Ф Е Д Е Р А Л Ь Н А Я Т А М О Ж Е Н Н А Я С Л У Ж Б А
П Р И К А З
| 3 декабря 2010 | № |
Москва
О вводе в эксплуатацию аттестованных фрагментов Единой автоматизированной информационной системы таможенных органов, предназначенных для обработки конфиденциальной информации на объекте «Фили», и об утверждении инструкции по их использованию
На основании требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и главы 5 Специальных требований и рекомендаций по технической защите конфиденциальной информации, утвержденных приказом Гостехкомиссии России от 30 августа 2002 г. № 282, в целях совершенствования организации системы защиты конфиденциальной информации в структурных подразделениях ФТС России п р и к а з ы в а ю:
1. Ввести в эксплуатацию аттестованные фрагменты Единой автоматизированной информационной системы таможенных органов (далее – ЕАИС ТО), предназначенные для обработки конфиденциальной информации на объекте «Фили» (далее – Объекты информатизации), согласно приложению № 1.
2. Разрешить обработку и хранение на Объектах информатизации защищаемой информации по перечню согласно приложению № 2, в том числе конфиденциальной информации с пометкой «Для служебного пользования» и информации, содержащей персональные данные.
3. Утвердить Инструкцию по использованию фрагментов Единой автоматизированной информационной системы таможенных органов Российской Федерации, предназначенных для обработки конфиденциальной информации на объекте «Фили» (приложение № 3), и Перечень документов, регламентирующих работу пользователей фрагментов ЕАИС ТО, предназначенных для обработки конфиденциальной информации в структурных подразделениях
ФТС России (далее – Перечень, приложение № 4).
4. Внести в Инструкцию о порядке учета, обращения и хранения документов, дел и изданий, содержащих служебную информацию ограниченного распространения, в Федеральной таможенной службе, утвержденную приказом ФТС России от 2 мая 2006 г. № 395дсп (далее – Инструкция), следующие изменения:
а) в абзаце третьем пункта 1.1 раздела 1 «Общие положения» Инструкции слова «Порядок учета, обращения и хранения служебной информации ограниченного распространения на машинных носителях информации (далее — МНИ) изложен в специальной инструкции» заменить словами «Порядок учета, обращения и хранения служебной информации ограниченного распространения на машинных носителях информации (далее — МНИ) и порядок использования фрагментов Единой автоматизированной информационной системы таможенных органов Российской Федерации, предназначенных для обработки конфиденциальной информации, на объекте «Фили» изложены в специальных инструкциях»;
б) дополнить пункт 2.3 Инструкции абзацем пятым следующего содержания:
«При подготовке писем и правовых актов с использованием фрагментов Единой автоматизированной информационной системы таможенных органов Российской Федерации, предназначенных для обработки конфиденциальной информации, на объекте «Фили» эти сведения оформляются следующим образом:
| отп. 1 экз. экз. № 1 – Управление делами Исполнил (инициалы, фамилия исполнителя) Отпечатал (инициалы, фамилия исполнителя) ____________________________ структурное подразделение ФТС России Дата | Количество экземпляров по указателю рассылки с экз. № 1 по экз. № 125 (прилагается) (подпись) (инициалы, фамилия исполнителя) Дата .» |
5. Начальникам структурных подразделений ФТС России обеспечить:
а) неизменность условий эксплуатации Объектов информатизации (запрет
самовольного переноса и перемещения средств вычислительной техники Объекта информатизации, монтажа, демонтажа);
б) хранение пользователями Объектов информатизации защищаемой информации по перечню согласно приложению № 2 и документов, содержащих защищаемую информацию на персональных ресурсах в составе Доменной структуры Единой службы каталогов ЕАИС ТО специализированных защищенных сетевых хранилищ, предназначенных для хранения пользователями Объектов информатизации конфиденциальной информации, в том числе информации с пометкой «Для служебного пользования»;
в) доведение под роспись Инструкции и Перечня до пользователей Объектов информатизации – должностных лиц и работников структурных подразделений ФТС России;
г) сопровождение в структурных подразделениях ФТС России работ по аттестации Объектов информатизации центрального аппарата ФТС России и по сопровождению Объектов информатизации.
6. Директору ГНИВЦ ФТС России А.Ю. Дурову обеспечить:
а) функционирование в составе Доменной структуры Единой службы каталогов (далее – ДС ЕСК) ЕАИС ТО специализированных защищенных сетевых хранилищ, предназначенных для хранения пользователями Объектов информатизации конфиденциальной информации, в том числе информации с пометкой «Для служебного пользования» (далее – Защищенное сетевое хранилище);
б) доступность Защищенного сетевого хранилища со всех автоматизированных рабочих мест пользователей Объектов информатизации;
в) разграничение прав доступа пользователей Объектов информатизации к персональным ресурсам в составе Защищенного сетевого хранилища средствами ДС ЕСК ЕАИС ТО с использованием сертифицированных по требованиям безопасности информации средств межсетевого экранирования;
г) учет производимых изменений конфигурации Объектов информатизации (в том числе замены средств вычислительной техники, интерфейсных устройств, устройств связи либо телекоммуникационного оборудования, установки либо удаления программного обеспечения) в соответствии с формой, приведенной в приложении № 5;
д) ежемесячное представление в Главное управление информационных технологий ФТС России сведений о произведенных изменениях конфигурации Объектов информатизации;
е) применение технических решений по реализации ограничений, перечисленных в разделе 2 инструкции по использованию фрагментов Единой автоматизированной информационной системы таможенных органов Российской Федерации, предназначенных для обработки конфиденциальной информации на объекте «Фили» (приложение № 3).
7. Начальнику Главного управления информационных технологий ФТС России А.Е. Шашаеву обеспечить:
а) организацию специальных работ по технической защите информации и эксплуатации Объектов информатизации на объекте «Фили»;
б) проведение периодического контроля эффективности защиты информации и контроля выполнения требований по технической защите информации на Объектах информатизации в период их эксплуатации;
в) направление в орган по аттестации информации об изменении условий эксплуатации Объектов информатизации на объекте «Фили» на основании сведений, полученных из ГНИВЦ ФТС России.
8. Контроль за исполнением настоящего приказа возложить на первого заместителя руководителя ФТС России В.М. Малинина.
| Руководитель действительный государственный советник таможенной службы Российской Федерации | А.Ю. Бельянинов |
К.О.Романов
449 76 97
Приложение № 1
к приказу ФТС России
от ___________________ №___
Перечень аттестованных фрагментов Единой автоматизированной информационной системы таможенных органов, предназначенных для обработки конфиденциальной информации на объекте «Фили»
| № п/п | Наименование объекта информатизации | № аттестата соответствия требованиям безопасности информации | Дата выдачи аттестата соответствия | Структурные подразделения ФТС России |
| Фрагмент автоматизированной информационной системы таможенных органов, предназначенный для обработки конфиденциальной информации (объект «Фили», корпус 3А, 1 этаж) | 40/11/09к | 27 ноября 2009 г. | УТСА | |
| Фрагмент автоматизированной информационной системы таможенных органов, предназначенный для обработки конфиденциальной информации (объект «Фили», корпус 3А, 2 этаж) | 41/11/09к | 27 ноября 2009 г. | ГУИТ | |
| Фрагмент автоматизированной информационной системы таможенных органов, предназначенный для обработки конфиден-циальной информации (объект «Фили», корпус 3А, 3 этаж) | 42/11/09к | 27 ноября 2009 г. | ГУОТОиТК | |
| Фрагмент автоматизированной информационной системы таможенных органов, предназначенный для обработки конфиденциальной информации (объект «Фили», корпус 3А, 4 этаж) | 43/11/09к | 27 ноября 2009 г. | ГУОТОиТК | |
| Фрагмент автоматизированной информационной системы таможенных органов, предназначенный для обработки конфиденциальной информации (объект «Фили», корпус 3, 4 этаж) | 44/11/09к | 27 ноября 2009 г. | УПОЗД, УТОВЭК, ГУОТОиТК, УГСК | |
| Фрагмент автоматизированной информационной системы таможенных органов, предназначенный для обработки конфиденциальной информации (объект «Фили», корпус 3, 5 этаж) | 45/11/09к | 27 ноября 2009 г. | УТН, УТОВЭК |
| Начальник Главного управления информационных технологий | А.Е. Шашаев |
Приложение № 2
к приказу ФТС России
от ___________________ №___
Перечень видов защищаемой информации в ФТС России
1. Конфиденциальная информация включает документированную информацию, доступ к которой ограничивается ее обладателем, включая персональные данные, документы с пометкой «Для служебного пользования» и иную информацию, ограничение доступа к которой требуется в соответствии с нормативными правовыми актами Российской Федерации и ФТС России, за исключением сведений, составляющих государственную тайну.
2. Служебная информация включает информацию, обрабатываемую в Единой автоматизированной информационной системе таможенных органов (далее – ЕАИС ТО), полученную таможенными органами в соответствии с актами таможенного законодательства, иными правовыми актами Российской Федерации, правовыми актами федерального органа исполнительной власти, уполномоченного в области таможенного дела. В соответствии со статьей 8 Таможенного кодекса Таможенного союза любая информация, полученная таможенными органами в соответствии с таможенным законодательством Таможенного союза и (или) законодательством государств — членов Таможенного союза, используется такими органами исключительно для таможенных целей, в том числе для предупреждения и пресечения административных правонарушений и преступлений. Таможенные органы, их должностные лица, а также иные лица, получившие в соответствии с законодательством государств — членов Таможенного союза доступ к информации, не вправе разглашать, использовать в личных целях либо передавать третьим лицам полученную информацию.
Служебная информация включает информацию, содержащуюся в Центральной базе данных ЕАИС ТО, и результаты ее обработки.
3. Служебная технологическая информация включает информацию, нарушение конфиденциальности которой может привести к нарушению безопасности информации, обрабатываемой и хранимой в подсистемах ЕАИС ТО, и к нарушению безопасности ЕАИС ТО в целом. К служебной технологической информации относятся сведения о конкретной реализации программно-технических решений при построении подсистем и сети телекоммуникаций ЕАИС ТО, информацию, содержащуюся в проектной и эксплуатационной документации на компоненты ЕАИС ТО, детализированные сведения о системах инженерного жизнеобеспечения ЕАИС ТО, информацию о настройках сетевого оборудования ЕАИС ТО, сетевые идентификаторы и пароли администраторов и пользователей ЕАИС ТО, информацию о разрешительной системе доступа различных категорий пользователей к ресурсам ЕАИС ТО и способах реализации доступа, информацию о принятых технических и программных решениях по обеспечению безопасности информации в ЕАИС ТО, информацию, содержащуюся в организационно-распорядительной документации по обеспечению безопасности информации в ЕАИС ТО, сведения о структуре баз данных, используемых в ЕАИС ТО, сведения о фактическом состоянии системы безопасности информации в ЕАИС ТО, в том числе сведения об уязвимых местах локально-вычислительных сетей защищаемых объектов и средств (механизмов) защиты информации, сведения о настройках систем межсетевого экранирования, используемых в ЕАИС ТО, ключевую информацию используемых в ЕАИС ТО криптографических подсистем защиты информации, иную технологическую информацию.
4. Критичная информация включает информацию, не отнесенную к категории конфиденциальной, но разглашение которой и (или) нарушение целостности и (или) доступности которой может привести к негативным последствиям для обладателя такой информации, таможенного органа либо системы таможенных органов в целом.
| Начальник Главного управления информационных технологий | А.Е. Шашаев |
Приложение № 3
к приказу ФТС России
от ___________________ №___
| инструкция по использованию фрагментов Единой автоматизированной информационной системы таможенных органов Российской Федерации, предназначенных для обработки конфиденциальной информации на объекте «Фили» |
Использование фрагментов Единой автоматизированной информационной системы таможенных органов (далее – ЕАИС ТО), предназначенных для обработки конфиденциальной информации в структурных подразделениях ФТС России (далее – Объекты информатизации), требует строгого соблюдения установленных правил работы на средствах вычислительной техники Объектов информатизации, а также неукоснительного выполнения требований и мероприятий по защите информации при работе со средствами вычислительной техники.
Обязанности пользователя:
1. Пользователь обязан:
1.1. Знать документы, регламентирующие использование автоматизированных рабочих мест пользователей на объектах информатизации ЕАИС ТО, приведенные в перечне документов, регламентирующих работу пользователей фрагментов Единой автоматизированной информационной системы таможенных органов (далее – ЕАИС ТО), предназначенных для обработки конфиденциальной информации в структурных подразделениях ФТС России и выполнять требования этих документов (приложение № 4 к приказу).
1.2. Обладать соответствующими навыками по использованию вычислительной техники и знать нормативные правовые акты Российской Федерации и ФТС России, регламентирующие вопросы по использованию информационных технологий[1].
1.3. Для хранения документов, содержащих защищаемую информацию (в том числе персональных данных), использовать специализированный личный сетевой ресурс, автоматически создаваемый и монтируемый на автоматизированном рабочем месте пользователя в качестве сетевого диска «Y» при осуществлении входа пользователя в систему.
1.4. Знать и выполнять правила работы с документами, содержащими информацию, предназначенную для служебного пользования[2].
1.5. Не совершать действий, препятствующих идентификации
пользователя в Доменной структуре единой службы каталогов ЕАИС ТО.
1.6. Знать и выполнять правила работы со средствами защиты информации, используемыми в подсистемах ЕАИС ТО, необходимых для выполнения служебных задач, правила регистрации на автоматизированном рабочем месте пользователя с использованием персонального средства идентификации и аутентификации и правила эксплуатации специализированных средств криптографической защиты информации в случае их применения в технологическом процессе.
1.7. Уметь проверять средства вычислительной техники и машинные носители информации на отсутствие программ-«вирусов» средствами антивирусной защиты информации[3].
1.8. При переносе конфиденциальной информации использовать только учтенные установленным порядком машинные носители информации[4].
1.9. Для обработки защищаемой информации использовать только штатное системное и прикладное программное обеспечение, включенное в состав Единой автоматизированной информационной системы таможенных органов[5], и устанавливаемое службой технической поддержки ФТС России.
1.10. Знать и соблюдать правила работы с прикладным программным обеспечением. Не совершать действий, которые могут привести к несанкционированному удалению либо изменению компьютерной информации (в том числе к перенастройке операционной системы и специализированных программных средств).
1.11. Не использовать полученное из внешних источников программное обеспечение.
1.12. Не использовать обнаруженные уязвимости в защите сервисов Объекта информатизации и немедленно сообщать о них ответственному за защиту информации в структурном подразделении ФТС России.
1.13. Знать пароли от эксплуатируемых на Объекте информатизации информационных систем, к которым пользователю предоставляется доступ. Не передавать пароли иным лицам и не фиксировать их на твердых носителях информации.
1.14. Знать полномочия, предоставленные в соответствии с учетной записью пользователя в ЕАИС ТО. Своевременно направлять заявки на завершение доступа к информационным ресурсам, использование которых потеряло актуальность, либо на завершение предоставления учетной записи полномочий, потерявших актуальность.
1.15. В случаях компрометации паролей, обнаружения фактов или предпосылок несанкционированного доступа к защищаемым ресурсам сообщать об этом в отдел информационной безопасности Главного управления информационных технологий ФТС России (код города 495; тел. 449 76 97;
449 88 64. Ведомственные телефоны: 53 26 97; 53 38 64).
