3. Предоставление пользователям доступа к информационным системам ОАО "РЖД" осуществляется на основании их заявок, которые оформляются с использованием автоматизированных систем обработки заявок на доступ к информационным системам ОАО "РЖД".
Подразделение ОАО "РЖД", инициирующее подключение пользователя к информационной системе (разделу информационной системы), обеспечивает оформление заявки на его доступ к информационной системе (разделу информационной системы). Заявка на доступ к информационной системе заполняется в автоматизированной системе обработки заявок ответственным за оформление заявок или самим пользователем, при этом указывается цель подключения и прилагается основание для предоставления доступа.
4. При отсутствии возможности использования автоматизированной системы обработки заявок заявка оформляется согласно приложениям N 1 или 2 и вместе с сопроводительным письмом, в котором указываются цель подключения и основание для предоставления доступа к информационной системе, пересылается почтой с соблюдением требований настоящего Порядка.
5. Основанием для предоставления доступа к информационной системе внутреннего пользователя являются его должностные обязанности, а также письменное указание руководства ОАО "РЖД" или руководителя филиала (структурного подразделения) ОАО "РЖД", копия (выписка) которого прилагается к заявке.
Срок действия заявки внутреннего пользователя - 2 года с даты ее утверждения.
6. Внешние пользователи в качестве основания для предоставления доступа к информационной системе указывают договор (соглашение) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными, а также соответствующие приказ или распоряжение ОАО "РЖД" (при необходимости), копии которых прилагаются. Срок действия заявки внешнего пользователя - один год с даты ее утверждения, но не более срока действия указанного договора (соглашения).
В сопроводительном письме внешние пользователи дополнительно указывают наименование информационной системы (раздела информационной системы), а также направляют вместе с заявкой копию утвержденной типовой схемы предоставления доступа к указанной информационной системе (разделу информационной системы), оформленной согласно приложению N 3, и копию договора (соглашения) об электронном обмене данными.
Типовая схема предоставления доступа внешнего пользователя к информационной системе ОАО "РЖД" согласовывается с Главным вычислительным центром или с информационно-вычислительным центром - структурным подразделением Главного вычислительного центра в случае подключения к информационной системе (разделу информационной системы), расположенной в зоне ответственности информационно-вычислительного центра. В последнем случае схема также согласовывается с соответствующим региональным центром безопасности.
После этого схема предоставления доступа внешних пользователей к информационной системе согласовывается с департаментом безопасности и утверждается департаментом информатизации и корпоративных процессов управления.
7. В договоре (соглашении) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными указываются информационная система (раздел информационной системы), содержание передаваемой информации, порядок приостановления или прекращения доступа внешнего пользователя к информационной системе, требования по обеспечению защиты информации в соответствии с политикой и стандартами безопасности ОАО "РЖД", а также следующие обязательства организации внешнего пользователя:
обеспечивать конфиденциальность информации, составляющей коммерческую тайну ОАО "РЖД";
передавать полученную информацию третьим лицам только с письменного согласия ОАО "РЖД";
незамедлительно сообщать ОАО "РЖД" о допущенном организацией внешнего пользователя либо ставшем ей известном факте разглашения или об угрозе разглашения, о незаконном получении или незаконном использовании третьими лицами информации, составляющей коммерческую тайну ОАО "РЖД";
возместить убытки ОАО "РЖД" в случае разглашения организацией внешнего пользователя информации, составляющей коммерческую тайну ОАО "РЖД", а также в других случаях нарушения внешним пользователем требований информационной безопасности;
обеспечить средства электронно-вычислительной техники, подключаемые к информационной системе, антивирусной защитой и защитой от несанкционированного доступа в соответствии с политикой и стандартами информационной безопасности ОАО "РЖД".
8. Договор (соглашение) об электронном обмене данными согласовывается с распорядителем информационной системы и с департаментом безопасности (с региональным центром безопасности в случае предоставления доступа к информационной системе в зоне ответственности информационно-вычислительного центра).
9. Доступ внешних пользователей к информационной системе (разделу информационной системы), содержащей информацию, обладателем которой является дочернее или зависимое общество ОАО "РЖД", возможен только при наличии письменного согласия обладателя информации.
10. Доступ внутренних и внешних пользователей к информационной системе обеспечивается путем подключения рабочей станции или персональной электронно-вычислительной машины (далее - ПЭВМ) пользователя к средствам информационного обмена Главного вычислительного центра или информационно-вычислительного центра - структурного подразделения Главного вычислительного центра, которыми для внутренних пользователей является сеть передачи данных ОАО "РЖД", а для внешних пользователей - защищенные узлы доступа из внешних сетей.
11. Доступ внешних пользователей к информационным системам осуществляется через узлы доступа Главного вычислительного центра (информационно-вычислительных центров - структурных подразделений Главного вычислительного центра) в соответствии со схемой предоставления доступа к информационным системам (разделу информационной системы) по технологиям, предусмотренным проектными решениями узлов доступа, в том числе с применением сертифицированных средств криптографической защиты.
Подключение внешних пользователей к электронно-почтовой системе ОАО "РЖД" для производственно-хозяйственной деятельности допускается только при соблюдении требований законодательства Российской Федерации.
12. Подключение по схеме "информационная система ОАО "РЖД" - автоматизированная система внешней организации", а также подключение технологического оборудования (стоек, терминалов, банкоматов и т.п.) осуществляется на основании разрабатываемого для каждого случая проекта, который согласовывается в установленном порядке с Главным вычислительным центром, департаментом безопасности и департаментом информатизации и корпоративных процессов управления.
13. Подключения пользователей подразделяются по типу на:
информационное - для получения справочных сведений из информационной системы в процессе выработки управленческих решений;
технологическое - для обмена данными с информационной системой в процессе производственной деятельности пользователя;
обеспечивающее - для сопровождения и обеспечения эффективного функционирования информационной системы (раздела информационной системы).
14. Подразделение - распорядитель информационной системы (раздела информационной системы) принимает решение о целесообразности и возможности предоставления конкретному пользователю доступа к данной информационной системе (разделу информационной системы). Указанное подразделение по согласованию с департаментом безопасности и департаментом информатизации и корпоративных процессов управления может делегировать часть своих полномочий распорядителя информационной системы подразделениям ОАО "РЖД" дорожного уровня в зоне ответственности соответствующего информационно-вычислительного центра - структурного подразделения Главного вычислительного центра.
Работник, ответственный за организацию работы с информацией, составляющей коммерческую тайну, в подразделении ОАО "РЖД" - распорядителе информационной системы, обеспечивает ведение учета заявок на подключение пользователей к информационной системе, содержащей сведения, составляющие коммерческую тайну ОАО "РЖД".
15. В Главном вычислительном центре (информационно-вычислительном центре - структурном подразделении Главного вычислительного центра) заявки на доступ к информационной системе (разделу информационной системы) рассматриваются соответствующими подразделениями (уполномоченными работниками), которые обеспечивают:
учет заявок на подключение пользователей к информационной системе (при отсутствии автоматизированной системы обработки заявок);