ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"
РАСПОРЯЖЕНИЕ
от 28 ноября 2011 года N 2546р
О порядке предоставления доступа к информационным системам ОАО "РЖД"
____________________________________________________________________
Утратило силу на основании
распоряжения ОАО "РЖД" от 26 января 2023 года N 152/р
____________________________________________________________________
В целях оптимизации предоставления доступа к информационным системам ОАО "РЖД", уменьшения бумажного документооборота, а также в связи с вводом в эксплуатацию автоматизированных систем обработки заявок на доступ к информационным системам ОАО "РЖД":
1. Утвердить прилагаемый Порядок предоставления доступа к информационным системам ОАО "РЖД".
2. Руководителям подразделений аппарата управления, филиалов и других структурных подразделений ОАО "РЖД":
обеспечить выполнение требований Порядка предоставления доступа к информационным системам ОАО "РЖД";
организовать ознакомление под роспись и изучение указанного Порядка работниками, являющимися пользователями информационных систем ОАО "РЖД".
3. Признать утратившими силу:
Правила работы пользователей Комплексной информационно-вычислительной сети (КИВС) ОАО "РЖД" при их подключении к сети Интернет, утвержденные ОАО "РЖД" 3 июня 2005 года;
Президент
ОАО "РЖД"
В.Якунин
УТВЕРЖДЕН
Распоряжением ОАО "РЖД"
от 28 ноября 2011 года N 2546р
Порядок предоставления доступа к информационным системам ОАО "РЖД"
I. Общие положения
1. Настоящий Порядок устанавливает единую процедуру организации доступа к информационным системам ОАО "РЖД" работников аппарата управления, филиалов, других структурных подразделений ОАО "РЖД", их обособленных подразделений, а также сторонних организаций.
2. В настоящем Порядке используются следующие основные понятия:
информация - сведения (сообщения, данные) независимо от формы их представления, в том числе находящиеся в информационных системах;
информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационная система общего пользования - глобальная информационная система (сеть Интернет), доступ к которой в соответствии с настоящим Порядком предоставляется за счет ресурсов ОАО "РЖД" внутренним пользователям для выполнения ими должностных обязанностей;
информационные технологии - процессы и методы поиска, сбора, хранения, обработки, предоставления и распространения информации;
подразделение ОАО "РЖД" - подразделение аппарата управления, филиал (его обособленное подразделение) или другое структурное подразделение ОАО "РЖД";
внутренний пользователь - работник подразделения ОАО "РЖД", использующий информационные системы;
внешний пользователь - работник сторонней организации (в том числе дочернего или зависимого общества ОАО "РЖД") или индивидуальный предприниматель, имеющий доступ к информационным системам ОАО "РЖД";
обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации;
доступ к информационной системе - возможность ознакомления пользователя со сведениями, находящимися в информационной системе, и использования обеспечивающих их обработку информационных технологий и технических средств;
ответственный за оформление заявок - назначаемый приказом по подразделению ОАО "РЖД" работник, оформляющий доступ пользователей к информационной системе;
распорядитель информационной системы (раздела информационной системы) - подразделение ОАО "РЖД", реализующее полномочия обладателя информации по предоставлению доступа к информационной системе в соответствии с требованиями настоящего Порядка, а также других нормативных документов ОАО "РЖД" (как правило, функциональный заказчик информационной системы);
зона ответственности подразделения, осуществляющего эксплуатацию информационной системы, - область функционирования информационной системы, где данное подразделение несет ответственность за ее работоспособность;
руководитель подразделения ОАО "РЖД" - начальник (заместитель начальника) подразделения ОАО "РЖД", имеющий право подписи исходящих документов:
сеть передачи данных ОАО "РЖД" - корпоративная транспортная инфраструктура передачи данных, предназначенная для обмена информацией между пользователями, подключенными к сети передачи данных, а также обеспечения доступа пользователей к информационным системам ОАО "РЖД";
электронная почтовая система ОАО "РЖД" - технология и услуги по пересылке электронных сообщений по сети передачи данных ОАО "РЖД".
II. Организация доступа пользователей к информационным системам ОАО "РЖД"
3. Предоставление пользователям доступа к информационным системам ОАО "РЖД" осуществляется на основании их заявок, которые оформляются с использованием автоматизированных систем обработки заявок на доступ к информационным системам ОАО "РЖД".
Подразделение ОАО "РЖД", инициирующее подключение пользователя к информационной системе (разделу информационной системы), обеспечивает оформление заявки на его доступ к информационной системе (разделу информационной системы). Заявка на доступ к информационной системе заполняется в автоматизированной системе обработки заявок ответственным за оформление заявок или самим пользователем, при этом указывается цель подключения и прилагается основание для предоставления доступа.
4. При отсутствии возможности использования автоматизированной системы обработки заявок заявка оформляется согласно приложениям N 1 или 2 и вместе с сопроводительным письмом, в котором указываются цель подключения и основание для предоставления доступа к информационной системе, пересылается почтой с соблюдением требований настоящего Порядка.
5. Основанием для предоставления доступа к информационной системе внутреннего пользователя являются его должностные обязанности, а также письменное указание руководства ОАО "РЖД" или руководителя филиала (структурного подразделения) ОАО "РЖД", копия (выписка) которого прилагается к заявке.
Срок действия заявки внутреннего пользователя - 2 года с даты ее утверждения.
6. Внешние пользователи в качестве основания для предоставления доступа к информационной системе указывают договор (соглашение) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными, а также соответствующие приказ или распоряжение ОАО "РЖД" (при необходимости), копии которых прилагаются. Срок действия заявки внешнего пользователя - один год с даты ее утверждения, но не более срока действия указанного договора (соглашения).
В сопроводительном письме внешние пользователи дополнительно указывают наименование информационной системы (раздела информационной системы), а также направляют вместе с заявкой копию утвержденной типовой схемы предоставления доступа к указанной информационной системе (разделу информационной системы), оформленной согласно приложению N 3, и копию договора (соглашения) об электронном обмене данными.
Типовая схема предоставления доступа внешнего пользователя к информационной системе ОАО "РЖД" согласовывается с Главным вычислительным центром или с информационно-вычислительным центром - структурным подразделением Главного вычислительного центра в случае подключения к информационной системе (разделу информационной системы), расположенной в зоне ответственности информационно-вычислительного центра. В последнем случае схема также согласовывается с соответствующим региональным центром безопасности.
После этого схема предоставления доступа внешних пользователей к информационной системе согласовывается с департаментом безопасности и утверждается департаментом информатизации и корпоративных процессов управления.
7. В договоре (соглашении) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными указываются информационная система (раздел информационной системы), содержание передаваемой информации, порядок приостановления или прекращения доступа внешнего пользователя к информационной системе, требования по обеспечению защиты информации в соответствии с политикой и стандартами безопасности ОАО "РЖД", а также следующие обязательства организации внешнего пользователя:
обеспечивать конфиденциальность информации, составляющей коммерческую тайну ОАО "РЖД";
передавать полученную информацию третьим лицам только с письменного согласия ОАО "РЖД";
незамедлительно сообщать ОАО "РЖД" о допущенном организацией внешнего пользователя либо ставшем ей известном факте разглашения или об угрозе разглашения, о незаконном получении или незаконном использовании третьими лицами информации, составляющей коммерческую тайну ОАО "РЖД";
возместить убытки ОАО "РЖД" в случае разглашения организацией внешнего пользователя информации, составляющей коммерческую тайну ОАО "РЖД", а также в других случаях нарушения внешним пользователем требований информационной безопасности;
обеспечить средства электронно-вычислительной техники, подключаемые к информационной системе, антивирусной защитой и защитой от несанкционированного доступа в соответствии с политикой и стандартами информационной безопасности ОАО "РЖД".
8. Договор (соглашение) об электронном обмене данными согласовывается с распорядителем информационной системы и с департаментом безопасности (с региональным центром безопасности в случае предоставления доступа к информационной системе в зоне ответственности информационно-вычислительного центра).
9. Доступ внешних пользователей к информационной системе (разделу информационной системы), содержащей информацию, обладателем которой является дочернее или зависимое общество ОАО "РЖД", возможен только при наличии письменного согласия обладателя информации.
10. Доступ внутренних и внешних пользователей к информационной системе обеспечивается путем подключения рабочей станции или персональной электронно-вычислительной машины (далее - ПЭВМ) пользователя к средствам информационного обмена Главного вычислительного центра или информационно-вычислительного центра - структурного подразделения Главного вычислительного центра, которыми для внутренних пользователей является сеть передачи данных ОАО "РЖД", а для внешних пользователей - защищенные узлы доступа из внешних сетей.
11. Доступ внешних пользователей к информационным системам осуществляется через узлы доступа Главного вычислительного центра (информационно-вычислительных центров - структурных подразделений Главного вычислительного центра) в соответствии со схемой предоставления доступа к информационным системам (разделу информационной системы) по технологиям, предусмотренным проектными решениями узлов доступа, в том числе с применением сертифицированных средств криптографической защиты.
Подключение внешних пользователей к электронно-почтовой системе ОАО "РЖД" для производственно-хозяйственной деятельности допускается только при соблюдении требований законодательства Российской Федерации.
12. Подключение по схеме "информационная система ОАО "РЖД" - автоматизированная система внешней организации", а также подключение технологического оборудования (стоек, терминалов, банкоматов и т.п.) осуществляется на основании разрабатываемого для каждого случая проекта, который согласовывается в установленном порядке с Главным вычислительным центром, департаментом безопасности и департаментом информатизации и корпоративных процессов управления.
13. Подключения пользователей подразделяются по типу на:
информационное - для получения справочных сведений из информационной системы в процессе выработки управленческих решений;
технологическое - для обмена данными с информационной системой в процессе производственной деятельности пользователя;
обеспечивающее - для сопровождения и обеспечения эффективного функционирования информационной системы (раздела информационной системы).
14. Подразделение - распорядитель информационной системы (раздела информационной системы) принимает решение о целесообразности и возможности предоставления конкретному пользователю доступа к данной информационной системе (разделу информационной системы). Указанное подразделение по согласованию с департаментом безопасности и департаментом информатизации и корпоративных процессов управления может делегировать часть своих полномочий распорядителя информационной системы подразделениям ОАО "РЖД" дорожного уровня в зоне ответственности соответствующего информационно-вычислительного центра - структурного подразделения Главного вычислительного центра.
Работник, ответственный за организацию работы с информацией, составляющей коммерческую тайну, в подразделении ОАО "РЖД" - распорядителе информационной системы, обеспечивает ведение учета заявок на подключение пользователей к информационной системе, содержащей сведения, составляющие коммерческую тайну ОАО "РЖД".
15. В Главном вычислительном центре (информационно-вычислительном центре - структурном подразделении Главного вычислительного центра) заявки на доступ к информационной системе (разделу информационной системы) рассматриваются соответствующими подразделениями (уполномоченными работниками), которые обеспечивают:
учет заявок на подключение пользователей к информационной системе (при отсутствии автоматизированной системы обработки заявок);
контроль правильности оформления заявки (при отсутствии автоматизированной системы обработки заявок);
физическое подключение ПЭВМ пользователя к сети передачи данных (если ранее ПЭВМ не была подключена) или подтверждение факта ее физического подключения;
организацию (при необходимости) работы по установке автоматизированных рабочих мест информационной системы на ПЭВМ пользователя;
предоставление прав доступа к информационной системе (разделу информационной системы) с передачей пользователю идентификационной информации;
безопасность подключения и доступа к информационной системе (разделу информационной системы).
16. В департаменте безопасности (региональном центре безопасности) заявки на доступ к информационным системам рассматриваются отделом (уполномоченными работниками), который:
проверяет полноту оформления документов и легитимность подписей, в том числе электронных цифровых;
проверяет оформление допуска пользователя к сведениям, составляющим коммерческую тайну, при подключении его к информационной системе (разделу информационной системы), содержащей такие сведения;
оценивает целесообразность продления сроков подключения пользователя к определенной информационной системе (разделу информационной системы) исходя из имеющейся информации о нарушениях, допущенных данным пользователем при работе в этой информационной системе (разделе информационной системы);
контролирует соблюдение настоящего Порядка, политики и стандартов информационной безопасности ОАО "РЖД", а также правил работы внутренних пользователей.
17. Срок рассмотрения заявки на доступ пользователей к информационной системе ОАО "РЖД" каждым из причастных подразделений ОАО "РЖД" не превышает трех рабочих дней.
18. Применение введенных до 2011 года в эксплуатацию автоматизированных систем обработки заявок на доступ к информационным системам допускается при их соответствии требованиям настоящего Порядка и требованиям к работе систем с использованием электронной цифровой подписи. В указанных системах использование электронной цифровой подписи руководителями подразделений ОАО "РЖД" - распорядителей информационных систем (разделов информационных систем), служб корпоративной информатизации железных дорог ОАО "РЖД", а также уполномоченными в соответствии с настоящим Порядком работниками Главного вычислительного центра (информационно-вычислительного центра), департамента безопасности (регионального центра безопасности) и департамента информатизации и корпоративных процессов управления является обязательным.
19. Эксплуатируемые автоматизированные системы обработки заявок должны обеспечивать соответствие данных о подключаемых внутренних пользователях сведениям, содержащимся в информационной системе кадрового учета (ЕК АСУТР).
