средств, приобретениеимеющихся у других организаций базданных, печатных справочников и др.

Самоприобретение имеющейся у другихорганизаций информации сейчас несоставляет большого труда. Могутвозникнуть проблемы в том случае, еслисредств на закупку информации практическине отведено, т.к. руководство вашейорганизации предполагает, что информациюможно взять за бесценок.

5.2. Первоначальный сбор собственной информации

Этотэтап является весьма ответственным –при начале ввода информации в базыданных могут возникать проблемы,связанные с непониманием сотрудников,эксплуатирующих ИС, как правильновводить информацию, а также их досада,что структуры данных (форматы данных исвязи между ними) запрограммированы несовсем так, как им хотелось бы.

Наэтом этапе желательно обеспечитьоператоров, занимающихся первичнымвводом информации, своевременнымиконсультациями программистов,разрабатывающих программное обеспечение,а также эксперта по информационнымтехнологиям и руководителя проекта поразработке ИС.

Доэтого этапа или в его начале должна бытьподготовлена вся информация, вводимаяв базы данных. Сбор первичной информацииможет быть весьма трудоемким. Это можетбыть ввод данных с бумажных и электронныхносителей информации и почтовые рассылкипросьб прислать требуемую для ИСинформацию и т.д.

5.3. Обновление информации, ее анализ и распространение

Наэтом этапе идет рутинная каждодневнаяработа по сбору информации, занесениюее в базы данных, проведению анализаинформации и подготовке печатныхотчетов.

Этаработа занимает львиную долю ресурсов(людских, финансовых и всех остальных),поэтому даже небольшая оптимизацияэтих работ может дать очень существеннуюэкономию.

5.4.Анализэтапа эксплуатации ИС

Непрерывая работ по эксплуатации ИС,проводится оценка результатов текущегопериода эксплуатации. Целесообразнопровести анализ изменений, произошедшихв имеющейся и требуемой информации,изменение состояния вашей организации,ее основных клиентов, партнеров иконкурентов.

5.5.Корректировкапланов на следующий этап

Сучетом результатов выполнения текущегоэтапа, корректируются планы на последующиеэтапы, в первую очередь – на следующий6-ти месячный период.

5.6.ДоработкаИС

Непрерывая эксплуатацию ИС, проводитсядоработка программного обеспечения:баз данных, сайта в Internetи программного обеспечения. Послеэтого, или параллельно, начинается новыйэтап эксплуатации ИС.

30.Основныесведения ИС 1С. Константы. Справочники.Документы. Примеры.

Технологическаяплатформа, кроме механизмов, используемыхво всех продуктах 1С:Предприятия, включаеттри основные функциональные компоненты.

1.Компонента Бухгалтерскийучет предназначенадля ведения учета на основе бухгалтерскихопераций. Она обеспечивает ведениепланов счетов, ввод проводок, получениебухгалтерских итогов. Компонентаиспользуется для автоматизациибухгалтерского учета в соответствии слюбым законодательством и методологиейучета.

2Компонента Расчет предназначенадля выполнения сложных периодическихрасчетов. Она может использоваться длярасчета заработной платы любой сложности,расчетов по ценным бумагам и другихвидов расчетов.

3.Компонента Оперативныйучет предназначенадля учета наличия и движения средств всамых различных разрезах в реальномвремени. Она используется для учетазапасов товарно-материальных ценностей,взаиморасчетов с контрагентами и т.д.Компонента позволяет отражать в учетеоперации хозяйственной жизни предприятиянепосредственно в момент их совершения.

Режим Конфигуратора позволяетразработчику настраивать компонентысистемы автоматизации и запоминать ихв специальной базе данных. для каждогопользователя может быть созданиндивидуальный пользовательскийинтерфейс.

КОНСТАНТЫ

 Диалоговоеокно Списокконстант (рис.3), вызываемое изменю Операции командой Константы содержитвсе константы, определенные и используемыев программе.

Выможете редактировать значение каждойконстанты непосредственно в списке.

Дляконстант с установленнымпризнаком Периодический поддерживаетсяистория изменений значения константы.При работе со списком пользовательможет отредактировать значение константыс автоматическим обновлением историиизменений, просмотреть истории измененийконстант или перейти к описанию константы.

СПРАВОЧНИКИ.Документы.Состав документа. Проведениедокумента.Атрибуты документов (реквизиты)

Присоздании структуры документа вКонфигураторе допускается определенныйуровень абстракции. Так, в большинстведокументов можно выделить две основныечасти: шапка и табличная часть. Какправило, в шапке содержатся реквизиты,которые являются общими для всегодокумента.

Каждый вид документа можетиметь неограниченное количествореквизитов в шапке и в многострочнойчасти. Для документа создается формаввода — экранный диалог. При настройкедля документа задаются также общиехарактеристики: длина номера документа,условия поддержки уникальности номерови другие. Все документы характеризуютсяномером, датой и временем.

в наиболееобщем случае, реквизитом заголовочнойчасти будет считаться любой реквизит,который встречается в документе толькоодин раз. Табличная часть документапредставляет собой список однотипныхстрок с информацией. Помимо наименований,табличная часть документа может содержатьтакже разнообразную дополнительнуюинформацию — стоимость товаров и т.д.

В большинстве случаев табличная частьиспользуется для формирования общейсуммы документа. Структура документав системе 1С:Предприятие

32.Созданиеотчетов в 1С. Секция. Выражения. Шаблоны.Генерация отчетов. Примеры.НазначениеотчетовОтчетыпредназначены для вывода информациииз базы данных. Отчеты похожи на документы,только эти объекты выполняют разныефункции. Документы вводят информациюв базу данных, отчеты выводятрезультаты.

СоставотчетаУлюбого отчета в системе 1С есть экраннаяформа — Диалог, который пользовательвидит на экране. В диалоге пользовательобычно задает параметры формированияотчета, например, период времени. Такжеу отчета обычно есть одна или несколькобумажных форм — Таблиц. С помощью таблицотчет печатается на бумаге.

Алгоритмформирования отчета записывается вмодуле отчета на встроенном языке 1С.

СекцииФирма1С предоставила мощный инструментформирования отчетов — Секции. Секция— это область таблицы, предназначеннаядля многократного вывода. Например, вотчете по сотрудникам будет секция”Сотрудник”, которую нужно будетвыводить для каждого сотрудника. Секциимогут быть горизонтальными иливертикальными.

Можно также выводитьпересечения горизонтальных и вертикальныхсекций.Поведениесформированного отчетаВсистеме 1С:Предприятие отчеты могутбыть вполне активными объектами. Этоозначает, что щелкнув например, насотруднике можно открыть форму этогосотрудника или сформировать болеедетальный отчет только по этомусотруднику.

Это очень удобно длябухгалтеров, которые от сводных отчетовмогут перейти к более детальным и узнать,откуда взялась каждая сумма, вплоть доконкретной проводки. Для этогопредназначены свойства ячейки Расшифровкаи процедура ОбработкаЯчейкиТаблицы.

Хотяв самом начале этой главы было сказано,что отчеты выводят результаты, на самомделе с помощью таблиц можно организоватьввод информации в базу данных. Это бываетудобно, когда нужна сложная форма дляввода данных.

33.Программирование компоненты “Бухгалтерскийучет”. Проводка. Операция. Счета.Количественный учет. Проведениедокумента.

Проводка

Системабухгалтерского учета заполняетсяинформацией по строго определенномуправилу учета.

Правило учета выглядитследующим образом:

Длятого чтобы внести сумму (информацию) полюбому счетуучета в системубухгалтерского учета,необходимо создать запись (проводку посчетам) по следующему правилу: в записи(проводке) необходимо одновременноуказать Дебет.Счетаучета,указать Кредит.Счетаучета,указатьСумму.

Проводка- это запись,которая вносит информацию в системубухгалтерского учета сразу по двумсчетам учета, по дебету одного счета икредиту другого счета, и одну и толькоодну сумму, но эта записьсоставляется только по правилубухгалтерского учета.

 Чтонельзя записать в систему бухгалтерскогоучета, следуя этому правилу:

-У нас нет возможности  записатьсумму на один счет учета, не указавдругой счет учета.- У нас нетвозможности записать разные суммы(сумма1 и сумма2) на счета учета, использоваводну проводку.

 Запись(проводка),созданная по данному правилубухгалтерского учета, предотвращаетпопадание на счет учета информациии денежных сумм без связи с другим счетомучета и не дает провести разные суммыв одной проводке по двум счетам учета. Этоправило учета предохраняет системубухгалтерского учета отпопадания в нее не связанной информациии позволяет всегда быть уверенным втом, что баланс сойдется в любом случае.

 Впрограмме 1С проводку можно сделатьнесколькими способами:

а)просто ввести документом.Операция(указать Дебет счетаучета,Кредит счета учета, Сумму)

б)использовать документ, который припроведении сформирует проводки самтак, как их запрограммировал программист1С для данного документа.

Наследующем уроке курса мыузнаем как не растеряться и заполнить правилобухгалтерского учета.

СчетаСчетучета- это таблица, вкоторой мы отражаем данные по такойэкономической категории, как, например,деньги, товар, дебиторы, кредиторы,акционеры, выручка, прибыль. На бытовомуровне, например, когда нам надо организоватьучет денег,то самый простой способ это сделать -это записывать всю информацию по приходуи расходу денег в файл.

 Теперьнемного о терминах, касающихся счетабухгалтерского учета.

Дебет – это название левой стороны счетаучета.Кредит -это название правой стороны счетаучета.Оборотпо дебету счета-это сумма всех движений по дебету, т.

епо левой стороне счета учета.Оборотпо кредиту счета-это сумма всех движений по кредиту, т.епо правой стороне счета учета.

Сальдопо счету -это остаток или на начало или наконец счетаучета.

Внашем случае: сальдо на начало 0 руб.,сальдо на конец 5 000 руб, оборот подебету 12 000 руб., оборот по кредиту 7 000руб.

Количественныйучет

Количественныйучёт -такой учёт объектов, при которомфиксируется только количествообъектов. Количественныйучёт обычновозможен также с указанием стоимостиобъектов (количественный+ суммовой учёт).Втиповых конфигурациях 1с количественныйучёт присущтем счетам бухгалтерского учёта, длякоторых явным образом задан признакколичественного учёта.

Источник: https://studfile.net/preview/2383628/page:18/

Приказ ФСТЭК России от 31 августа 2010 г. N 489 – ФСТЭК России

Правила эксплуатации информационной системы (приложение к договору об эксплуатации информационной системы)

Зарегистрировано в Минюсте РФ 13 октября 2010 г. N 18704

Федеральная служба по техническому и экспортному контролю

В соответствии с пунктом 3 Постановления Правительства Российской Федерации от 18 мая 2009 г. N 424 приказываем:

——————————–

Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.

1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.

2. Контроль за исполнением настоящего Приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.

Директор

 Федеральной службы безопасности

 Российской Федерации

 А.БОРТНИКОВ

Директор

 Федеральной службы

 по техническому

 и экспортному контролю

 С.ГРИГОРОВ

Приложение

 к Приказу ФСБ России, ФСТЭК России

 от 31 августа 2010 г. N 489

ТРЕБОВАНИЯ

1.

Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации (далее – информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

——————————–

Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 “Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти” (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).

2. Информационные системы общего пользования должны обеспечивать:

сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее – целостность информации);

беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее – доступность информации);

защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих в том числе к уничтожению, модификации и блокированию информации (далее – неправомерные действия).

3.

Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.

5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.

5.1.

К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.

5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.

6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.

7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.

Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.

9.

Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.

11. В информационных системах общего пользования должны быть обеспечены:

поддержание целостности и доступности информации;

предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

своевременное обнаружение фактов неправомерных действий в отношении информации;

недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;

возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

проведение мероприятий по постоянному контролю за обеспечением их защищенности;

возможность записи и хранения сетевого трафика.

12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:

определение угроз безопасности информации, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы их защиты.

13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

14.

Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.

15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке.

Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации.

Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

17.1. В информационных системах общего пользования I класса:

использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;

осуществление регистрации действий обслуживающего персонала и пользователей;

обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;

использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;

осуществление регистрации действий обслуживающего персонала;

обеспечение частичного резервирования технических средств и дублирования массивов информации;

использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

Источник: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/370

Договор об эксплуатации информационной системы

Правила эксплуатации информационной системы (приложение к договору об эксплуатации информационной системы)
г. __________ “___”________ ____ г. ________________________________, именуем__ в дальнейшем “Исполнитель”, (наименование или Ф.И.О.)в лице __________________________________________, действующ__ на основании (должность, Ф.И.О.

)_______________________________________________________, с одной стороны, и (Устава, положения, доверенности или паспорта)________________________________, именуем__ в дальнейшем “Заказчик”, в лице (наименование или Ф.И.О.)_______________________, действующ__ на основании ________________________, (должность, Ф.И.О.

) (Устава, положения, доверенности или паспорта)с другой стороны, в соответствии с ч. 2 ст. 13 Федерального закона от27.07.2006 N 149-ФЗ “Об информации, информационных технологиях и о защитеинформации” заключили настоящий договор о нижеследующем: 1.1.

Исполнитель обязуется по заданию Заказчика выполнять работы иоказывать услуги по эксплуатации информационной системы”_______________________________________________________”, используемой для (наименование, назначение, параметры)________________________ (далее – “информационная система”), в соответствии(фактическое применение)с условиями настоящего договора, а Заказчик обязуется создать Исполнителюследующие условия для выполнения работ: ________________________, приниматьих результаты и уплатить установленную настоящим договором цену. 1.2. Информационная система в настоящем договоре – это система,посредством которой организованы процессы сбора, обработки, хранения,защиты, предоставления, уничтожения информации по (о) ___________________________________________________________________. (сфера, проблемная область и т.п.)

Информационная система организована на основе постоянных (и/или временных) данных. Постоянные данные – это данные, которые хранятся в информационной системе в течение заданного периода времени. (Временные данные – это данные, используемые информационной системой в течение короткого времени как вспомогательные.) Постоянные данные накапливаются и хранятся в базах данных.

Информационная система создана на основе _____________________________. (наименование, параметры программ) Оборудование информационной системы – _______________________________________________________________________________________________________. (наименование, изготовитель, характеристики оборудования)

1.3. Локализация информационной системы:

адрес: ________________________________;

электронный адрес: ____________________.

(для распределенных систем:

адреса _______________________________;

электронные адреса: ___________________.)

1.4. Заказчик обеспечивает Исполнителю доступ к информационной системес правами ________________________________________________. (администратора, пользователя и т.п.)

Доступ Исполнителя к информационной системе с правами обеспечивается предоставлением пропусков, ключей, паролей, кодов, рабочей документации, которые передаются по акту.

1.5. Исполнителю предоставляются права: сбора информации, в том числе ________________________________________; (методы, сферы, проблемные области и т.п.) обработки информации, в том числе ____________________________________; (методы, сферы, объемы и т.д.) хранения информации, в том числе _____________________________________; (методы, сферы, объемы и т.д.) защиты информации, в том числе _______________________________________; (методы, сферы, объемы и т.д.) предоставления информации, в том числе _______________________________; (методы, сферы, объемы и т.д.) уничтожения информации, в том числе __________________________________. (методы, сферы, объемы и т.д.)

1.6. В объем работ и услуг по эксплуатации информационных систем по настоящему договору включаются:

– эксплуатация в составе информационной системы автоматизированных систем управления электронно-информационными процессами (АСУЭИП), автоматизированных систем контроля и защиты (АСКЗ);

– организация работы по сбору, обработке, хранению, защите, предоставлению, уничтожению информации;

– управление информационной системой и сервисами;

– мониторинг состояния и работоспособности информационной системы;

– управление персоналом информационной системы;

– организация и проведение профессиональных консультаций в области информатизации предприятий и организаций;

– организация и проведение переговоров с третьими лицами по вопросам эксплуатации информационной системы, при необходимости с участием представителей Заказчика;

– использование и при необходимости модификация типовых проектных решений по комплексу технических средств и программному обеспечению информационной системы;

– создание документации пользователя информационной системы, разработка методических и нормативных материалов по всем видам обеспечения информационной системы;

– создание архива алгоритмов и программ информационной системы, его постоянное пополнение;

– обеспечение поддержания в работоспособном состоянии и обновления материально-технической части информационной системы;

– подготовки эксплуатационного персонала;

– принятие оперативных мер по устранению возникающих в процессе работы нарушений;

– оценка безопасности автоматизированной системы, анализ отказов подсистем и информационной системы в целом;

– реализация мероприятий по повышению качества и надежности отдельных частей автоматизированных подсистем, информационной системы в целом;

– при изменении требований приведение информационной системы в соответствие с новыми требованиями;

– ________________________________________________________.

1.7. Перечень документации информационной системы приведен в приложении N __ к настоящему договору. При заключении настоящего договора оформлены и переданы Исполнителю следующие документы:

– Акт приемки информационной системы в эксплуатацию;

– Техническое задание на эксплуатацию информационной системы;

– Правила эксплуатации информационной системы;

– Протоколы инсталляции программного обеспечения;

– Отчет о проведении опытной эксплуатации;

– Отчет о работоспособности информационной системы;

– Журнал замечаний пользователей.

В Журнале замечаний пользователей содержатся сведения:

– об отказах;

– о сбоях;

– об аварийных ситуациях;

– об изменениях параметров информационной системы;

– о проводимых корректировках документации и программных средств;

– замечания персонала по удобству эксплуатации информационной системы.

Сведения фиксируют в журнале с указанием даты и ответственного лица.

1.8. Исполнитель эксплуатирует информационную систему лично.

2. ОБЯЗАННОСТИ СТОРОН

2.1. Обязанности Исполнителя:

2.1.1. Не позднее ________ с момента подписания Заказчиком настоящего договора приступить к эксплуатации информационной системы.

2.1.2. Обеспечить выполнение прав и функций, предусмотренных п. 1.5 и п. 1.6 настоящего договора.

2.1.3. По прекращении настоящего представить Заказчику итоговый акт выполненных работ и оказанных услуг (Приложение N __), оригинал итогового счета на оплату выполненных работ.

2.1.4. Ежемесячно в сроки до __-го числа, следующего за отчетным месяцем предоставлять Заказчику акты оказанных услуг по эксплуатации информационной системы (Приложение N __).

2.2. Обязанности Заказчика:

2.2.1. Оказать следующее содействие Исполнителю: ___________________.

2.2.2. Заказчик обязуется принять выполненные работы и оказанные услуги по акту выполненных работ. Заказчик вправе до подписания акта потребовать безвозмездного устранения недостатков выполненной работы и оказанных услуг в согласованный с Исполнителем срок.

2.2.3. Заказчик обязуется оплатить выполненные работы и оказанные услуги в размере, в сроки и порядке, предусмотренные настоящим договором.

2.2.4. Заказчик обязуется информировать Исполнителя о планируемых им изменениях в информационной системе, способных повлиять на возможность исполнения договора Исполнителем, не позднее _____________ до наступления указанных изменений.

3. СРОКИ ВЫПОЛНЕНИЯ РАБОТ И ОКАЗАНИЯ УСЛУГ

3.1. Сроки эксплуатации информационной системы Исполнителем: начальный срок – __________________; промежуточные – ______________________, __________________; (название, содержание, продолжительность) конечный срок – ___________________.

3.2. Соответствующие сроки фиксируются актами.

4. РАСЧЕТЫ

4.1. Размер вознаграждения Исполнителя по эксплуатации информационной системы составляет ________ (__________) рублей, в том числе НДС ________ (__________) рублей.

4.2. Оплата услуг осуществляется Заказчиком в следующем порядке: ________________________________________________ в сроки: _________________.

5. ОТВЕТСТВЕННОСТЬ

5.1. Заказчик вправе потребовать от Исполнителя возмещения убытков, причиненных ему вследствие нарушения технического задания и/или правил эксплуатации информационной системы.

5.2. В случае нарушения Заказчиком срока или размера выплат по настоящему договору Исполнитель вправе потребовать от Заказчика уплаты пени в соответствии со статьей 395 Гражданского кодекса Российской Федерации.

6. СРОК ДЕЙСТВИЯ ДОГОВОРА

6.1. Настоящий договор вступает в силу с момента его подписания Сторонами и действует в течение __________________.

6.2. Настоящий договор может быть расторгнут досрочно:

6.2.1. По письменному соглашению Сторон.

6.2.2. В одностороннем порядке в случаях, предусмотренных п. 5 ст. 709, п. п. 2 – 3 ст. 715, п. 3 ст. 716, ст. 717, п. 2 ст. 719, п. 3 ст. 723, п. 2 ст. 731, п. 3 ст. 737 Гражданского кодекса Российской Федерации, при условии письменного уведомления контрагента о расторжении не менее чем за _____ до даты предполагаемого расторжения.

7. РАЗРЕШЕНИЕ СПОРОВ

7.1. Споры, возникающие из настоящего договора, Стороны разрешают путем переговоров.

7.2. В случае если результат переговоров не будет достигнут, Стороны передают дело в суд по правилам подсудности в порядке, установленном действующим законодательством Российской Федерации.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. В остальном, не предусмотренном настоящим договором, Стороны руководствуются действующим законодательством Российской Федерации.

8.2. Изменения условий настоящего договора оформляются в виде дополнительных соглашений, которые вступают в силу с момента их подписания Сторонами.

8.3. Настоящий договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному для каждой Стороны.

8.4. Неотъемлемыми частями настоящего договора являются следующие Приложения:

– Перечень документации информационной системы (Приложение N ___).

– Акт приемки информационной системы в эксплуатацию (Приложение N ___).

– Техническое задание на эксплуатацию информационной системы (Приложение N ___).

– Правила эксплуатации информационной системы (Приложение N ___).

– Протоколы инсталляции программного обеспечения (Приложение N ___).

– Отчет о проведении опытной эксплуатации (Приложение N ___).

– Отчет о работоспособности информационной системы (Приложение N ___).

– Журнал замечаний пользователей (Приложение N ___).

– Акт оказанных услуг (Приложение N ___).

– Итоговый акт оказанных услуг и выполненных работ (Приложение N ___).

9. АДРЕСА И ПЛАТЕЖНЫЕ РЕКВИЗИТЫ СТОРОН

Исполнитель: ___________________________________________________________.

Заказчик: ______________________________________________________________.

ПОДПИСИ СТОРОН:

Исполнитель: Заказчик: _________________ ___________________ (должность) (должность) __________________ /Ф.И.О./ __________________ /Ф.И.О./ М.П. М.П.

Источник: https://vse-documenty.ru/%D0%B4%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80%D1%8B/%D0%94%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80_%D0%BE%D0%B1_%D1%8D%D0%BA%D1%81%D0%BF%D0%BB%D1%83%D0%B0%D1%82%D0%B0%D1%86%D0%B8%D0%B8_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B

Бланки и образцы
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: