ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"

РАСПОРЯЖЕНИЕ

от 26 января 2023 года N 152/р

Об утверждении Порядка предоставления доступа к информационным системам ОАО "РЖД"

1. Утвердить прилагаемый Порядок предоставления доступа к информационным системам ОАО "РЖД" (далее - Порядок).

2. Руководителям подразделений аппарата управления, филиалов и структурных подразделений ОАО "РЖД":

- обеспечить выполнение Порядка;

- организовать ознакомление работников с Порядком под роспись, а также изучение ими Порядка.

3. Признать утратившим силу распоряжение ОАО "РЖД" от 28 ноября 2011 г. N 2546р "О порядке предоставления доступа к информационным системам ОАО "РЖД".

Генеральный директор -
председатель правления
ОАО "РЖД"
О.Белозеров

УТВЕРЖДЕН
распоряжением ОАО "РЖД"
от 26 января 2023 года N 152/р

Порядок предоставления доступа к информационным системам ОАО "РЖД"

1. Общие положения

1. Настоящий Порядок устанавливает единую процедуру предоставления доступа к информационным системам ОАО "РЖД" (далее - доступ к ПС) работникам подразделений аппарата управления, филиалов и структурных подразделений ОАО "РЖД" (далее - подразделения ОАО "РЖД") и сторонних организаций, а также индивидуальным предпринимателям и их работникам.

2. Уполномоченные работники подразделений ОАО "РЖД", участвующие в согласовании/утверждении заявок на предоставление доступа к ИС, обязательно используют при предоставлении доступа к ИС электронную подпись.

3. Подключение к информационным системам ОАО "РЖД" в режиме "информационная система ОАО "РЖД" - автоматизированная система внешней организации", а также подключение технологического оборудования (стоек, терминалов, банкоматов и т.п.) осуществляется на основании проекта технических решений подключения, утвержденного в соответствии с требованиями Стандарта ОАО "РЖД" "Автоматизированные системы и программные средства ОАО "РЖД". Порядок согласования и утверждения документов, разрабатываемых при создании и модификации автоматизированных систем и программных средств" СТО РЖД 04.001.4-2021, утвержденного распоряжением ОАО "РЖД" от 29 апреля 2021 г. N 951/р.

4. В настоящем Порядке используются следующие основные термины и понятия:

1) АС ОЗ - система, предназначенная для автоматизации процесса создания, согласования и утверждения заявок на подключение пользователей к информационным системам ОАО "РЖД", а также для хранения заявок и прилагаемых к ним материалов в течение установленного времени;

2) АСУ ЕСПП - система, предназначенная для управления инцидентами и работами по их устранению, включая регистрацию инцидентов и нарядов на соответствующие работы, а также для контроля выполнения этих работ;

3) бизнес-роль - совокупность прав доступа к ИС, обеспечивающих выполнение работниками подразделений ОАО "РЖД" своих должностных обязанностей;

4) внешний пользователь - работник сторонней организации (в том числе хозяйственного общества с прямым или косвенным участием ОАО "РЖД") или индивидуальный предприниматель и его работник, которому предоставляется доступ к ИС;

5) внутренний пользователь - работник подразделения ОАО "РЖД", которому предоставляется доступ к ИС;

6) ВП АС ОЗ - обособленный раздел АС ОЗ, предназначенный для подготовки и оформления заявок внешних пользователей в целях их рассмотрения и согласования вместе с прилагаемыми к ним материалами;

7) доступ к информационной системе - возможность ознакомления со сведениями, находящимися в информационной системе, и/или использования обеспечивающих их обработку информационных технологий и технических средств, в том числе в рамках единого технологического процесса на всем жизненном цикле информационной системы (разработка, внедрение, сопровождение, модификация и вывод из эксплуатации);

8) заявка - сформированный в АС ОЗ запрос на предоставление доступа к ИС;

9) зона ответственности подразделения ОАО "РЖД", осуществляющего эксплуатацию информационной системы, - область функционирования информационной системы, где данное подразделение несет ответственность за ее работоспособность;

10) информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами;

11) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации;

12) организация внешнего пользователя - сторонняя организация или индивидуальный предприниматель и его работник, которой(-ому) предоставляется доступ к ИС;

13) ответственный за оформление заявок - работник подразделения ОАО "РЖД", оформляющий доступ к ИС пользователей данного подразделения;

14) права доступа - совокупность правил, определяющих условия и регламент доступа к ИС;

15) АС ОЗ БР - раздел АС ОЗ, предназначенный для автоматизации процесса подключения внутренних пользователей к информационным системам ОАО "РЖД";

16) распорядитель информационной системы - подразделение ОАО "РЖД" или внешняя организация, реализующие полномочия обладателя информации по предоставлению доступа к ИС в соответствии с требованиями настоящего Порядка, а также других организационно-правовых или распорядительных документов ОАО "РЖД";

17) руководитель подразделения ОАО "РЖД" - начальник (заместитель начальника) подразделения ОАО "РЖД", имеющий право подписи исходящих документов;

18) СПД - корпоративная транспортная инфраструктура передачи данных, предназначенная для обмена информацией между подключенными к ней пользователями, а также для обеспечения доступа к ИС пользователей;

19) ЦУДИС - сетевой узел, предназначенный для обеспечения информационной безопасности информационных систем ОАО "РЖД" при централизованном сетевом взаимодействии и информационном обмене с внешними организациями по выделенным каналам связи и/или по информационно-телекоммуникационной сети Интернет (далее - сеть Интернет).

5. Подключения пользователей к информационным системам ОАО "РЖД" подразделяются на следующие типы:

1) информационный - для получения справочных сведений из информационной системы;

2) технологический - для обмена данными с информационной системой в процессе производственной деятельности;

3) обеспечивающий - для сопровождения и обеспечения эффективного функционирования информационной системы.

6. В случае отсутствия возможности использования внутренними пользователями АС ОЗ заявка на предоставление доступа к ИС, составленная по форме согласно приложениям N 1 и 2, вместе с сопроводительным письмом, в котором указываются цель подключения и основание для предоставления доступа к ИС, направляется в адреса Главного вычислительного центра (информационно-вычислительного центра), распорядителя информационной системы и Департамента информатизации (службы корпоративной информатизации железной дороги).

В случае отсутствия возможности использования внешними пользователями ВП АС ОЗ заявка на предоставление доступа к ИС, составленная по форме согласно приложениям N 1 и 2, схема подключения, составляется по форме согласно приложению N 2, вместе с сопроводительным письмом, в котором указывается цель подключения и основание для предоставления доступа к ИС, направляются в ОАО "РЖД".

7. Ответственными за предоставление доступа к ИС являются:

1) руководитель подразделения ОАО "РЖД", инициирующего подключение внутреннего пользователя к информационной системе, - за достоверность внесенных в заявку сведений и соответствие данных о подключаемом внутреннем пользователе сведениям, содержащимся в Единой корпоративной автоматизированной системе управления трудовыми ресурсами (ЕК АСУТР);

2) руководитель подразделения ОАО "РЖД", являющегося распорядителем информационной системы, - за согласование заявки на предоставление доступа к ИС, а также за принятие решения о целесообразности и возможности предоставления доступа к ИС и к информации в информационной системе;

3) администратор информационной системы - за своевременность подключения к информационной системе (отключения от информационной системы) и соответствие прав доступа, предоставляемых внутреннему и внешнему пользователям, правам, указанным в заявке;

4) начальник службы корпоративной информатизации железной дороги - за утверждение заявки на предоставление доступа к ИС в зоне ответственности информационно-вычислительного центра;

5) работник Департамента информатизации, назначаемый приказом по данному подразделению ОАО "РЖД", - за утверждение заявки на предоставление доступа к ИС в зоне ответственности Главного вычислительного центра.

II. Организация доступа к ИС внутренних пользователей

8. Основанием для предоставления доступа к ИС внутреннему пользователю являются должностные обязанности (трудовые функции), установленные распорядительными и организационно-правовыми документами ОАО "РЖД" (должностные инструкции, приказ о распределении обязанностей, положение о подразделении и пр.).

9. Для предоставления внутреннему пользователю доступа к ИС, в которой обрабатываются персональные данные, необходимо одновременное наличие:

1) приказа о назначении внутреннего пользователя на должность;

2) документа, в котором закреплены трудовые обязанности, в том числе функции по обработке персональных данных;

3) подписанного внутренним пользователем обязательства о неразглашении персональных данных.

10. Доступ к ИС обеспечивается путем подключения персональных электронно-вычислительных машин (далее - ПЭВМ) внутренних пользователей к СПД.

11. Предоставление внутреннему пользователю доступа к ИС осуществляется на основании заявок, оформляемых в АС ОЗ.

Заявка на предоставление доступа к ИС заполняется в АС ОЗ ответственным за оформление заявок в подразделении ОАО "РЖД" или самим внутренним пользователем. При оформлении заявки указывается цель и тип подключения, при этом тип подключения выбирается исходя из цели подключения.

В зависимости от обрабатываемой в информационной системе информации к заявке прикрепляются соответствующие основания для предоставления доступа к ИС, предусмотренные пунктами 8 и 9 настоящего Порядка.

В случае необходимости в поле комментария к заявке могут указываться дополнительные сведения, требуемые для корректной работы и/или настройки программного обеспечения.

12. Руководитель подразделения внутреннего пользователя подтверждает необходимость подключения, согласовывая заявку в АС ОЗ с применением электронной подписи. Делегирование полномочий руководителя подразделения ОАО "РЖД" в части согласования заявок в АС ОЗ внутренних пользователей данного подразделения допускается только работнику этого подразделения на основании приказа по данному подразделению. Применение электронной подписи указанным работником в этом случае является обязательным.

13. Распорядитель информационной системы в порядке согласования заявки в АС ОЗ с учетом представленных оснований принимает решение о целесообразности и возможности предоставления доступа к ИС внутреннему пользователю.

Распорядитель информационной системы по согласованию с Департаментом управления информационной безопасностью и Департаментом информатизации при необходимости может делегировать право согласования в АС ОЗ заявок внутренних пользователей структурным подразделениям дорожного уровня в зоне ответственности соответствующих информационно-вычислительных центров.

14. В Главном вычислительном центре (информационно-вычислительном центре) заявки на предоставление доступа к ИС рассматриваются соответствующими подразделениями (уполномоченными работниками), которые обеспечивают:

1) физическое подключение ПЭВМ внутреннего пользователя к СПД, если ранее ПЭВМ не была подключена, или подтверждение факта ее физического подключения;

2) организацию (при необходимости) работы по установке автоматизированного рабочего места информационной системы на ПЭВМ внутреннего пользователя;

3) предоставление и обеспечение безопасности доступа к ИС.

15. Департамент информатизации (служба корпоративной информатизации железной дороги) утверждает заявки на предоставление доступа к ИС внутренним пользователям.

16. Срок рассмотрения соответствующими подразделениями ОАО "РЖД" заявок на доступ к ИС внутренних пользователей не должен превышать 3 рабочих дней.

17. В случае наличия ошибок (неточностей) или отсутствия оснований для предоставления доступа к ИС внутреннему пользователю при оформлении в АС ОЗ заявки, а также при нарушении порядка ее согласования доступ к ИС не предоставляется, о чем работник, принявший решение об отказе в предоставлении доступа к ИС, уведомляет инициатора заявки путем оформления замечания в АС ОЗ.

18. Срок действия заявки на предоставление внутреннему пользователю доступа к ИС - 2 года с даты ее утверждения.

19. Внутренние пользователи при работе в информационных системах ОАО "РЖД" обязаны соблюдать требования, изложенные в приложении N 4.

III. Порядок предоставления доступа к ИС внутренним пользователям в зоне ответственности Главного вычислительного центра

20. Предоставление доступа к ИС внутренним пользователям в зоне ответственности Главного вычислительного центра осуществляется в следующем порядке:

1) оформленные в АС ОЗ заявки направляются в Главный вычислительный центр;

2) в Главном вычислительном центре заявки согласовываются администратором информационной системы, администратором безопасности и начальником отдела безопасности информационных ресурсов и направляются на рассмотрение распорядителю информационной системы;

3) согласованные распорядителем информационной системы заявки направляются на утверждение в Департамент информатизации;

4) утвержденные в Департаменте информатизации заявки направляются в Главный вычислительный центр для исполнения.

21. Предоставление внутренним пользователям доступа к ИС, подключаемым через информационно-вычислительный центр, осуществляется в следующем порядке:

1) оформленные в АС ОЗ заявки направляются в информационно-вычислительный центр;