УТВЕРЖДАЮ Директор ГБУ РО РОЦОИСО _________________ Г.А. Снежко «____»_____________________2015г. ПОЛОЖЕНИЕ О ЗАЩИЩЕННОЙ СЕТИ ПЕРЕДАЧИ ДАННЫХ ГБУ РО «РОСТОВСКИЙ ОБЛАСТНОЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ В СФЕРЕ ОБРАЗОВАНИЯ» г. Ростов-на-Дону 2015 г. 1. Общие положения 1.1. Настоящее Положение определяет структуру и состав защищенной сети передачи данных (далее – ЗСПД) государственного бюджетного учреждения Ростовской области «Ростовский областной центр обработки информации в сфере образования» (далее – ГБУ РО РОЦОИСО), условия и порядок подключения к ЗСПД. 1.2. В настоящем Положении используются следующие основные понятия: абоненты ЗСПД – муниципальные органы управления в сфере образования Ростовской области, подведомственные им учреждения, первичные пункты обработки информации, пункты проведения экзаменов. оператор ЗСПД – ГБУ РО «Ростовский областной центр обработки информации в сфере образования»; администратор ЗСПД – определённые оператором ЗСПД организации, осуществляющие управление и (или) эксплуатацию ЗСПД; несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами; 1.3. ЗСПД – наложенная защищенная сеть передачи данных, организатором и оператором которой является ГБУ РО РОЦОИСО. 1.4. ЗСПД обеспечивает телекоммуникационный и сетевой уровень функционирования ряда региональных информационных систем (далее – РИС) в сфере образования. В РИС хранятся и обрабатываются являющиеся персональными данными сведения об участниках государственной итоговой аттестации обучающихся, освоивших образовательные программы основного общего и среднего общего образования, а также иных лицах привлекаемых для проведения государственной итоговой аттестации. 1.5. Основным назначением ЗСПД является обеспечение безопасного телекоммуникационного взаимодействия между территориально распределенными компонентами РИС и абонентами ЗСПД. 1.6. Передача данных в ЗСПД обеспечивается за счет использования каналов и сетей доступа операторов связи, предоставляющих услуги доступа к сети Интернет, и возможностей передачи данных непосредственно в сети Интернет. 1.7. Логическая изоляция и выделение наложенной ЗСПД, а также защита информации при ее передаче в ЗСПД по открытым каналам осуществляются за счет использования технологии виртуальных частных сетей – VPN, реализованной на базе продуктов семейства VipNet компании ОАО «ИнфоТеКС». 1.8. Основными сетевыми телекоммуникационными протоколами, используемыми в ЗСПД, являются протоколы семейства TCP/IP. Для организации ЗСПД используется телекоммуникационное и сетевое оборудование различных производителей, а в качестве криптографических средств, обеспечивающих защиту каналов связи – программно-аппаратный комплекс/программный комплекс «VipNet Координатор» и «VipNet Клиент». 1.9. Взаимодействие подключаемых абонентов ЗСПД с функционирующими на базе ЗСПД РИС предполагает передачу следующих сведений: о выпускниках общеобразовательных учреждений; об участниках государственной итоговой аттестации; об экзаменационных работах участников государственной итоговой аттестации; о результатах государственной итоговой аттестации; о поданных участниками государственной итоговой аттестации апелляциях о нарушении установленного порядка проведения государственной итоговой аттестации и (или) несогласии с результатами государственной итоговой аттестации; о работниках, привлекаемых по решению органов исполнительной власти субъектов Российской, к проведению государственной итоговой аттестации; о гражданах, аккредитованных в качестве общественных наблюдателей; о пунктах проведения экзаменов; о расписании экзаменов; о количестве экзаменационных материалов, полученных в субъекте Российской Федерации для проведения единого государственного экзамена и об их использовании; иные сведения, необходимые для подготовки и проведения государственной итоговой аттестации. Состав сведений определяется Федеральной службой по надзору в сфере образования и науки. 2. Структура и состав ЗСПД 2.1. Сеть ЗСПД – представляет собой территориально распределенную информационно-телекоммуникационную сеть, включающую в себя совокупность каналов связи, маршрутизирующего и сервисного оборудования, узлов доступа к сети, компьютеров, предназначенных для передачи информации. Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, может передаваться по ЗСПД при выполнении требований законодательства Российской Федерации по защите информации. 2.2. В состав ЗСПД входят следующие компоненты: 2.2.1. Центральный телекоммуникационный узел, включающий в себя: серверы центрального телекоммуникационного узла; административно-технический сетевой сегмент; 2.2.2. Телекоммуникационные узлы, обеспечивающие подключение абонентов ЗСПД. 2.2.3. Каналы связи, обеспечивающие соединение всех телекоммуникационных узлов. 2.2.4. Автоматизированные рабочие места (далее – АРМ) абонентов ЗСПД, непосредственно подключенные к телекоммуникационным узлам. 2.3. В ЗСПД пользователям предоставляются следующие информационные сервисы: 2.3.1. Электронная почта.(Деловая почта). 2.3.2. Доступ к ресурсам информационно-коммуникационной сети Интернет. 2.3.3. Иные создаваемые сервисы. 2.4. Для подключения абонентов к ЗСПД на технологических площадках абонентов организуются узлы доступа к ЗСПД. Подключение узлов доступа к ЗСПД осуществляется через выделенные линии связи, сети операторов связи или с помощью коммутируемых линий телефонной связи. 3. Технические требования 3.1. Общие требования Организация подключения АРМ абонентов к ЗСПД должна соответствовать требованиям нормативных, технических и методических документов ФСТЭК России и ФСБ России в области защиты персональных данных. Перечень нормативных, технических и методических документов приведён в Приложении №1. Безопасность ПДн, при передаче по сетям связи общего пользования, должна быть обеспечена посредством организации защищенного взаимодействия между функционирующими на базе ЗСПД РИС и подключаемых АРМ абонентов ЗСПД, с использованием сертифицированных по требованиям безопасности информации ФСТЭК России и ФСБ России межсетевого экрана (далее – МЭ), средств защиты информации (далее – СЗИ) и средств криптографической защиты информации (далее – СКЗИ). 3.2. Порядок реализации защищенного взаимодействия 3.2.1. Для подключения абонента к ЗСПД должно быть использовано выделенное АРМ, соответствующее требованиям руководящих документов ФСТЭК России и ФСБ России по информационной безопасности. 3.2.2. В системе защиты ПДн абонента ЗСПД должны использоваться СЗИ и СКЗИ, совместимые со средствами, применяемыми в ЗСПД ГБУ РО РОЦОИСО. Для обеспечения безопасного межсетевого взаимодействия и для организации защищенного канала связи в ЗСПД должно использоваться СКЗИ, сертифицированное или имеющее положительное заключение ФСБ России, с классом криптографической защиты не ниже КС2, по технологии ViPNet (производство компании ОАО «ИнфоТеКС») 3.2.3. Помещение для размещения выделенного АРМ должно удовлетворять следующим требованиям: 1) Размещение, специальное оборудование, охрана и режим в помещениях, в которых производится работа с СКЗИ (далее - помещения), должны обеспечивать безопасность СКЗИ и исключать возможность неконтролируемого доступа к СКЗИ. Размещение СКЗИ должно осуществляться в соответствии с требованиями, указанными в документации на СКЗИ; 2) Доступ лиц в эти помещения должен быть ограничен и обеспечиваться в соответствии со служебной необходимостью. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, оборудованные надежными замками; 3) По окончании рабочего дня ответственный сотрудник обязан закрыть помещение, опечатать помещение личной номерной печатью, сдать помещение под охрану с отметкой в журнале приема помещений под охрану. При вскрытии помещений должны проверяться целостность печатей и замков. В случае нарушения целостности печатей или замков ответственный сотрудник обязан немедленно сообщить об этом лицу, ответственному за обеспечение безопасности при обращении с СКЗИ; 4) На дверях и оконных стеклах должны быть установлены датчики охранной сигнализации (при нахождении помещения вне крайних этажей допускается установка датчиков объемной сигнализации). В помещении должна быть установлена система пожарной сигнализации; 5) Для хранения носителей СКЗИ, нормативной и эксплуатационной документации помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Сейфы должны быть оборудованы приспособлением для их опечатывания либо специальным защитным замком для замочной скважины. 3.2.4 Для обеспечения защиты конфиденциальной информации при эксплуатации автоматизированной системы (далее АС), должны соблюдаться следующие требования: 1) Допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с установленным разрешительной системой допуска; 2) На период обработки защищаемой информации в помещениях, где размещаются основные технические средства и системы, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации; 3) Допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с санкции руководителя учреждения (предприятия) или ответственного; 4) В случае размещения в одном помещении нескольких технических средств отображения информации, должен быть исключен несанкционированный просмотр выводимой на них информации; 5) Изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться по согласованию с органом по аттестации и администратором АС; 3.2.6. Для обеспечения защиты информации, содержащейся в информационной системе, АРМ должно пройти аттестацию информационной системы по требованиям защиты информации. 3.2.5.Выделенное АРМ должно быть подключено к информационнотелекоммуникационным сетям ГБУ РО РОЦОИСО № 2880, используемым для связи с ЗСПД. Специальные требования. К проведению работ по установке, монтажу и настройке СКЗИ и СЗИ должны допускаться исполнители, имеющие соответствующий уровень квалификации, из числа сотрудников организаций, обладающих необходимыми действующими лицензиями: ФСТЭК России на деятельность по технической защите конфиденциальной информации, которая позволяет выполнять работы и (или) оказывать услуги по проведению аттестационных испытаний и аттестации на соответствие требованиям по защите информации средств и систем информатизации; ФСБ России на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание 3.3. шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), которая позволяет выполнять работы и (или) оказывать услуги по разработке защищенных с использованием шифровальных (криптографических) средств информационных систем. Все используемые для организации защищенного взаимодействия СЗИ должны иметь действующий сертификат соответствия ФСТЭК России требованиям РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей» не ниже 4 уровня контроля от НДВ. 4. Порядок подключения абонентов к ЗСПД 4.1. Для подключения к ЗСПД руководитель абонента ЗСПД определяет лицо, ответственное за работу абонента в ЗСПД, c возложением на него следующих обязанностей: сбор и оформление заявок на подключение к ЗСПД; организацию работы пользователей абонентов, подключаемых к ЗСПД. 4.2. Лицо, ответственное за работу абонента в ЗСПД, готовит заявку на подключение нового абонента к ЗСПД по форме согласно приложению № 2 к настоящему Положению. 4.3. К заявке прилагаются: Распорядительный акт о назначении лица, ответственного за работу абонента ЗСПД в ЗСПД. Аттестат соответствия требованиям по защите информации. Сертификат активации сервиса технической поддержки ПО ViPNet Client 3.x (КС2), в сеть 2880. 4.4. После выполнения абонентом ЗСПД технических требований (указанных в разделе 3) оператор ЗСПД предоставляет новому абоненту доступ к ЗСПД. Абоненту ЗСПД необходимо получить в ГБУ РО РОЦОИСО парольно-ключевую информацию (далее - ПКИ) в соответствии с порядком действий по получению ПКИ (приложение № 3). 4.5. Выполнение данных работ подтверждается подписью абонента ЗСПД и оператора ЗСПД на оригинале заявки, который хранится у оператора ЗСПД. 4.6. Прекращение доступа абонента к ЗСПД осуществляется оператором ЗСПД в одностороннем порядке в случае неоднократного (два и более) нарушения абонентом ЗСПД требований настоящего Положения при работе в ЗСПД. 4.7. Прекращение доступа абонента к ЗСПД осуществляется оператором ЗСПД по заявке абонента в случае прекращения необходимости в доступе к ЗСПД. 4.8. О прекращении доступа к ЗСПД оператор ЗСПД сообщает абоненту по телефону или электронной почте, не позднее рабочего дня, следующего за днем прекращения доступа к сети. Приложение № 1 к Положению о защищенной сети передачи данных ГБУ РО РОЦОИСО Перечень нормативных, технических и методических документов ФСТЭК России и ФСБ России 1) Федеральный Закон от 26 июля 2006 г. № 152-ФЗ «О персональных данных»; 2) Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 3) Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 4) Постановление Правительства Российской Федерации от 31 августа 2013 г. №755 «О федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональных информационных системах обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования»; 5) Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»; 6) Приказ ФСБ РФ от 9 февраля 2005 г. №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) »; 7) Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»; 8) Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; 9) Решение коллегии гостехкомиссии России от 2 марта 2001 г. № 7.2 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»; Приложение № 2 к Положению о защищенной сети передачи данных ГБУ РО РОЦОИСО ЗАЯВКА № ________ НА ПОДКЛЮЧЕНИЕ НОВОГО АБОНЕНТА К ЗАЩИЩЕННОЙ СЕТИ ПЕРЕДАЧИ ДАННЫХ ГБУ РО РОЦОИСО (ЗСПД) «__»_____________20____г . м.п. Наименование учреждения ______________________________________________ ИНН___________________________________________________________________ ОГРН__________________________________________________________________ Руководитель организации____________________________________________________ (должность, Ф.И.О) СКЗИ № __ Адрес подключения (город, почтовый адрес) _________________________________ _______________________________________________________________________ Информация об ответственном пользователе СКЗИ ФИО пользователя Петров Пётр Петрович Должность бухгалтер Электронная почта [email protected] Наименование СКЗИ, с использованием ViPNet Client версии 3.x, сертификат которого будет производиться соответствия ФСБ России № СФ/525подключение 2224 Сертификат соответствия ФСТЭК России 1549/1 № сети 2880 IP—адрес внешний 12.234.456.789 Сетевое имя <*> PC_Volgodonsk IP—адрес локальный Динамический/Статический например 192.168.1.192 Телефон пользователя 8-863-211-12-13 Операционная система (Указать полное наименование и версию операционной Windows 7 32x-разрядная системы) Антивирусная защита (Указать полное Dr.Web Enterprise Security Suite версии название и версию) 6, сертификат соответствия ФСТЭК РФ № 2446 СЗИ от НСД (Указать полное название и версию) Наименование МЭ (Указать полное название и версию) Прочие СЗИ Secret Net 7, сертификат соответствия ФСТЭК РФ № 2707 ViPNet client Сертификат соответствия ФСТЭК России 1549/1 eToken ГОСТ, сертификат соответствия ФСБ России СФ/1212270 Приложение: 1. Аттестат соответствия требованиям по защите информации. 2. Сертификат активации сервиса технической поддержки ПО ViPNet Client 3.x (КС2), в сеть 2880. Оператор ЗСПД Абонент ЗСПД (руководитель организации) Должность _____________________ (подпись) ________________________Ф.И.О. «____» ____________ 20__ г. Должность ___________________ (подпись) _______________________Ф.И.О. «____»____________ 20__ г. Технические требования подключения выполнены в полном объеме, работы по подключению абонента ЗСПД к ЗСПД выполнены. Приложение № 3 к Положению о защищенной сети передачи данных ГБУ РО РОЦОИСО Порядок действий по получению парольно-ключевой информации После выполнения абонентом ЗСПД технических условий необходимо получить в ГБУ РО РОЦОИСО парольно-ключевую информацию (далее ПКИ), для чего: 1. Направить в ГБУ РО РОЦОИСО заполненную заявку на подключение к ЗСПД ГБУ РО «РОЦОИСО» (приложение 2), подписанную руководителем абонента ЗСПД, в виде цветной скан-копии по электронной почте [email protected]. 2. После уведомления на электронную почту, о готовности ПКИ, забрать ПКИ по адресу г. Ростов-на-Дону ул. Козлова 62/148, ГАУ РО РЦИС. В заранее согласованное время по телефону +7 (863) 3070070 (доб. 714) или электронной почте [email protected]. Режим работы с 09:00 до 18:00 (перерыв 13:00 до 13:45) 3. Прибывает представитель организации, с: оригиналом заявки на подключение нового абонента к ЗСПД ГБУ РО «РОЦОИСО» по форме, согласно приложению 2 и необходимыми приложениями, указанными в заявке; доверенностью по форме, согласно приложению 4; компакт-диском (CD-R) для записи ПКИ. Приложение № 4 к Положению о защищенной сети передачи данных ГБУ РО РОЦОИСО (ОБРАЗЕЦ) Д О В Е Р Е Н Н О С Т Ь № _____ г. ________________ Дата выдачи «___»________ 20___г. _______________________________________________________________________________ (наименование организации) в лице _________________________________________________________________________ (должность, ФИО руководителя) _______________________________________________________________________________ действующего на основании ______________________________________________________ (Устава, Положения, Доверенности) поручает _______________________________________________________________________ _______________________________________________________________________________ (должность, ФИО представителя) _______________________________________________________________________________ паспорт серия _______________ номер ______________________________________________ кем выдан ______________________________________________________________________ дата выдачи «____» ___________________ ________ г. осуществить следующие действия: 1. Получить в Удостоверяющем Центре ГАУ РО «РЦИС» справочно-ключевой дистрибутив, оформленный на: _____________________________________________ __________________________________________________________________________ __________________________________________________________________________ Представитель наделяется правом расписываться в соответствующих документах Удостоверяющего центра ГАУ РО «РЦИС», принимать любые необходимые решения по своему усмотрению, совершать все другие действия, связанные с выполнением настоящего поручения. Доверенность выдана сроком на три месяца без права передоверия. Подпись уполномоченного представителя ________________ /___________________/ подтверждаю. Доверитель _______________________ /______________ / Перечень принятых сокращений АС Автоматизированная система АРМ Автоматизированное рабочее место ЕГЭ Единый государственный экзамен ГИА-9 Государственная итоговая аттестация выпускников 9-х классов ЗСПД Защищенная сеть передачи данных МЭ Межсетевой экран ПДн Персональные данные ПКИ Парольно-ключевая информация РД Руководящий документ РИС Региональная информационная система СЗИ Средства защиты информации СКЗИ Средства криптографической защиты информации ТУ Технические условия ГБУ Государственное бюджетное учреждение ФСБ Федеральная служба безопасности ФСТЭК Федеральная служба по техническому и экспортному контролю ЭД Эксплуатационная документация