singlewindow.orgsinglewindow.org/upload/documenty/rabochiye dokumenty/UKR... · Web viewвимог, надає можливість Користувачам (державним органам

УГОДА ПРО ІНФОРМАЦІЙНЕ СПІВРОБІТНИЦТВО

м. ________ «___» жовтня 2013 р.

ДЕРЖАВНЕ ПІДПРИЄМСТВО «АДМІНІСТРАЦІЯ МОРСЬКИХ ПОРТІВ УКРАЇНИ» (далі – Адміністрація) в особі Голови Васькова Юрія Юрійовича, який діє на підставі наказу Міністерства інфраструктури України від 19.08.2013 № 259-О та Статуту з однієї сторони, керуючись ст. ст. 633, 634 Цивільного кодексу України, публічно пропонує

державним органам, уповноваженим здійснювати відповідні види контролю в пунктах пропуску через державний кордон (далі – Державний орган/Державні органи),

портовим операторам, агентським організаціям (морським агентам) та експедиторам, іншим суб’єктам господарювання, що провадять свою діяльність у морському порту щодо транспортування або обробки товарів, контейнерів і транспортних засобів (далі – Суб’єкт господарювання/Суб’єкти господарювання), з іншої сторони

здійснювати інформаційне співробітництво в рамках Інформаційної системи портового співтовариства, для чого публікує цю Угоду:

Терміни та скорочення, що використовуються в Угоді:Терміни:електронний реєстр користувачів ІСПС – перелік відомостей, що наведені користувачем в

договорі приєднання, та які дозволяють однозначно ідентифікувати користувача в ІСПС; інформаційна система портового співтовариства – організаційно-технічна система, що надає

можливість за допомогою технічних і програмних засобів адміністрації порту, державним органам, уповноваженим здійснювати відповідні види контролю в пунктах пропуску через державний кордон України, портовим операторам, агентським організаціям (морським агентам) та експедиторам, іншим суб’єктам господарювання, що провадять свою діяльність у морському порту щодо транспортування або обробки товарів, контейнерів і транспортних засобів, накопичувати, перевіряти, обробляти, зберігати та передавати інформацію та документи в електронній формі, необхідні для здійснення прикордонного, митного та інших видів контролю та оформлення транспортних засобів і товарів, та відповідає законодавству України про електронний документообіг;

Інструкції – Інструкція користувачу автоматизованої системи класу "3" єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства), Інструкція з антивірусного захисту інформації в автоматизованій системі класу "3" єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства), Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows 7 Professional Edition, Windows 7 Enterprise Edition, Windows 7 Ultimate Edition, Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows XP Professional SP2, які застосовуються під час експлуатації та роботи в інформаційній системі портового співтовариства;

Користувач/Користувачі – державні органи та будь-які суб’єкти господарювання, які при здійсненні операцій з товарами і транспортними засобами в морському порту, використовують на договірних засадах інформаційну систему портового співтовариства та уклали Угоду про інформаційне співробітництво;

статус користувача ІСПС – обсяг прав користувача щодо доступу до інформаційної системи портового співтовариства, який визначається Центром обробки даних за погодженням з Адміністрацією.

Скорочення:АЦСК – Акредитований центр сертифікації ключів;ІСПС – інформаційна система портового співтовариства;ЕЦП – електронний цифровий підпис;ЦОД – Центр обробки даних.

1. Предмет1.1 Адміністрація на виконання своїх завдань та функцій, з метою реалізації міжнародних та

державних проектів щодо сприяння міжнародній торгівлі, прискорення процедур контролю вантажів на кордоні та практичного застосування рекомендацій Європейської економічної комісії Організації Об'єднаних Націй № 33 (2005 рік), № 34 (2011 рік), № 35 (2010 рік) щодо впровадження принципу «єдиного вікна», для забезпечення ефективного обміну інформацією та електронного документообігу між суб'єктами міжнародної торгівлі та державними органами, гармонізації та стандартизації даних міжнародної торгівлі, необхідних для здійснення імпортних, експортних та транзитних регулятивних

1

вимог, надає можливість Користувачам (державним органам та бідь-яким суб’єктам господарювання) здійснювати накопичення, перевірку, обробку, зберігання, передачу та отримання інформації і документів в електронній формі для оформлення товарів і транспортних засобів за допомогою інформаційної системи портового співтовариства (надалі - ІСПС), структура та формат якої визначений Адміністрацією.

1.2 Розробку, технічну підтримку та обслуговування ІСПС здійснює Товариство з обмеженою відповідальністю «ППЛ 33-35» (далі – Центр обробки даних/ЦОД), ідентифікаційний код – 38156292. ЦОД надає Користувачам послуги з технічної підтримки та обслуговування ІСПС на підставі відповідних договорів, укладених з кожним із Користувачів ІСПС.

1.3 До відносин, які виникають з цієї Угоди застосовуються норми Господарського, Цивільного, Митного, Податкового кодексів України, Кодексу торговельного мореплавства України, Законів України: «Про прикордонний контроль», «Про охорону навколишнього природного середовища», «Про безпечність та якість харчових продуктів», «Про карантин рослин», «Про ветеринарну медицину», «Про морські порти України», «Про транспорт», «Про транспортно-експедиторську діяльність», «Про зовнішньоекономічну діяльність», «Про міжнародне приватне право».

Відносини, пов'язані з електронним документообігом та використанням електронних документів, що виникають за цією Угодою в процесі інформаційного обміну та користування ІСПС регулюються законами України: «Про інформацію», «Про доступ до публічної інформації», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про телекомунікації», «Про електронні документи та електронний документообіг», «Про електронний цифровий підпис», іншими актами чинного законодавства України, потреба у застосуванні яких зумовлена фактичним використанням, розвитком та поетапним удосконаленням ІСПС в умовах активних інтеграційних процесів застосування інформаційного обміну даними та електронного документообігу в правових відносинах на національному та міжнародному рівні.

2. Умови приєднання

2.1 Державні органи та Суб’єкти господарювання, які поділяють умови цієї Угоди та спроможні виконати Інструкції (Додатки №2 - №5 до цієї Угоди), які є невід’ємною частиною даної Угоди, мають право використовувати ІСПС після укладення цієї Угоди.

2.2 У відповідності до ст. ст. 633, 641 ЦК України публікація (оприлюднення на офіційному веб-сайті Адміністрації) даної Угоди з Додатками №1 - №5, що складають її невід’ємну частину, є публічною офертою, умови якої однакові для всіх Користувачів ІСПС, крім тих яким за законом надано відповідні пільги.

2.3 Відповідно до ст.ст. 6, 634, 638, ч.2 ст. 642 ЦК України, акцептом оферти та фактом приєднання до даної Угоди є направлення Державним органом та/або Суб’єктом господарювання, що має намір використовувати ІСПС, письмового формуляра (Договору приєднання), що є підтвердженням приєднання, містить волевиявлення приєднатись до цієї Угоди та відомості про Державний орган та/або Суб’єкта господарювання, який має намір, спроможність і підстави набути статус Користувача ІСПС, та інші обов’язкові дані, визначені у Додатку № 1 до цієї Угоди.

2.4 Дана Угода підписується Адміністрацією та є публічним письмовим договором, відкритим для приєднання Державних органів та Суб’єктів господарювання шляхом підписання Договору приєднання (Додаток № 1 до цієї Угоди).

2.5 Договір приєднання до цієї Угоди підписується уповноваженою особою Державного органу та/або Суб’єкта господарювання (керівником, директором, особою, яка діє на підставі довіреності тощо), яка має право підписувати публічні договори від імені Державного органу та/або Суб’єкта господарювання.

До Договору приєднання, Державний орган та/або Суб’єкт господарювання, який приєднується до Угоди додає копії повного пакету установчих та інших документів (засвідчених в установленому порядку), якими регламентується господарська або інша діяльність Державного органу та/або Суб’єкта господарювання, що має намір набути статус Користувача ІСПС та документу (копії паспорта, довіреності або іншого документа), що підтверджує повноваження особи, яка підписала Договір приєднання до даної Угоди, на виконання дій від імені цього Державного органу та/або Суб’єкта господарювання.

2

2.6 Паперовий примірник даної Угоди та передбачений цією Угодою паперовий примірник Договору приєднання, заповнений та підписаний Державним органом та/або Суб’єктом господарювання, є оригіналами письмових договорів, які надаються Державним органом та/або Суб’єктом господарювання (разом з документами, зазначеними в п.2.5 цієї Угоди) Адміністрації у термін, що не перевищує 3-х (трьох) робочих днів з дати підписання Державним органом та/або Суб’єктом господарювання та направлення електронною поштою на адресу Адміністрації Договору приєднання (сканованої копії) для інформування про бажання приєднатись до цієї Угоди. У разі потреби, Адміністрація надає консультації щодо приєднання до даної Угоди.

2.7 Якщо Договір приєднання (з документами, зазначеними в п. 2.5), направлений електронною поштою на адресу Адміністрації, не містить визначеної дати приєднання до Угоди, то датою укладення Державним органом та/або Суб’єктом господарювання даної Угоди вважається дата отримання Адміністрацією Договору приєднання у паперовому примірнику, підписаного Державним органом та/або Суб’єктом господарювання.

2.8 Договір приєднання до даної Угоди та документи зазначені в п.2.5 цієї Угоди, зберігаються Адміністрацією з дотриманням вимог законодавства України.

2.9 Для забезпечення належного рівня технічної підтримки та обслуговування ІСПС, Державні органи та Суб’єкти господарювання укладають Договір про надання послуг з технічної підтримки та обслуговування ІСПС з ЦОД.

2.10 ЦОД формує та веде електронний реєстр Користувачів ІСПС.

2.11 Державний орган та/або Суб’єкт господарювання, що підписали Договір приєднання до цієї Угоди та Договір про надання послуг з технічної підтримки та обслуговування ІСПС, протягом 3-х (трьох) робочих днів, виходячи з більш пізнішої дати підписання вказаних договорів, реєструється ЦОД в ІСПС та набуває статусу Користувача ІСПС з отриманням відповідного доступу до ІСПС. ЦОД надає уповноваженій особі Користувача у закритому вигляді інформацію щодо підключення до ІСПС.

3. Доступ до ІСПС

3.1 Під доступом до ІСПС (далі - доступ) в цій Угоді розуміється:

3.1.1 Забезпечення надання доступу до ІСПС Користувачам, які належним чином виконали та виконують Інструкції, шляхом автоматизованого обміну даними згідно структури та формату, визначеному Адміністрацією.

3.1.2 Забезпечення надання Користувачам пароля (ключа) доступу до ІСПС.

3.1.3 Адміністрація забезпечує (через ЦОД) надання Користувачам конверторних програм для автоматичної конвертації формату передачі даних, використовуваного ІСПС в узгоджені альтернативні формати за умови, що Користувачі зобов’язуються підписати конвертовані документи з використанням власних ЕЦП відповідно до структури та формату документів, визначених Адміністрацією.

3.1.4 Забезпечення цілодобового і безперебійного функціонування ІСПС.

3.1.5 Своєчасне надання Адміністрацією Користувачу відповідних консультацій (у тому числі електронною поштою) з питань, що стосуються предмету цієї Угоди.

3.2 Доступ до ІСПС Державним органам надається Адміністрацією через ЦОД відповідно до вимог ст.ст. 34, 319 Митного кодексу України, постанови Кабінету Міністрів України від 21.05.2012 № 451 «Питання пропуску через державний кордон осіб, автомобільних, водних, залізничних та повітряних транспортних засобів перевізників і товарів, що переміщуються ними», «Порядку переміщення товарів у пунктах пропуску через державний кордон, що розташовані на території морських портів України, під час контейнерних перевезень у прямому змішаному сполученні», затвердженого постановою Кабінету Міністрів України від 02.04.2009 № 320, інших нормативно-правових актів України.

3.3 Адміністрація надає Суб’єктам господарювання доступ до ІСПС через ЦОД з дотриманням Закону України «Про електронний цифровий підпис», Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 № 3 зареєстрованих у Міністерстві юстиції України 27.01.2005 за №104/10384, інших нормативно-правових актів України.

3

4. Структура та формат обміну інформацією

4.1 Загальна структура, формат обміну інформацією, перелік документів для Користувачів щодо обміну даними в ІСПС визначаються Адміністрацією і супроводжуються заходами захисту інформації із застосуванням Інструкції технічного налаштування інформаційної системи портового співтовариства для доступу і роботи в інформаційній системі портового співтовариства, Інструкції користувача інформаційною системою портового співтовариства, які Адміністрація розміщує на своєму офіційному веб-сайті та які є обов’язковими для використання і виконання Користувачами, що приєдналися до цієї Угоди.

5. Інциденти несправності. Зміни та покращення ІСПС

5.1 Інцидентом несправності (помилкою) ІСПС вважається:

5.1.1 Неможливість підключення Користувача до ІСПС внаслідок її несправності.

5.1.2 Системні збої ІСПС.

5.1.3 Значні втрати працездатності ІСПС.

5.1.4 Будь-які інші технічні несправності, викликані апаратними або програмними засобами ІСПС, які заважають Користувачу регулярно і повноцінно отримувати доступ до ІСПС.

5.2 Збої в роботі сервісів третіх осіб, наслідки яких так чи інакше можуть мати вплив на роботу ІСПС, не вважаються інцидентом несправності (помилкою) ІСПС.

5.3 У разі виявлення інциденту несправності (помилки) ІСПС, Користувач зобов’язаний негайно зателефонувати на гарячу лінію Адміністрації за номером, що вказано на сайті Адміністрації та повідомити про інцидент несправності (помилку) ІСПС.

5.4 У випадку неможливості усунення інциденту несправності (помилки) ІСПС у стислі терміни (до 4 годин), Адміністрація забезпечує можливість оформлення документів без використання ІСПС.

5.5 Зміни та покращення ІСПС:

5.5.1 Зміни та покращення ІСПС - це функціональні або не функціональні зміни ІСПС.

5.5.2 Зміни та покращення ІСПС можуть бути запропоновані Адміністрацією або Користувачем, а також можуть бути викликані змінами чинного законодавства України.

5.5.3 Адміністрація завчасно (у термін, не менше ніж за 3 ( три) робочих дні, якщо інше не передбачено законодавством України, до дати внесення змін та/або доповнень) на своєму офіційному веб-сайті інформує Користувачів про можливі суттєві технологічні, організаційні та/або технічні зміни в роботі ІСПС.

5.6 У зв’язку із можливими змінами у чинному законодавстві України, розвитком та удосконаленням технічних засобів та програмних продуктів, процедури обробки даних, технологій державного контролю та оформлення, що використовуються під час експлуатації ІСПС, в силу яких Інструкції та/або додатки до цієї Угоди і умови Угоди можуть набувати відповідних змін, Користувачі беруть на себе зобов’язання постійно ознайомлюватись з інформацією, яка оприлюднюється Адміністрацією на її офіційному веб-сайті.

6. Заходи щодо реалізації ІСПС

З метою реалізації предмету цієї Угоди, Адміністрація та Користувачі вживають таких заходів:

6.1 Адміністрація:

6.1.1 Забезпечує розміщення на своєму офіційному веб-сайті Інструкцій і консультацій щодо використання та експлуатації ІСПС.

6.1.2 Забезпечує доступ Користувачів до ІСПС відповідно до цієї Угоди та використовує для надання доступу за даною Угодою надійні засоби захисту ЕЦП.

6.1.3 Забезпечує конфіденційність інформації у ІСПС, яка стосується Користувачів і стала відомою у зв’язку з укладенням цієї Угоди.

6.1.4 Своєчасно інформує Користувачів про зміни умов розповсюдження та використання інформації у ІСПС.

4

6.1.5 Вимагає від Користувачів негайного усунення порушень положень цієї Угоди, а також вимог нормативно-правових актів України, що мають безпосереднє відношення до предмета цієї Угоди.

6.1.6 На умовах цієї Угоди забезпечує надання можливості автоматизованої передачі даних Користувачами на сервери ІСПС і в зворотному напрямку за структурою та у форматі, визначеному Адміністрацією.

6.1.7. Вживає інших необхідних заходів з метою виконання умов цієї Угоди.

6.2 Користувачі:

6.2.1 Зобов’язані ознайомитись з принципами роботи ІСПС, технічними та іншими параметрами ІСПС, Інструкціями (Додатки № 2- №5 до цієї Угоди) тощо.

6.2.2 Зобов’язані укласти з ЦОД Договір про надання послуг з технічної підтримки та обслуговування ІСПС та постійно виконувати всі його умови.

6.2.3 Забезпечують для підписання Договору приєднання дотримання та належне виконання Інструкцій (Додатки № 2- №5 до цієї Угоди), невиконання або неналежне виконання яких є підставою для відмови в укладені Угоди, відмови у наданні доступу до ІСПС у розумінні підпункту 3.1 даної Угоди, або тимчасового зупинення (блокування) доступу до ІСПС на весь період до усунення відповідних недоліків.

6.2.4 Зобов’язані визначити уповноважених осіб, з якими є трудові відносини, та які будуть відповідальними за координацію, організацію і безпосередню роботу з ІСПС, а також надати цим особам право доступу до ІСПС (у тому числі із використанням ЕЦП від імені Користувача).

6.2.5 У разі виявлення недоліків та невідповідностей у роботі ІСПС, Користувачі зобов’язані направити на електронну пошту Адміністрації та електронну пошту ЦОД - support @ ppl 33-35. com відповідне повідомлення.

6.2.6 Повинні своєчасно надавати інформацію та необхідні дані з питань, що пов'язані з предметом цієї Угоди, дотриманням технологічних процесів і процедур контролю в пунктах пропуску (пунктах контролю) та на території порту, в яких задіяний Користувач.

6.2.7 Зобов’язані своєчасно ознайомлюватись з Інструкціями, формами документів тощо, які мають безпосереднє відношення до предмету цієї Угоди, що оприлюднені на офіційному веб - сайті Адміністрації та/або отримані від Адміністрації на електронну пошту, вказану Користувачем у Договорі приєднання. Такі Інструкції та/або форми документів є обов'язковими для виконання Користувачами.

6.2.8 Забезпечують зі свого боку наявність доступу до мережі Інтернет, програмного забезпечення та інших засобів, необхідних для автоматизованого обміну інформацією між ІСПС і Користувачем.

6.2.9 У разі використання програмного забезпечення ІСПС на окремому робочому місці, Користувач встановлює на цьому робочому місці комп'ютер з операційною системою Windows 7 або іншою операційною системою, яка відповідає вимогам ІСПС.

6.2.10 Облаштовують робоче місце операційною системою та іншим ліцензованим програмним забезпеченням, яке відповідає вимогам Держспецзв'язку України.

6.2.11 Забезпечують наявність відповідного сертифікату ЕЦП для доступу до ІСПС.

6.2.12 Надають до ІСПС попередню інформацію про судна закордонного плавання і контейнери, що підлягають розвантаженню, товари та транспортні засоби, а також іншу інформацію, передбачену діючими нормативно-правовими актами України та розпорядчими (керівними) документами.

6.2.13 Використовують особистий пароль доступу Користувача до ІСПС виключно за його призначенням, забезпечують збереження паролю доступу до ІСПС таким способом, який виключає доступ до нього третіх осіб, та негайно інформує Адміністрацію та ЦОД про факт порушення конфіденційності щодо пароля шляхом направлення відповідного повідомлення електронною поштою або іншими наявними засобами зв’язку.

5

mailto:[email protected]

6.2.14 Негайно інформують Адміністрацію, шляхом направлення відповідного повідомлення на адресу її електронної пошти про зміну даних, зазначених у Договорі приєднання та інших документах, наданих Адміністрації.

6.2.15 Забезпечують конфіденційність інформації і даних, що стали відомі під час виконання цієї Угоди та роботи з ІСПС.

6.2.16 Своєчасно отримують та реєструють в ІСПС посилені сертифікати ЕЦП в АЦСК, які відповідають вимогам ІСПС.

6.2.17 За наявності обґрунтованих підстав, можуть вимагати від Адміністрації скасування, або поновлення свого пароля (ключа) доступу до ІСПС за умови належної роботи Користувачів з ІСПС відповідно до цієї Угоди.

6.2.18 Вживають інших заходів з метою виконання умов цієї Угоди.

6.2.19 Розуміють та погоджується з тим, що використання ІСПС тягне за собою комерційні ризики (можливе понесення фінансових втрат, збитку тощо). У зв’язку з цим, Користувачі визнають, що Адміністрація не несе відповідальності за завдані Користувачам збитки у разі настання комерційних ризиків.

6.3 Адміністрація та Користувачі додатково забезпечують наступне:

6.3.1 Для спільної роботи в ІСПС, Адміністрація та Користувачі призначають відповідальних осіб, що координують роботу і підтримують регулярний зв'язок з ІСПС та яким, відповідно до визначених повноважень, надано право доступу до ІСПС і які мають в установленому законодавством порядку статус підписувача ЕЦП та право на застосування ЕЦП від імені Адміністрації/Користувача, а також контролюють діяльність таких відповідальних осіб (у тому числі в частині недопущення їх до роботи з ІСПС у разі втрати наданих прав допуску до ІСПС).

6.3.2 Забезпечують постійну участь своїх представників у роботі груп, що можуть створюватися Адміністрацією для впровадження, експлуатації, удосконалення ІСПС та вирішення проблемних питань з цього приводу, погодження будь-яких істотних умов з питань гармонізації, взаємодії та використання ІСПС.

6.3.3 Проводять взаємний обмін інформацією та необхідними даними з питань, що пов'язані з предметом цієї Угоди за допомогою вказаних в Угоді офіційних веб-сайтів та електронної пошти.

6.3.4 Визначають в Договорі приєднання термін дії паролю (ключа) доступу Користувача до ІСПС та умови його використання. Ідентифікація Користувача в ІСПС проводиться за допомогою ЕЦП Користувача, наявність застосування якого є необхідною умовою використання ІСПС.

6.3.5 Вирішують всі проблемні питання, що виникають у процесі використання ІСПС, шляхом проведення переговорів.

6.3.6 Забезпечують збереження конфіденційності інформації, отриманої за цією Угодою та вживають усіх необхідних заходів для запобігання можливого розголошення такої інформації.

6.3.7 Вживають інших (у тому числі спільних) заходів з метою забезпечення реалізації та виконання умов цієї Угоди.

7. Зобов’язання

7.1 Адміністрація та Користувачі мають право безперешкодно надавати один одному будь-яку інформацію, яка стала відомою в процесі здійснення ними своєї діяльності, в тому числі і таку, яка складає конфіденційну інформацію та/чи комерційну таємницю, або ж обмежена для вільного доступу з інших підстав (далі - Конфіденційна інформація), але виключно на підставах та у порядку, визначених чинним законодавством України.

7.2 Будь-яку Конфіденційну інформацію, якою Адміністрація та Користувачі будуть обмінюватися згідно з умовами цієї Угоди, вони зобов’язуються використовувати виключно в цілях, на досягнення яких вони уповноважені своїми установчими документами та/або відповідними укладеними між Адміністрацією та Користувачами договорами, а також в цілях які, не суперечать чинному законодавству України.

6

7.3 Адміністрація та/або Користувачі, що надають інформацію, зобов’язані надавати один одному достовірну та повну інформацію у тому вигляді, в якому вона наявна у їх розпорядженні. Надання інформації у навмисно викривленому чи неповному вигляді не допускається.

7.4 Адміністрація та/або Користувачі зобов’язуються не надавати (не розголошувати та не поширювати) Конфіденційну інформацію, отриману в ході ділових стосунків, будь-яким іншим особам (серед будь-яких інших осіб), крім тих, які мають обґрунтовану законом необхідність доступу до такої інформації.

7.5 Будь-яка Конфіденційна інформація, яку Адміністрація та/або Користувачі одержали один від одного, буде надаватись третім сторонам (особам) винятково на підставі письмової згоди Адміністрації та/або Користувача, що надали таку Конфіденційну інформацію, окрім випадків передбачених законодавством України. Адміністрація та/або Користувач, які одержали один від одного Конфіденційну інформацію, зобов’язані зберігати та використовувати її в тому ж режимі і таким же чином, як вони зберігають та використовують власну Конфіденційну інформацію.

7.6 Здійснюючи інформаційний обмін, передбачений цією Угодою, Адміністрація та Користувачі зобов’язуються не порушувати прямо чи опосередковано авторські, суміжні та інші немайнові права один одного чи/та третіх сторін (осіб) на належні останнім об’єкти інтелектуальної (немайнової) власності.

7.7 Адміністрація та/або Користувач зобов’язуються не передавати передбачені цією Угодою права та обов’язки, а також не передоручати виконання цієї Угоди третім сторонам (особам) без письмової згоди на те один від одного, ні повністю, ні частково.

7.8 Адміністрація та/або Користувач не зв’язані зобов'язаннями, передбаченими цією Угодою, щодо будь-якої інформації, у тому числі щодо інформації про діяльність Адміністрації/Користувача, чи про інших осіб, пов’язаних з Адміністрацією/Користувачем цивільно-правовими та іншими стосунками, яка:

(а) на момент розголошення була опублікована чи іншим чином стала надбанням громадськості;

(б) після розголошення стала надбанням громадськості інакше, ніж шляхом порушення цієї Угоди;

(в) була відома Адміністрації/Користувачу, що отримали Конфіденційну інформацію до моменту її одержання від Адміністрації/Користувача, що надали таку інформацію за умови, що цей факт можна адекватно підтвердити документальними свідченнями, датованими числом, що передує часові розголошення Адміністрацією/Користувачем, або

(г) була розголошена Адміністрацією/Користувачем, що отримали Конфіденційну інформацію від третіх осіб (що не є працівниками або агентами Адміністрації/Користувача), які, надаючи таку інформацію Адміністрації/Користувачу, не порушила жодного зобов’язання конфіденційності перед Адміністрацією/Користувачем, що надали таку інформацію за цією Угодою.

7.9 Обмін будь-якою інформацією, яка підпадає під поняття "таємна" згідно з визначеннями, наведеними у Законі України "Про державну таємницю", не є предметом регулювання цієї Угоди. У зв’язку з цим будь-яка інформація, надана Адміністрацією та/або Користувачем одне одному на підставі цієї Угоди, а також інформація, отримана внаслідок узагальнення чи аналізу такої інформації, не може набувати статусу державної таємниці.

8. Відповідальність

8.1 Адміністрація та Користувачі несуть відповідальність за достовірність та правильність внесення ними даних (або правильність наданих до внесення) до ІСПС, за вміст інформації в електронних документах та документах в електронному вигляді, що направляються Адміністрації/Користувачам, а також за відповідність формату ІСПС вимогам, визначеним Адміністрацією.

8.2 Адміністрація та Користувачі несуть відповідальність за дії своїх працівників, а також інших осіб, що мають або мали за їх дорученням доступ до апаратних засобів, програмного, інформаційного забезпечення, за допущені ними помилки та внесені невірні дані, а також за розповсюдження ними інформації, яка стала їм відомою під час використання ІСПС.

8.3 За невиконання чи за неналежне виконання своїх зобов’язань за цією Угодою Адміністрація та Користувачі несуть відповідальність, передбачену чинним законодавством України. Одностороння

7

відмова від виконання зобов’язань, взятих на себе Адміністрацією та Користувачами за цією Угодою не допускається, окрім випадків прямо передбачених законодавством України.

8.4 Адміністрація або Користувачі не несуть відповідальність один перед одним за порушення цієї Угоди, якщо воно сталося не з їх вини (умислу чи необережності) та якщо вони доведуть, що вжили всіх необхідних заходів щодо належного виконання цієї Угоди.

9. Вирішення суперечок. Форс-мажор

9.1 Усі суперечки та розбіжності, пов’язані з виконанням умов цієї Угоди, вирішуються шляхом переговорів та/чи обміну листами.

9.2 Суперечки та розбіжності, які не вдалось врегулювати шляхом переговорів, розглядаються у відповідності до чинного законодавства України.

9.3 Адміністрація та/або Користувачі звільняються від відповідальності за повне або часткове невиконання своїх зобов`язань якщо таке невиконання сталося внаслідок настання форс-мажорних обставин, таких, як пожежа, повінь, землетрус, інше стихійне лихо, військові дії, дія надзвичайного стану, блокада, громадські масові заворушення, страйки, аварії на транспорті, диверсій, розпоряджень державних органів влади, або інших обставин, що не залежать від їх волі, за умови, що дані обставини безпосередньо впливають на виконання їх зобов`язань, і їх неможливо було передбачити на момент укладання цієї Угоди.

9.4 Якщо Адміністрація та/або Користувач через вказані в п. 9.3 цієї Угоди обставини не можуть в повному обсязі виконувати свої зобов’язання, тоді вони зобов’язані в строк не більше 3-х (трьох) днів з дати настання таких обставин письмово сповістити про це один одного, а в строк до 5-ти (п’яти) днів з дати настання цих обставин надати довідку Торгово-промислової палати України або іншого уповноваженого органу, яка підтверджує такі обставини. Несвоєчасне повідомлення про існування обставин форс-мажору позбавляє Адміністрацію та/або Користувача посилатись на них як на виправдання.

9.5 У випадку, якщо вказані в п. 9.3 цієї Угоди обставини триватимуть більше 3-х (трьох) місяців, Адміністрація та/або Користувач можуть сповістити один одного про повне або часткове припинення дії цієї Угоди, що звільняє Адміністрацію та/або Користувача від взаємних зобов’язань.

10. Інші умови

10.1 Ця Угода вважається укладеною і набирає чинності з дня підписання Договору приєднання Державним органом та/або Суб’єктом господарювання, що приєдналися до умов цієї Угоди і скріпили такий договір печаткою (за наявності). З моменту набрання чинності цієї Угоди, всі попередні переговори за нею, листування, попередні договори, протоколи про наміри та будь-які інші усні або письмові домовленості між Адміністрацією та Державним органом та/або Суб’єктом господарювання, що так чи інакше стосуються цієї Угоди, втрачають юридичну силу.

10.2 Приєднавшись до умов цієї Угоди у порядку передбаченому даною Угодою, Користувачі повністю погоджуються з умовами цієї Угоди та Додатками № 1- №5, які є невід’ємною частиною даної Угоди.

10.3 Ця Угода укладена на невизначений строк - на весь час, протягом якого Адміністрація та/або Користувач залишатимуться зацікавленими у продовженні співробітництва та інформаційному обміну даними на засадах цієї Угоди.

10.4 Інформаційне співробітництво за цією Угодою здійснюється безоплатно.

10.5 Адміністрація може змінити умови цієї Угоди в односторонньому порядку повідомивши про це Користувачів не пізніше ніж за 30 (тридцять) днів. Дія цієї Угоди може бути припинена за взаємною згодою Адміністрації та Користувача. Адміністрація або Користувач, що ініціює припинення Угоди, зобов'язані письмово попередити один одного не менше ніж за 30 (тридцять) днів до дати припинення дії Угоди. Припинення дії цієї Угоди не звільняє Адміністрацію та/або Користувача від відповідальності за порушення, яке мало місце під час дії Угоди.

10.6 Користувачі, приєднавшись до цієї Угоди, дають згоду на обробку своїх персональних даних та здійснюють інші необхідні заходи щодо виконання вимог Закону України «Про захист персональних даних».

8

10.7 Усі правовідносини, що виникають з цієї Угоди, або пов'язані із нею, у тому числі, пов'язані із дійсністю, укладенням, виконанням, зміною та припиненням цієї Угоди, тлумаченням її умов, визначенням наслідків недійсності або порушення цієї Угоди, регулюються цією Угодою та відповідними нормами чинного в Україні законодавства, а також, застосовними до таких правовідносин звичаями ділового обороту на підставі принципів добросовісності, розумності та справедливості.

10.8 До приватноправових відносин, що виникають з цієї Угоди, або пов'язані із нею, у яких беруть участь Суб’єкти господарювання, що мають ознаки іноземного елементу, Адміністрацією та Користувачем застосовується право України та ч.3 ст.4 Закону України «Про міжнародне приватне право», окрім випадків коли міжнародним договором України передбачено застосування до відповідних відносин інших матеріально-правових норм.

Додатки:1. Додаток № 1: Договір приєднання державного органу; Договір приєднання суб’єкта

господарювання – юридичної особи; Договір приєднання суб’єкта господарювання - фізичної особи, яка зареєстрована відповідно до закону як підприємець (громадянин України, іноземець та особа без громадянства, які здійснюють господарську діяльність в порту).

2. Додаток № 2: Інструкція користувачу автоматизованої системи класу «3» єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства).

3. Додаток № 3: Інструкція з антивірусного захисту інформації в автоматизованій системі класу «3» єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства).

4. Додаток № 4: Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows 7 Professional Edition, Windows 7 Enterprise Edition, Windows 7 Ultimate Edition.

5. Додаток № 5: Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows XP Professional SP2.

11. Реквізити

Адміністрація:Державне підприємство «Адміністрація морських портів України» ідентифікаційний код юридичної особи 38727770, місцезнаходження: 01135, м. Київ, проспект Перемоги, будинок 14,Тел. (044) ______________________________ Офіційний веб-сайт: www . uspa . gov . uа Електронна пошта: isps @ uspa . gov . uа для загального обміну інформацією з Користувачами

Голова ____________ Ю.Ю. Васьков

9

http://www.uspa.gov.xn--u-8sb/

mailto:[email protected]%D0%B0

Додаток № 1 до Угоди про інформаційне

співробітництвовід «___» _______ 2013 року

Договір приєднання №Заповнюється українською мовою, друкованими літерами у 2-х примірниках (оригінали), по одному для кожної із Сторін

із зазначенням № згідно електронного реєстру Користувачів ІСПС

Державного органу:

1. Державне підприємство «Адміністрація морських портів України» (далі - Адміністрація), в особі Голови Васькова Юрія Юрійовича, який діє на підставі наказу Міністерства інфраструктури України від 19.08.2013 № 259-О та Статуту з однієї сторони,

та _________________________________________________________________________________

повне найменування державного органу

_________________________________________________________________________________, юридична адреса

в особі ________________________________________________________________________________ ,

посада, прізвище ім’я по батькові директора, начальника чи іншого керівника, що згідно законодавства має повноваження підписувати договори

що діє на підставі __________________________________________ , оголошує про приєднання до

положення, регламенту чи іншого право заснованого документу Угоди про інформаційне співробітництво шляхом укладання цього Договору

приєднання та іменується в подальшому як і в Угоді Користувач та/або Державний орган, з іншої сторони,

підписуючи цей Договір приєднання укладає, відповідно до ст.634 ЦК України, пунктів 4, 7, 16 Типової технологічної схеми пропуску через державний кордон осіб, автомобільних, водних, залізничних та повітряних транспортних засобів перевізників і товарів, що переміщуються ними, затвердженої постановою Кабінету Міністрів України від 21.05.2012 № 451(у редакції від 03.07.2013 № 553), Угоду про інформаційне співробітництво від «__» _________ 2013 р. (далі – Угода), розміщену на офіційному веб-сайті Адміністрації - www .uspa.gov.ua та приєднується до всіх її умов в цілому з Додатками № 1- №5, які є невід’ємними частинами Угоди.

2. З моменту підписання Державним органом цього Договору приєднання в порядку, встановленому розділом 2 Угоди, Адміністрація та Державний орган як Користувач набувають прав та обов’язків визначених Угодою і цим Договором приєднання та несуть відповідальність за їх невиконання (неналежне виконання).

3. Підписавши даний Договір приєднання Державний орган як Користувач засвідчує про:

3.1 ознайомлення з умовами Угоди, Додатками № 1- №5, які є невід’ємними частинами Угоди, законодавчими та нормативними документами, що застосовуються до правових відносин, які виникають між сторонами Угоди та засвідчує повне розуміння змісту та умов Угоди, значень її термінів і скорочень;

3.2 свою спроможність та належне виконання в повному обсязі вимог інструкцій технічного налаштування Системи для доступу і роботи в ІСПС іменованих в Угоді як Інструкції, а саме: Інструкції користувачу автоматизованої системи класу "3" єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства), Інструкції з антивірусного захисту інформації в автоматизованій системі класу "3" єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства), Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows 7 Professional Edition, Windows 7 Enterprise Edition, Windows 7 Ultimate Edition,

10

http://www.uspa.gov.ua/

Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows XP Professional SP2;

3.3 вільне волевиявлення укласти Угоду, розміщену на офіційному веб-сайті Адміністрації, відповідно до всіх її умов, шляхом приєднання до неї в повному обсязі;

3.4 повне визнання відповідно до Закону України "Про електронні документи та електронний документообіг" та Закону України "Про електронний цифровий підпис" в електронному вигляді Угоди (підписаної електронним цифровим підписом (ЕЦП) та розміщеної на офіційному веб-сайті Адміністрації) оригінальним примірником, який має повну юридичну силу, у разі підписання цього Договору приєднання на умовах Угоди;

3.5 готовність його робочих місць для обробки конфіденційної інформації в ІСПС та виконання у повному обсязі умов, необхідних для отримання доступу до ІСПС, а саме:

а) ознайомлення працівників, яким надаються повноваження для роботи з ІСПС з Угодою та Інструкціями до Угоди, які додатково перелічені в п.3.2 цього Договору приєднання та попередження про відповідальність за їх порушення;

б) надання відповідних повноважень працівникам, які мають необхідний рівень знань та навичок для роботи з програмними забезпеченнями загального призначення та з ІСПС;

в) отримання ключа електронного цифрового підпису___________________________ ; (вказати назву АЦСК ІДД)

г) наявність чинних ліцензійних операційних систем ____________________________ ; (вказати тип операційної системи та їх кількість)

д) проведення налаштування параметрів безпеки операційної системи у відповідності до Інструкції з інсталяції та конфігурування параметрів безпеки операційної системи;

е) ліцензійне антивірусне програмне забезпечення з переліку засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України в наявності ____________________________________________________;

(вказати назву антивірусного ПЗ та кількість)

є) робочі місця підключені до мережі Інтернет у кількості _________________ місць; (вказати кількість робочих місць)

ж) програмне забезпечення, необхідне для автоматизованого обміну інформацією між ІСПС та Користувачем встановлено.

Серійний номер сертифікату відкритого ключа ЕЦП уповноваженої особи Користувача, яка від імені Користувача має право надавати повноваження роботи в ІСПС іншим працівникам Користувача:_______________________________________.

4. Приєднання до Угоди з ____________________________________________________. (зазначити дату приєднання або вчинити такий запис «Згідно п. 2.7 Угоди»)

5. Договір приєднання є чинним на строк згідно пункту 10.3 Угоди (невизначений строк - на увесь час, протягом якого Адміністрація та/або Користувач залишатимуться зацікавленими у продовженні співробітництва та інформаційному обміну даними на засадах Угоди).

РЕКВІЗИТИ КОРИСТУВАЧА: (зазначаються без скорочень, друкованими буквами та цифрами)

Повне найменування Державного органу: ________________________________________________________________________________________________________________ Код ЄДРПОУ ___ ___ ___ ___ ___ ___ ___ ___ ;Юридична адреса (місцезнаходження): поштовий індекс: __ __ __ __ __ ;Область: _________________________________________________________________;Район області: ___________________________________________________________;Населений пункт (м., назва): ________________________________________________;Вулиця (вул., бульв., просп.,пров., пл.): _______________________________________;Будинок: _____________ ;

11

Засоби зв’язку: Телефон: ______________________; Факс: ______________________ ;E-mail для обміну інформацією за Угодою та під час роботи з ІСПС: ______________;Інші E-mail (за наявності) _________________________________________________;

Підпис Користувача:

__ __ / __ __ / __ __ ____________________

Дата:

Підпис

(посада ) П.І.Б.

М.П.


із зазначенням № згідно електронного реєстру Користувачів ІСПС

Суб’єкта господарювання – юридичної особи:


та _________________________________________________________________________________

повне найменування юридичної особи (без скорочень), ідентифікаційний код юридичної особи,

_________________________________________________________________________________ юридична адреса (місцезнаходження),

____________________, в особі ____________________________________________________ , посада, прізвище ім’я по батькові (керівника, директора тощо, яка згідно законодавства має трудові правовідносини із Суб’єктом господарювання та повноважна від його імені підписувати договори)

що діє на підставі __________________________________________________(статутний, установчий або інший право заснований документ юридичної особи)

оголошує про приєднання

до Угоди про інформаційне співробітництво шляхом укладання цього Договору приєднання та іменується в подальшому як і в Угоді Користувач та/або Суб’єкт господарювання, з іншої сторони,


12


2. Цей Договір приєднання укладається тільки шляхом приєднання Суб’єкта господарювання до запропонованої Угоди в цілому. При цьому, Суб’єкт господарювання не може запропонувати свої умови до Угоди, Додатків № 1- №5, що є невід’ємними частинами Угоди. У випадку незгоди зі змістом та формою Угоди чи окремих її положень рівно як і цього Договору приєднання, Суб’єкт господарювання вправі відмовитись від укладення Угоди.

3. З моменту підписання Суб’єктом господарювання цього Договору приєднання в порядку, встановленому розділом 2 Угоди, Адміністрація та Суб’єкт господарювання, як Користувач, набувають прав та обов’язків визначених Угодою і цим Договором приєднання та несуть відповідальність за їх невиконання (неналежне виконання).

4. Підписавши цей Договір приєднання Користувач заявляє та засвідчує про:4.1 ознайомлення з умовами Угоди та Додатками № 1- №5, які є невід’ємними

частинами Угоди, законодавчими та нормативними документами, що застосовуються до правових відносин, які виникають між сторонами Угоди та засвідчує повне розуміння змісту та умов Угоди, значень її термінів і скорочень;

4.2 свою спроможність та належне виконання в повному обсязі вимог інструкцій технічного налаштування Системи для доступу і роботи в ІСПС іменованих в Угоді як Інструкції, а саме: Інструкції користувачу автоматизованої системи класу "3" єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства), Інструкції з антивірусного захисту інформації в автоматизованій системі класу "3" єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства), Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows 7 Professional Edition, Windows 7 Enterprise Edition, Windows 7 Ultimate Edition, Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows XP Professional SP2;



4.5 згоду на оброблення за допомогою ІСПС (реєстрація, збирання, накопичення, зберігання) своїх персональних даних, зазначених у цьому Договорі приєднання та інших документах (заявах), які надаються Адміністрації та необхідні для належного виконання Угоди;

4.6. згоду відповідно до Закону України «Про захист персональних даних» та Закону України «Про електронний цифровий підпис» на вільне розповсюдження своїх персональних даних, що входять до складу посиленого сертифіката, через веб-сайт визначений АЦСК ІДД та веб-сайт Адміністрації;

4.7 свої зобов’язання негайно повідомляти Адміністрацію про зміну будь-яких даних, зазначених у цьому Договорі приєднання;

4.8. достовірність та правильність зазначених нижче даних реквізитів Користувача;4.9 готовність Користувача та його робочих місць для обробки конфіденційної

інформації в ІСПС та виконання у повному обсязі умов, необхідних для отримання доступу до ІСПС, а саме:

а) працівники Користувача, яким Користувач надає повноваження для роботи з ІСПС ознайомлені з Угодою та Інструкціями до Угоди, додатково переліченим в п.4.2 цього Договору приєднання, попереджені про відповідальність за їх порушення, мають відповідний рівень знань та навичок для роботи з програмними забезпеченнями загального призначення та з ІСПС;

б) Користувач отримав ключ електронного цифрового підпису ____________________ ; (вказати назву АЦСК ІДД)

13

в) має чинні ліцензійні операційні системи _____________________________________ ; (вказати тип операційної системи та їх кількість)

г) провів налаштування параметрів безпеки операційної системи у відповідності до Інструкції з інсталяції та конфігурування параметрів безпеки операційної системи;

д) ліцензійне антивірусне програмне забезпечення з переліку засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України в наявності_____________________________; (вказати назву антивірусного ПЗ та кількість)

е) робочі місця Користувача підключені до мережі Інтернет у кількості ______ місць; (вказати кількість робочих місць)

є) програмне забезпечення, необхідне для автоматизованого обміну інформацією між ІСПС та Користувачем встановлено.

Серійний номер сертифікату відкритого ключа ЕЦП уповноваженої особи Користувача, яка від імені Користувача має право надавати повноваження роботи в ІСПС іншим працівникам Користувача:_______________________________________.

5. Приєднання до Угоди з ___________________________________________________. (зазначити дату приєднання або вчинити такий запис «Згідно п. 2.7 Угоди»)



Повне найменування юридичної особи: ________________________________________________________________________________________________________________________ _________________________________________________________________________________

Скорочене найменування юридичної особи (за наявності): _________________________________________________________________________________

Код ЄДРПОУ ___ ___ ___ ___ ___ ___ ___ ___ ;Юридична адреса (місцезнаходження): поштовий індекс: __ __ __ __ __ ;Область: _________________________________________________________________;Район області: __________________________________________________________;Населений пункт (м., с., смт. назва): _______________________________________;Вулиця (вул., бульв., просп.,пров., пл.): _______________________________________;Будинок: _____________ , Корпус: _____________ , кв./офіс: _______________ ;Засоби зв’язку:Телефон: _______________________; Факс: _________________________ ;E-mail для обміну інформацією за Угодою та під час роботи з ІСПС:

________________________.


__ __ / __ __ / __ __ ____________________

Дата:

Підпис

(посада) П.І.Б.

М.П.


14

із зазначенням № згідно реєстру відповідно до підпункту 3.4. Угоди

Суб’єкта господарювання - фізичної особи, яка зареєстрована відповідно до закону як підприємець (громадянин України, іноземець та особа без громадянства, які здійснюють господарську діяльність в порту):


та суб’єкт господарювання _____________________________________________________ Прізвище, ім’я по батькові фізичної особи (без скорочень)

_________________ , паспорт ____ _______________ виданий _______________ громадянство серія номер ким виданий та дата видачі

______________________________________, __________________________________ адреса (місце проживання)

____________________________________________________________________, зареєстрований як підприємець у Державному реєстрі _____________________________ оголошує про приєднання

№ та дата запису

до Угоди про інформаційне співробітництво шляхом укладання цього Договору приєднання та іменується в подальшому як і в Угоді Користувач та/або Суб’єкт господарювання, з іншої сторони,


2. Цей Договір приєднання укладається тільки шляхом приєднання Суб’єкта господарювання до запропонованої Угоди в цілому. При цьому, Суб’єкт господарювання не може запропонувати свої умови до Угоди, Додатків № 1- №5, що є невід’ємними частинами Угоди. У випадку незгоди зі змістом та формою Угоди чи окремих її положень рівно як і цього Договору приєднання, Суб’єкт господарювання вправі відмовитись від укладення Угоди.

3. З моменту підписання Суб’єктом господарювання цього Договору приєднання в порядку, встановленому розділом 2 Угоди, Адміністрація та Суб’єкт господарювання, як Користувач, набувають прав та обов’язків визначених Угодою і цим Договором приєднання та несуть відповідальність за їх невиконання (неналежне виконання).

4. Підписавши даний Договір приєднання Користувач заявляє та засвідчує про:4.1 ознайомлення з умовами Угоди та Додатків № 1- №5, які є невід’ємними частинами

Угоди, законодавчими та нормативними документами, що застосовуються до правових відносин, які виникають між сторонами Угоди та засвідчує повне розуміння змісту та умов Угоди, значень її термінів і скорочень;

4.2 свою спроможність та належне виконання в повному обсязі вимог інструкцій технічного налаштування Системи для доступу і роботи в ІСПС іменованих в Угоді як Інструкції, а саме: Інструкції користувачу автоматизованої системи класу "3" єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства), Інструкції з антивірусного захисту інформації в автоматизованій системі класу "3" єдиної інформаційної системи портового співтовариства (інформаційної системи портового співтовариства), Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows 7 Professional Edition, Windows 7 Enterprise Edition, Windows 7 Ultimate Edition, Інструкція з інсталяції та конфігурування параметрів безпеки ОС Windows XP Professional SP2;

15




4.5 згоду на оброблення за допомогою ІСПС (реєстрація, збирання, накопичення, зберігання) своїх персональних даних, зазначених у цьому Договорі приєднання та інших документах (заявах), які надаються Адміністрації та необхідні для належного виконання Угоди;

4.6. згоду відповідно до Закону України «Про захист персональних даних» та Закону України «Про електронний цифровий підпис» на вільне розповсюдження своїх персональних даних, що входять до складу посиленого сертифіката, через веб-сайт визначений АЦСК ІДД та веб-сайт Адміністрації;

4.7 свої зобов’язання негайно повідомляти Адміністрацію про зміну будь-яких даних, зазначених у цьому Договорі приєднання;

4.8 достовірність та правильність зазначених нижче даних реквізитів Користувача;4.9 готовність Користувача та його робочих місць для обробки конфіденційної

інформації в ІСПС та виконання у повному обсязі умов, необхідних для отримання доступу до ІСПС, а саме:

а) працівники Користувача (за наявності), яким Користувач надає повноваження для роботи з ІСПС або безпосередньо Користувач (за відсутності працівників, які мають трудові відносини з Користувачем) ознайомлені з Угодою та Інструкціями до Угоди, додатково переліченим в п.4.2 цього Договору приєднання, попереджені про відповідальність за їх порушення, мають відповідний рівень знань та навичок для роботи з програмними забезпеченнями загального призначення та з ІСПС;

б) Користувач отримав ключ електронного цифрового підпису ____________________ ; (вказати назву АЦСК ІДД)

в) має чинні ліцензійні операційні системи _____________________________________ ; (вказати тип операційної системи та їх кількість)

г) провів налаштування параметрів безпеки операційної системи у відповідності до Інструкції з інсталяції та конфігурування параметрів безпеки операційної системи;

д) ліцензійне антивірусне програмне забезпечення з переліку засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України в наявності ____________________________;

(вказати назву антивірусного ПЗ та кількість)

е) робочі місця Користувача підключені до мережі Інтернет у кількості _____ місць; (вказати кількість робочих місць)

є) програмне забезпечення, необхідне для автоматизованого обміну інформацією між ІСПС та Користувачем встановлено.

Серійний номер сертифікату відкритого ключа ЕЦП уповноваженої особи Користувача (за наявності), яка від імені Користувача має право надавати повноваження роботи в ІСПС іншим працівникам Користувача:_______________________________________.

5. Приєднання до Угоди з ___________________________________________________. (зазначити дату приєднання або вчинити такий запис «Згідно п. 2.7 Угоди»)



16

Прізвище ім’я по батькові: _________________________________________________ ідентифікаційний номер фізичної особи (підприємця) ___________________________дата та номер внесення до Державного реєстру ________________________________паспортні дані:_____________________________________________________________ (серія номер ким виданий та дата видачі)

Адреса (місцепроживання): поштовий індекс: __ __ __ __ __ ;Область: _________________________________________________________________;Район області: ____________________________________________________________;Населений пункт (м., с., смт. назва): __________________________________________;Вулиця (вул., бульв., просп.,пров., пл.): ______________________________________;Будинок: _____________ , Корпус: _____________ , кв./офіс: _______________ ;Засоби зв’язку:Телефон: ________________________________; Факс: _________________________ ;E-mail для обміну інформацією за Угодою та під час роботи з ІСПС:

________________________.


__ __ / __ __ / __ __ ____________________

Дата:

Підпис

(посада за наявності) П. І. Б.

М.П. (за наявності)


співробітництвовід «___» _______ 2013 року

17

Інструкція користувачу автоматизованої системи класу «3» єдиної інформаційної системи портового

співтовариства(інформаційної системи портового співтовариства)

1. Електронно-обчислювальні машини (ЕОМ), які використовуються для обробки конфіденційної інформації, відноситься до об’єктів електронно-обчислювальної техніки (ЕОТ).

2. Для забезпечення необхідного рівня захисту конфіденційної інформації від несанкціонованого доступу (НСД) в автоматизованій системі (АС)використовуються організаційно-технічні заходи.

3. Носії, які призначені для роботи з конфіденційною інформацією в АС та носії ключової інформації повинні бути зареєстровані у “Журналі обліку магнітних носіїв інформації” і зберігатися у сховищах, які призначені для збереження документів, справ, видань та інших матеріальних носіїв конфіденційної інформації. На них розповсюджуються такі ж правила, які діють для паперових документів з відповідним грифом.

4. Порядок обробки в АС документів, які містять конфіденційну інформацію, розроблено відповідно до таких документів:

– Перелік відомостей, що становлять конфіденційну інформацію в товаристві з обмеженою відповідальністю "ППЛ 33-35";

– Інструкція про порядок обліку, зберігання, використання, та знищення носіїв конфіденційної інформації в ТОВ «ППЛ 33-35».

5. Перед початком роботи в АС користувач зобов'язаний:– Мати особистий ключ, отриманий від Центру сертифікації ключів у встановленому порядку.

Перелік необхідних документів для отримання ЕЦП розміщений на веб-сторінці ЦСК.– Ознайомитись в частині, що його стосується, з організаційно-технічними документами, які

регламентують правила обробки конфіденційної інформації в АС. Дозволяється ознайомлення користувача з необхідними документами в електронному вигляді.

– Мати встановлену на ЕОМ Клієнтську частину програмного забезпечення єдиної інформаційної системи портового співтовариства.

Клієнтська частина програмного забезпечення єдиної інформаційної системи портового співтовариства (далі – ПЗ) може бути встановлена на ЕОМ, яка відповідає наступним вимогам:

- на ЕОМ встановлена ліцензійна версія операційної системи (ОС) Windows XP Professional Service Pack 2 або більш новітньої версії;

- настроювання параметрів безпеки ОС проведене у відповідності до Інструкції з інсталяції та конфігурування параметрів безпеки для відповідної операційної системи;

- на ЕОМ встановлене ліцензійне антивірусне програмне забезпечення з переліку засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України. Вказаний перелік розміщений на веб-сторінці Державної служби спеціального зв’язку та захисту інформації України (http://dstszi.kmu.gov.ua Діяльність » Експертиза » Технічний захист інформації » Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації). Антивірусні бази повинні регулярно оновлюватись.

– Обов’язково повинен бути встановлений пароль на завантаження ЕОМ.6. В процесі роботи в АС користувач зобов'язаний:– Дотримуватися встановлених вимог нормативних документів щодо роботи з конфіденційною

інформацією. Користувачі несуть особисту відповідальність за дотримання ними встановлених правил обробки конфіденційної інформації під час роботи в АС.

– Спостерігати, щоб дані, які виводяться на екран монітору не були доступні для спостереження іншим особам.

– Дотримуватися Регламенту ЦСК та Договору про надання послуг ЕЦП.7. Користувачеві категорично заборонено:– Проводити роботи з обробки конфіденційної інформації без виконання всіх заходів щодо

захисту інформації.– Обробляти конфіденційну інформацію при виявленні будь-яких несправностей або збоїв у

роботі програмного та апаратного забезпечення.– Декомпілювати ПЗ або вносити будь-які зміни в файли ПЗ.– Розголошувати відомості щодо заходів захисту від несанкціонованого доступу.

18

– Встановлювати будь-яке неліцензійне або стороннє програмне забезпечення, яке може спричинити виток конфіденційної інформації, тобто комп’ютерних вірусів, клавіатурних шпигунів тощо.

– Обробляти конфіденційну інформацію під час знаходження у приміщенні сторонніх осіб.– Під час обробки конфіденційної інформації залишати робоче місце.– Використовувати для роботи з конфіденційною інформацією змінні носії (дискети, оптичні

диски, flash-пам’яті тощо), які не пройшли відповідну реєстрацію.– Залишати без нагляду та передавати іншим особам отримані змінні носії.8. Правила використання ключа ЕЦП і пароля доступу до ключа:– Носії з ключами ЕЦП реєструються в журналі за місцем роботи користувача.– Після завершення роботи в АС завжди відключайте носій з ключем ЕЦП.– У разі виникнення підозр на компрометацію ключа ЕЦП (копіювання чи втрата носія,

порушення правил зберігання особистих ключів, виникнення підозр на несанкціоноване застосування особистого ключа, втрата контролю щодо особистого ключа через компрометацію коду доступу до носія особистого ключа, випадки, коли не можна вірогідно встановити, що відбулося з носієм, що містить ключову інформацію, наприклад, коли носій вийшов з ладу й доказово не спростована можливість того, що даний факт відбувся в результаті несанкціонованих дій зловмисника) або компрометацію середовища виконання (наявність в комп'ютері програм-шпигунів) його власник повинен негайно повідомити про це співробітника Акредитованого центра сертифікації ключів (АЦСК) та вжити заходів щодо скасування відповідного сертифікату відкритого ключа.

– У разі крадіжки ключа ЕЦП зміна пароля доступу до ключа ЕЦП не захищає від використання його зловмисниками. З метою дотримання безпеки необхідно заблокувати ключ ЕЦП та згенерувати новий.

– Не зберігайте пароль доступу до ключа ЕЦП на носії ключової інформації або разом із носієм.9. Про всі факти втручання в роботу ЕОМ або виявлення порушень вимог цієї Інструкції

користувач повинен повідомити про це відповідальному за технічний захист інформації (ТЗІ) в ТОВ «ППЛ 33-35» (Центр обробки даних/ЦОД) на електронну пошту support @ ppl 33-35. com та на електронну пошту Адміністрації.

10. Користувач несе особисту відповідальність за дотримання правил обробки конфіденційної інформації в автоматизованій системі та виконання цієї Інструкції та інших настанов стосовно роботи в АС.

11. За порушення, що призвели до витоку конфіденційної інформації або її знищення, а також за порушення вимог нормативних документів щодо роботи з конфіденційною інформацією, цієї Інструкції та законодавства винні особи несуть відповідальність згідно з чинним законодавством України.

АДМІНІСТРАЦІЯ: КОРИСТУВАЧ*ДЕРЖАВНЕ ПІДПРИЄМСТВО

«АДМІНІСТРАЦІЯ МОРСЬКИХ ПОРТІВ УКРАЇНИ»

ідентифікаційний код: 38727770місцезнаходження: 01135, м. Київ,

проспект Перемоги, будинок 14Тел. (044)

______________________________Оіційний веб-сайт: www .uspa.gov.uа Електронна пошта: isps @uspa.gov.uа для загального обміну інформацією з

Користувачами

Голова Ю.Ю. Васьков

*Відповідно до Договорів приєднання, внесених до єдиного Реєстру Користувачів


співробітництво

19

http://www.uspa.gov.xn--u-8sb/

mailto:[email protected]%D0%B0

mailto:[email protected]

від «___» _______ 2013 року

Інструкція з антивірусного захисту інформації в автоматизованій системі класу «3» єдиної інформаційної системи портового

співтовариства(інформаційної системи портового співтовариства)

Вимоги до системи антивірусного захистуКомп'ютерним вірусом є паразитуючий програмний код, який обумовлює виконання

несанкціонованих команд/програм на ураженому комп'ютері. Вірус розповсюджується у вигляді програм, файлів та макросів. Він впливає на цілісність інформації, програмне забезпечення та (чи) режим роботи обчислювальної техніки, що може привести до відмови комп'ютера, виконання ним дій, що приховані від користувача, і відповідно, до порушення цілісності та доступності інформації або її витоку.

Система антивірусного захисту повинна базуватися на антивірусних продуктах, що мають експертний висновок Державної служби спеціального зв’язку та захисту інформації України для забезпечення можливості контролю проникнення вірусів у максимально короткі строки після їх появи. Перелік антивірусних продуктів, що мають експертний висновок, розміщений на веб-сторінці Державної служби спеціального зв’язку та захисту інформації України (http://dstszi.kmu.gov.ua Діяльність » Експертиза » Технічний захист інформації » Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації).

Система захисту файлових служб та служб баз даних повинна забезпечувати захист автоматизованої системи (АС) від комп'ютерних вірусів шляхом перевірки файлів та процесів на цих електронно-обчислювальних машинах (ЕОМ) антивірусним монітором, сканером, що встановлюються на цих ЕОМ.

Найбільш ймовірними вірусними загрозами працездатності автоматизованого робочого місця може бути:

- пошкодження комп'ютерним вірусом файлової структури операційної системи та програмного забезпечення автоматизованої системи;

- знищення даних в енергонезалежній пам'яті комп'ютера (Flash BIOS, СМОS), що може привести до відмови роботи комп'ютера.

Система антивірусного захисту (САЗ) повинна забезпечувати:- можливість безупинного захисту об'єктів АС відповідно до встановлених вимог та політики

безпеки;- можливість автоматизованого блокування проникнення комп'ютерних вірусів з усіх

можливих джерел;- лікування комп'ютерних вірусів з занесенням інформації про це у відповідні протоколи

роботи для забезпечення моніторингу роботи. В разі підозри на зараження невідомими комп'ютерними вірусами та неможливості лікування, САЗ повинна забезпечувати блокування доступу користувачів до цієї інформації;

- можливість оперативного повідомлення відповідальних осіб щодо виникнення критичних чи особливих ситуацій у АС, тобто: виявлення вірусу, збій у системі оновлень, зміна налаштувань САЗ;

- гнучке масштабування при появі нових об'єктів антивірусного захисту у АС;- ліцензійність та підтримку постачальниками застосованого антивірусного програмного

забезпечення.

Обов'язки системного адміністратора АССистемний адміністратор відповідає за організаційне забезпечення задач керування САЗ та

здійснення контролю за її функціонуванням. Системний адміністратор зобов'язаний:- забезпечувати функціонування САЗ, та контроль виконання її вимог;- проводити моніторинг роботи антивірусних засобів захисту, та оперативно реагувати на

виникнення при цьому критичних ситуацій;- контролювати своєчасне оновлювання антивірусного програмного забезпечення (оновлення

баз проводити не рідше ніж один раз кожні 7 діб);- оперативно взаємодіяти з користувачами АС та системними адміністраторами організацій у

разі виникнення ситуацій, пов'язаних з антивірусним захистом;

20

- погоджувати свої дії з відповідальним по ТЗІ у разі необхідного внесення змін у роботу програмно-апаратного забезпечення АС, що може бути пов'язано з вірусною загрозою;

- вести облік роботи САЗ.

Обов'язки користувачів АСКористувачі АС відповідають за дотримання вимог САЗ.Користувачі АС зобов'язані:- дотримуватися вимог та рекомендацій щодо захисту інформації у АС від вірусного

зараження;- регулярно оновлювати антивірусні бази (слідкувати за актуальністю антивірусних баз -

оновлення проводити не рідше ніж один раз кожні 7 діб);- в роботі із зовнішніми накопичувачами (магнітні диски, CD-ROM, flash-пам’яті тощо)

обов'язково перевіряти їх антивірусною програмою до використання на об'єкті електронно-обчислювальної техніки ЕОТ;

- інформувати системного адміністратора організації про будь-який виявлений вірус, зміни конфігурації або незвичайне поводження комп'ютера або програми та припиняти роботу.

Огляди вірусівВикористовуються різні типи огляду АС:- огляд вручну або за запитом. Перевіряються обрані файли і папки на ЕОМ;- огляд у реальному часі. Ця функція безупинно перевіряє на наявність відомих вірусів файли,

які читаються/записуються на ЕОМ;- плановий огляд. Перевіряються обрані файли і папки на АС у запланований час.

Дії системного адміністратора у разі виявлення зараження вірусомПісля одержання інформації про можливість зараження вірусом системний адміністратор:

- інформує системного адміністратора АС та всіх користувачів, що мають доступ до програм або файлів даних, які можуть бути заражені вірусом, про таку ймовірність.

- проводить або ініціює (супроводжує) перевірку ЕОМ АС та зовнішніх накопичувачів користувачів АС засобами САЗ (лікування інфікованого файлу / ізоляція інфікованого файлу / видалення зараженого файлу).









Додаток № 4

21

від «___» _______ 2013 року

І Н С Т Р У К Ц І Я

з інсталяції та конфігурування параметрів безпеки ОСWindows 7 Professional EditionWindows 7 Enterprise EditionWindows 7 Ultimate Edition

ВступКорпорація Microsoft разом з носієм ОС Windows 7 постачає документацію, яка містить

детальні інструкції щодо установки ОС та додаткові відомості. Інструкції щодо установки та інші відомості, які наведені в цих документах рекомендується

використовувати під час установки ОС Windows 7 на АРМ користувачів.В документі розглядається конфігурування параметрів безпеки операційних систем Microsoft

Windows 7.Значення параметрів безпеки наведені в табл. 1-9. Для параметрів, які несуттєві для безпеки,

значення не вказані.Назви параметрів безпеки, які описані у цьому документі, наведені російською та/або

англійською мовами.

1 Засоби, які використовуються для конфігурування параметрів безпекиДля конфігурування параметрів безпеки застосовуються вбудовані системні компоненти ОC

Windows 7 такі як:- Редактор групових політик (далі редактор політики);- Редактор реєстру.

1.1 Запуск редактора політикЗапуск редактора політики здійснюється шляхом виконання в командному рядку команди

«gpedit.msc».

1.2 Запуск редактора реєструЗапуск редактора реєстру здійснюється шляхом виконання в командному рядку команди

«regedit.exe».

2 Політика облікових записів (Политика учетных записей)Політика облікових записів містить параметри безпеки для паролів і блокування облікових

записів.

2.1 Політика паролів (Политика паролей)Параметри налаштовуються за допомогою редактора політики за адресою:

Политики учетных записей\ Политика паролейПараметри наведені в табл. 1.

Таблиця 1№

п/пНазва

параметраПараметр

(Установка)1 Вести журнал паролей

(Enforce password history)24 хранимых пароля

(24 passwords remembered)

2 Максимальный срок действия пароля(Maximum password age)

31 дня(31 days)

3 Минимальный срок действия пароля(Minimum password age)

30 дней(30 days)

4 Минимальная длина пароля(Minimum password lengths) 1

8

5 Пароль должен отвечать требованиям Включен

22

№ п/п

Назвапараметра

Параметр(Установка)

сложности(Password must meet complexity requirements)

(Enabled)

6 Хранить пароли, используя обратимое шифрование

(Store password using reversible encryption)

Отключен(Disabled)

2.2 Політика блокування облікового запису (Политика блокировки учетной записи)Політика блокування облікового запису використовується для блокування облікового запису,

якщо протягом заданого проміжку часу реєструється визначена кількість невдалих спроб входу до системи. Кількість спроб і інтервал часу встановлюються за допомогою параметрів політики облікового запису.

Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:

Политики учетных записей\ Политика блокировки учетной записи

Рекомендовані параметри наведені в табл. 2.Таблиця 2

№ п/п



1 Время до сброса блокировки(Account lockout duration)

30 минут(30 minutes)

2 Пороговое значение блокировки(Account lockout duration)2

10 ошибок входа в систему(10 invalid logon

attempts)3 Продолжительность блокировки учетной записи

(Reset account lockout counter after)30 минут

(30 minutes)

Більш детальну інформацію про налаштування параметрів політики облікових записів можна знайти в Windows 7 Security Guide (Руководство по безопасности Windows 7). Microsoft Corporation, 2009.

3 Параметри локальної політики (Параметры локальной политики)До параметрів локальної політики відносять політику аудита, призначення прав

користувачів та параметри безпеки.

3.1 Політика аудиту (Политика аудита)За допомогою політики аудита визначаються події безпеки, які заносяться в журнал реєстрації.

Адміністратор отримує можливість слідкувати за діями, які мають відношення до безпеки, наприклад доступом до об’єктів, входом (виходом) з системи.


Локальные политики\ Политика аудита Рекомендовані параметри наведені в табл. 3.

Таблиця 3

1 Слід зауважити, що довгі паролі, які складаються з восьми і більше символів, як правило, значно надійніші за короткі, але застосування дуже довгих паролів приводить до збільшення кількості помилок при введенні пароля, збільшенню кількості заблокованих облікових записів і, як наслідок, звернень в службу підтримки користувачів мережі. Крім того, використання дуже довгих паролів може привести до фактичного зниження безпеки, тому що користувачі через боязнь забути пароль вимушені його записувати. Фактичне значення довжини пароля визначається відповідно до політики безпеки організації.2 Стандартне граничне значення параметра “Пороговое значение блокировки”, яке рекомендується, дорівнює 50 невдалим спробам входу до системи, але насправді це значення залежить повністю від політики організації. Невелике значення цього параметра підвищує імовірність проведення атаки типу “Відмова від обслуговування” (DoS).

23

№ п/п



1 Аудит входа в систему(Audit account logon events)

Успех, Отказ (Success, Failure)

2 Аудит управления учетными записями(Audit account management)


3 Аудит доступа к службе каталогов(Audit directory service access)


4 Аудит событий входа в систему(Audit logon events)


5 Аудит доступа к объектам(Audit object access)


6 Аудит изменения политики(Audit policy change)


7 Аудит использования привилегий(Audit privilege use)


8 Аудит отслеживания процессов(Audit process traking)


9 Аудит системных событий(Audit system events)


3.2 Параметри призначення прав користувачів (Параметры назначения прав пользователя)Параметри призначення прав користувачів дозволяють призначати привілеї користувачам і

групам. Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною

адресою:Локальные политики\ Назначение прав пользователей

При налаштуванні параметрів безпеки локального об’єкта групової політики комп’ютера, який не є членом домену, значення „Не определено” (Not defined) і „Никто” (No One) не відрізняються та визначають, що ніякому користувачу не надаються відповідні привілеї. Обидва значення задаються в редакторі „Локальна політика безпеки” шляхом видалення всіх користувачів зі списку відповідного параметра.

При налаштуванні параметрів безпеки об’єктів групової політики Active Directory домену ці значення мають наступний сенс:

„Не определено” (Not defined) – визначає, що при формуванні результуючої політики, даний об’єкт групової політики не впливає на відповідний параметр політики. Це значення налаштовується шляхом деактивування відповідного параметра інтерфейсу редактора групової політики Active Directory;

„Никто” (No One) – визначає, що при формуванні результуючої політики, даний об’єкт групової політики перекриває значення відповідного параметра попередніх об’єктів шляхом очищення списку користувачів та груп користувачів. Це значення налаштовується шляхом активування параметра без внесення в список користувачів, яким надаються відповідні привілеї, жодного з користувачів або груп користувачів

Параметри наведені в табл. 4.Таблиця 4

№ п/п



1 Архивирование файлов и каталогов(Back up files and directories)

Администраторы(Administrators)

2 Блокировка страниц в памяти(Lock pages in memory)

Никто(None)

3 Восстановление файлов и каталогов(Restore files and directories)


4 Вход в качестве пакетного задания(Log on as a batch job)

Никто(None)

24

№ п/п



5 Вход в качестве службы(Log on as a service)

Никто(None)

6 Выполнение задач по обслуживанию томов(Perform volume maintenance tasks)


7 Добавление рабочих станций к домену(Add workstations to domain)


8 Доступ к диспетчеру учетных данных от имени доверенного вызывающего

(Access credential Manager as a trusted caller)

Никто(No One)

9 Доступ к компьютеру из сети(Access this computer from the network)

Администраторы (Administrators)

10

Завершение работы системы(Shut down the system)

Администраторы,Пользователи

(Administrators, Users)

11

Загрузка и выгрузка драйверов устройств(Load and unload device drivers)


12

Замена маркера уровня процесса(Replace a process level token)

LOCAL SERVICE,NETWORK

SERVICE1

3Запретить вход в системучерез службу терминалов(Deny logon through Terminal Services)

Гости, АНОНИМНЫЙ ВХОД

(Guests, ANONYOMUS LOGON)

14

Запретить локальный вход(Deny log on locally)



15

Изменение метки обьекта(Modify an object label)

Никто(No One)

16

Изменение параметров среды изготовителя(Modify firmware environment values)


17

Изменение системного времени(Change the system time)

Администраторы, LOCAL SERVICE

(Administrators)1

8Изменение часового пояса(Change the time zone)


(Administrators)1

9Имитация клиента после проверки подлинности(Impersonate a client after authentication)

Администраторы, СЛУЖБА, LOCAL

SERVICE,NETWORK

SERVICE(Administrators,

SERVICE)2

0Локальный вход в систему(Allow log on locally)

Администраторы,Пользователи


21

Настройка квот памяти для процесса(Adjust memory quotas to a process)

Администраторы, СЛУЖБА

(Administrators),LOCAL SERVICE,

NETWORK

25

№ п/п



SERVICE2

2Обход перекрестной проверки(Bypass traverse checking)

Прошедшие проверку,LOCAL SERVICE,

NETWORK SERVICE

23

Отказ в доступе к компьютеру из сети(Deny access to this computer from the network)

Гости, АНОНИМНЫЙ ВХОД (Guests, ANONYOMUS

LOGON)2

4Отказ во входе в качестве пакетного задания(Deny logon as a batch job)



25

Отказ во входе в качестве службы(Deny log on as a service)

Не определено( No defined)

26

Отключение компьютера от стыковочного узла(Remove computer from docking station)


27

Отладка программ(Debug programs)

Никто(No оne)

28

Принудительное удаленное завершение работы(Force shutdown from a remote system)


29

Профилирование одного процесса(Profile single process)


30

Профилирование производительности системы(Profile system performance)


31

Работа в режиме операционной системы(Act as part of the operating system)

Никто(No One)

32

Разрешать вход в системучерез службу удаленных рабочих столов(Allow logon through Remote Desktop Services)

Администраторы,(Administrators)

33

Разрешения доверия к учетным записям при делегировании

(Enable computer and user accounts to be trusted for delegation)

Не определено(Not defined)

34

Синхронизация данных службы каталогов(Synchronize directory service data)

Никто(No One)

35

Смена владельцев файлов и других объектов(Take ownership of files or other objects)


36

Создание аудитов безопасности(Generate security audits)


SERVICE3

7Создание глобальных объектов(Create global objects)

Администраторы(Administrators),


SERVICE3

8Создание маркерного объекта(Create a token object)

Никто(Nо one)

39

Создание постоянных общих объектов (Create permanent shared objects)

Никто(Nо one)

40

Создание символических ссылок(Create symbolic links)

Никто(Nо one)

41

Создание файла подкачки(Create a pagefile)


26

№ п/п



42

Увеличение приоритета выполнения (Increase scheduling priority)


43

Увеличение рабочего набора процесса(Increase a process working set)


(Administrators)4

4Управление аудитом и журналом безопасности(Manage auditing and security log)


3.3 Параметри безпеки (Параметры безопасности)Параметри безпеки дозволяють задіяти або відмінити ряд функцій наприклад, цифровий підпис

даних, ім’я облікових записів адміністратора і гостя, доступ к дисководам гнучких та компакт-дисків, установку драйверів, повідомлення при вході в систему і та ін.


Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Локальные политики\ Параметры безопасности


№ п/п



1 Учетные записи: состояние учетной записи «Администратор»

(Accounts: Administrator account status)


2 Учетные записи: состояние учетной записи «Гость»

(Accounts: Guest account status)


3 Учетные записи: разрешить использование пустых паролей только при консольном входе

(Accounts: Limit local account use of blank passwords to console logon only)

Включен(Enabled)

4 Учетные записи: Переименование учетной записи администратора

(Accounts: Rename administrator account)

Рекомендуется3

(Recommend)

5 Учетные записи: Переименование учетной записи гостя

(Accounts: Rename guest account)

Рекомендуется4

(Recommend)

6 Аудит: Аудит доступа глобальных системных объектов

(Audit: Audit the access of global system objects)


7 Аудит: Аудит прав на архивацию и восстановление

(Audit: Audit the use of Backup and Restore privelege)


8 Аудит: Немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности

(Audit: Shut down system immediately if unable to log security audits)


3 Корпорація Microsoft рекомендує вибрати для встроєного облікового запису «Адміністратор» інше ім’я і в подальшому уникати використання імен з явно вираженими ознаками адміністративних повноважень облікових записів4 Майкрософт також рекомендує перейменувати цей обліковий запис так, щоб нове ім'я не відображало призначення цього облікового запису. Навіть при відключенні цього облікового запису (рекомендується), в цілях додаткової безпеки переконаєтеся в тому, що вона перейменована.

27

№ п/п



9 Аудит: принудительно переопределяет параметры подкатегории политики аудита параметров категории политики аудита

(Audit: Force audit policy subcategory settings to override audit policy category settings)


10

Устройства: Разрешать отстыковку без входа в систему

(Devices: Allow undock without having to log on)


11

Устройства: Разрешить форматирование и извлечение съемных носителей

(Devices: Allowed format and eject removable media)


12

Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям

(Devices: Restrict CD-ROM access to locally logged-on user only)5


13

Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям

(Devices: Restrict floppy access to locally logged-on user only)


14

Устройства: запретить пользователям установку драйверов принтера

(Devices: Prevent users from installing printer drivers)


15

Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию

(Domain controller: Allow server operators to schedule tasks)


16

Контроллер домена:Требование цифровой подписи для LDAP

сервера(Domain controller: LDAP server signing

requirements)

Нет

17

Контроллер домена:Запретить изменение пароля учетных записей

компьютера(Domain controller: Refuse machine account

password changes)


18

Член домена: Всегда требуется цифровая подпись или шифрование потока данных безопасного канала

(Domain member: Digitaly encrypt or sign secure channel data (always))


19

Член домена: Шифрование данных безопасного канала, когда это возможно

(Domain member: Digitally encrypt secure channel data (when possible))


20

Член домена: Максимальный срок действия пароля учетных записей компьютера

(Domain member: Maximum machine account password age)

30 дней(30 days)

5 Якщо не планується надання користувачам права встановлювати програмне забезпечення на клієнтських машинах, потрібно встановлювати для даного параметра значення “Включен”. Те ж саме стосується параметра “Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям”.

28

№ п/п



21

Член домена: Цифровая подпись данных безопасного канала, когда это возможно

(Domain member: Digitally sign secure channel data (when possible))


22

Член домена: Отключить изменение пароля учетных записей компьютера (Domain member: Disable machine account password changes)


23

Член домена: требовать стойкий ключа сеанса(Windows 2000 или выше)(Domain member: Require strong (Windows 2000

or later) session key)


24

Интерактивный вход в систему: Не отображать последнее имя пользователя (Interactive logon: Do not display last user name)


25

Интерактивный вход в систему: Не требовать нажатия CTRL+ALT+DEL (Interactive logon: Do not require CTRL+ALT+DEL)


26

Интерактивный вход в систему: Текст сообщения для пользователей при входе в систему

(Interactive logon: Message text for users attempting to log on)

Вхід тільки для авторизованих користувачів.

Особи, які здійснюють спроби несанкціонованого

доступу, переслідуватимуться згідно

із законом2

7Интерактивный вход в систему: Заголовок

сообщения для пользователей при входе в систему (Interactive logon: Message title for users attempting to log on)

ПРОДОВЖЕННЯ СПРОБ БЕЗ НАЛЕЖНОЇ

АВТОРИЗАЦІЇ Є ЗЛОЧИНОМ

28

Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)

(Interactive logon:Number of previous logons to cache (in case

domain controller is not available))

0

29

Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее

(Interactive logon: Prompt user to change password before expiration)

5 дней(5 days)

30

Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера

(Interactive logon: Require Domain controller authentication to unlock workstation)


31

Интерактивный вход в систему: требовать смарт-карту (Interactive logon: Smart card removal behavior)


32

Интерактивный вход в систему: поведение при извлечении смарт карты

(Interactive Logon: Smart card removal behavior)

Блокировка рабочей станции

33

Интерактивный вход в систему: отображать сведения о пользователе если сеанс заблокирован

(Interactive Logon: Display user name when workstation locked)

Не отображать вседения о пользователе

29

№ п/п



34

Клиент сети Microsoft:использовать цифровую подпись (всегда)(Microsoft network client: Digitally sign

communications (always))


35

Клиент сети Microsoft:использовать цифровую подпись (с согласия

сервера)(Microsoft network client: Digitally sign

communications (if server agrees))


36

Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам

(Microsoft network client: Send unencrypted password to third-party SMB servers)


37

Сервер сети Microsoft:Время бездействия до приостановки сеанса

(Microsoft network server: Amount of idle time required before suspending session)

10 минут(10 minutes)

38

Сервер сети Microsoft:Использовать цифровую подпись (всегда)(Microsoft network server: Digitally sign

communications(always))


39

Сервер сети Microsoft: Использовать цифровую подпись (с согласия клиента)

(Microsoft network server: Digitally sign communications (if client agrees))


40

Сервер сети Microsoft:отключать клиентов по истечении разрешенных

часов входа(Microsoft network server:Disconnect clients when logon hours expire )


41

Доступ к сети: Разрешить трансляцию анонимного SID в имя

(Network access: Allow anonymous SID/Name translation)


42

Сетевой доступ: Не разрешать перечисление учетных записей SAM анонимными пользователями (Network access: Do not allow anonymous enumeration of SAM accounts)


43

Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями

(Network access: Do not allow anonymous enumeration of SAM accounts and shares)


44

Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности


45

Сетевой доступ: Разрешать применение разрешений «Для всех» к анонимным пользователям

(Network access: Let Everyone permissions apply to anonymous users)


46

Сетевой доступ: Разрешать анонимный доступ к именованным каналам

(Network access: Named Pipes that can be accessed anonymously)

Ни для кого(No one)

4 Сетевой доступ: Разрешать анонимный доступ к Ни для кого

30

№ п/п



7 общим ресурсам(Network access: (Shares that can be accessed

anonymously)

(No one)

48

Сетевой доступ: удаленно доступные пути реестра (Network access: Remotely accessible registry paths)

System\CurrentControlSet\Control\ProductOptions

System\CurrentControlSet\Control\Server Applications

Software\Microsoft\Windows NT\CurrentVersion

49

Сетевой доступ: удаленно доступные пути и вложенные пути реестра

(Network access: Remotely accessible registry paths and sub-paths)

Software\Microsoft\Windows NT\CurrentVersion\Print

Software\Microsoft\Windows NT\CurrentVersion\Windows

System\CurrentControlSet\Control\Print\Printers

System\CurrentControlSet\Services\Eventlog

Software\Microsoft\OLAP Server

System\CurrentControlSet\Control\ContentIndex

System\CurrentControlSet\Control\Terminal Server

System\CurrentControlSet\Control\Terminal Server\UserConfig

System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration

Software\Microsoft\Windows NT\CurrentVersion\Perflib

System\CurrentControlSet\Services\SysmonLog

50

Сетевой доступ: Модель совместного доступа и безопасности для локальных учетных записей

(Network access: Sharing and security model for local accounts)

Обычная –локальные

пользователи удостоверяются как они

сами(Classic – local users

authenticate asthemselves)

51

Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам

(Network access: Restrict anonymous access to Named Pipes and Shares)


31

№ п/п



52

Сетевая безопасность: не хранить хеш - значений LAN Manager при следующей смене пароля

(Network security: do not store LAN Manager hash value on next password change )


53

Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы

(Network security: Force logoff when logon hours expire)


54

Сетевая безопасность: уровень проверки подлинности LAN Manager

(Network security: LAN Manager authentication level )

NTLMv2 ответ, отказывать LM и NTLM

(Send NTLMv2 response only\refuse

LM and NTLM)5

5Сетевая безопасность: Требование цифровой

подписи для LDAP клиента(Network security: LDAP client signing

requirements)

Согласование цифровой подписи

(Require signature)

56

Сетевая безопасность: Минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасность RPC)

(Network security: Minimum session security for NTLM SSP based (including secure RPC) clients)

Требовать сеансовую безопасность NTLMv2, Требовать 128-

битное шифрование(Require

NTLMv2 session security, Require 128 bit

Encryption)5

7Сетевая безопасность: Минимальная сеансовая

безопасность для серверов на базе NTLM SSP (включая безопасность RPC)

(Network security: Minimum session security for NTLM SSP based (including secure RPC)servers)

Требовать сеансовую безопасность NTLMv2, Требовать 128-

битное шифрование( Require NTLMv2

session security, Require 128 bit Encryption)

58

Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos

DES_CBC_CRCDES_CBC_MD5

RC4_HMAC_MD5AES128_HMAC_S

HA1AES256_HMAC_S

HA1Будущие типы

шифрования5

9Сетевая безопасность: ограничения NTLM:

аудит входящего трафика NTLMНе определено(Not defined)

60

Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене


61

Сетевая безопасность: ограничения NTLM: входящий трафик NTLM


62

Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене


63

Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки


32

№ п/п



подлинности NTLM6

4Сетевая безопасность: ограничения NTLM:

исходящий трафик NTLM к удаленным серверамНе определено(Not defined)

65

Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене


66

Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы


67

Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру


68

Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM


69

Консоль восстановления:Разрешить Автоматическийй вход

администратора(Recovery console: Allow automatic administrative

logon)


70

Консоль восстановления:Разрешить копирование дискет и доступ ко всем

дискам и папкамАдминистратора (Recovery console: Allow floppy

copy and access to all drives and all folders )


71

Завершение работы: разрешить завершение работы системы без выполнения входа в систему

(Shutdown: Allow system to be shutdown without having to log on)


72

Завершение работы: Очистка файла подкачки виртуальной памяти

(Shutdown: Clear virtual memory pagefile)


73

Системная криптография: Использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания

(System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing)


74

Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере

(System cryptography: Force strong key protection for user keys stored on the computer)

Пользователь должен вводить пароль при

каждом использовании ключа.

75

Системные объекты: учитывать регистр для подсистем, отличных от Windows

(System objects: Require case insensitivity for non-Windows subsystems)


76

Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов

(System objects: Strengthen default permissions of internal system objects (for example, Symbolic Links))


77

DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language) Не определено

(Not defined)

33

№ п/п



78

DCOM: Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language) Не определено

(Not defined)

79

Контроль учетных записей: все администраторы работают в режиме одобрения администратором

(User Account Control: Run all administrators in Admin Approval Mode)


80

Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав

(User Account Control: Detect application installations and prompt for elevation)


81

Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав

(User Account Control: Switch to the secure desktop when prompting for elevation)


82

Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором

(User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode)

Запрос учетных данных

83

Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей

(User Account Control: Behavior of the elevation prompt for standard users)

Запрос учетных данных

84

Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах

(User Account Control: Only elevate UIAccess applications that are installed in secure locations)


85

Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов

(User Account Control: Only elevate executables that are signed and validated)


86

Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в место размещения пользователя

(User Account Control: Virtualize file and registry write failures to per-user locations)


87

Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол

(User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop)


88

Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора

(User Account Control: Admin Approval Mode for the Built-in Administrator account)


8 Параметры системы: использовать правила

34

№ п/п



9 сертификатов для исполняемых файлов Windows для политик ограниченного использования программ

(System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies)


90

Параметры системы: необязательные подсистемы

(System settings: Optional subsystems)POSIX

91

Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта

Принимать, если предоставлено клиентом

Більш детальну інформацію про налаштування параметрів локальної політики можна знайти в наведених джерелах:

1) Windows 7 Security Guide (Руководство по безопасности Windows 7). Microsoft Corporation, 20092) http://go.microsoft.com/fwlink/?LinkId=144505.

4 Журнал подій (Журнал событий)Параметри журналу подій використовуються для організації запису системних подій. В

контейнері “Журнал событий” групової політики задаються атрибути журналів, пов’язаних з застосуваннями, безпекою і системними подіями, такі як максимальний розмір журналу, права доступу до кожного журналу, а також тривалість та способи збереження.

4.1 Параметри безпеки журналу подій (Параметры безопасности журнала событий)Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною

адресою:Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Журнал

событийПараметри наведені в табл. 6.

Таблиця 6 №

п/пНазва


(Установка)Запретить доступ локальной группы гостей к

журналу приложений(Prevent local guests group from accessing

application log)


2 Запретить доступ локальной группы гостей к журналу безопасности

(Prevent local guests group from accessing security log)


3 Запретить доступ локальной группы гостей к системному журналу

(Prevent local guests group from accessing system log)


4 Максимальный размер журнала приложений(Maximum application log size)

32 768 Кбайт32 768 KB

5 Максимальный размер журнала безопасности(Maximum security log size)

81 920 Кбайт81 920 KB

6 Максимальный размер системного журнала(Maximum system log size)

32 768 Кбайт32 768 KB

7 Метод сохранения событий в журнале приложений

(Retention method for application log)

Затирать старые события по необходимости

(As Needed)

35

№ п/п



8 Метод сохранения событий в журнале безопасности

(Retention method for security log)


(As Needed)

9 Метод сохранения событий в системном журнале

(Retention method for system log)


(As Needed)

10

Сохранять события в журнале приложений (дней)

(Retention method for application log)


11

Сохранять события в журнале безопасности (дней)

(Retention method for security log)


12

Сохранять события в системном журнале (дней)(Retention method for system log)1


5 Системні служби (Системные службы)

5.1 Параметри налаштування системних служб для комп’ютерів (Параметры настройки системных служб для компьютеров)


Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Системные службы


№ п/п



1. BranchCache Не определено2. DHCP-клиент Автоматический3. DNS-клиент Не определено4. KtmRm для координатора распределенных

транзакцийНе определено

5. Microsoft .NET Framework NGEN v2.0.50727_X86

Не определено







9. Parental Controls Не определено10. Plug-and-Play Автоматический11. Quality Windows Audio Video Experience Не определено12. Superfetch Не определено13. Windows Audio Не определено14. Windows CardSpace Не определено15. Windows Driver Foundation - User-mode Driver Не определено

36

№ п/п



Framework16. Windows Search Не определено17. WMI Performance Adapter Не определено18. Автонастройка WWAN Не определено19. Автономные файлы Не определено20. Агент защиты сетевого доступа Вручную21. Агент политики IPsec Вручную22. Адаптивная регулировка яркости Не определено23. Архивация Windows Вручную24. Биометрическая служба Windows Не определено25. Брандмауэр Windows Автоматический26. Браузер компьютеров Запрещен27. Веб-клиент Вручную28. Виртуальный диск Вручную29. Вспомогательная служба IP Вручную30. Вторичный вход в систему Вручную31. Группировка сетевых участников Не определено32. Дефрагментация диска Вручную33. Диспетчер Автоматических подключений

удаленного доступаВручную

34. Диспетчер печати Автоматический35. Диспетчер подключений удаленного доступа Автоматический36. Диспетчер сеансов диспетчера окон рабочего

столаАвтоматический

37. Диспетчер удостоверения сетевых участников Автоматический38. Диспетчер учетных данных Вручную39. Диспетчер учетных записей безопасности Автоматический40. Доступ к HID-устройствам Вручную41. Журнал событий Windows Автоматический42. Журналы и оповещения производительности Вручную43. Защита программного обеспечения Автоматический44. Защитник Windows Автоматический45. Защищенное хранилище Автоматический46. Изоляция ключей CNG Не определено47. Инструментарий управления Windows Не определено48. Информация о совместимости приложений Вручную49. Клиент групповой политики Автоматический50. Клиент отслеживания изменившихся связей Автоматический51. Координатор распределенных транзакций Автоматический52. Кэш шрифтов Windows Presentation Foundation

3.0.0.0Не определено

53. Ловушка SNMP Вручную54. Локатор удаленного вызова процедур (RPC) Вручную55. Маршрутизация и удаленный доступ Запрещен56. Модули ключей IPsec для обмена ключами в

Интернете и протокола IP с проверкой подлинностиАвтоматический

57. Модуль запуска процессов DCOM-сервера Автоматический58. Модуль поддержки NetBIOS через TCP/IP Автоматический59. Настройка сервера удаленных рабочих столов Вручную60. Немедленные подключения Windows -

регистратор настройкиВручную

61. Обнаружение SSDP Запрещен

37

№ п/п



62. Обнаружение интерактивных служб Вручную63. Общий доступ к подключению к Интернету

(ICS)Запрещен

64. Определение оборудования оболочки Автоматический

65. Основные службы доверенного платформенного модуля

Вручную

66. Перенаправитель портов пользовательского режима служб удаленных рабочих столов

Вручную

67. Перечислитель IP-шин PnP-X Запрещен68. Питание Автоматический69. Планировщик заданий Автоматический70. Планировщик классов мультимедиа Вручную71. Поддержка элемента панели управления

"Отчеты о проблемах и их решениях"Вручную

72. Политика удаления смарт-карт Вручную73. Поставщик домашней группы Вручную74. Проводная автонастройка Вручную75. Программный поставщик теневого копирования

(Microsoft)Автоматический

76. Прослушиватель домашней группы Не определено77. Протокол PNRP Не определено78. Публикация ресурсов обнаружения функции Вручную79. Рабочая станция Автоматический80. Распространение сертификата Вручную81. Расширяемый протокол проверки подлинности

(EAP)Вручную

82. Сборщик событий Windows Вручную83. Сведения о приложении Вручную84. Сервер Автоматический85. Сервер упорядочения потоков Вручную86. Сетевой вход в систему Автоматический87. Сетевые подключения Вручную88. Система событий COM+ Автоматический89. Системное приложение COM+ Вручную90. Служба SSTP Вручную91. Служба автоматического обнаружения веб-

прокси WinHTTPВручную

92. Служба автонастройки WLAN Автоматический93. Служба базовой фильтрации Автоматический94. Служба ввода планшетного ПК Вручную95. Служба времени Windows Автоматический96. Служба загрузки изображений Windows (WIA) Автоматический97. Служба инициатора Майкрософт iSCSI Вручную98. Служба интерфейса сохранения сети Вручную99. Служба кэша шрифтов Windows Автоматический100. Служба медиаприставки Media Center Вручную101. Служба модуля архивации на уровне блоков Автоматический102. Служба общего доступа к портам Net.Tcp Запрещен103. Служба общих сетевых ресурсов проигрывателя

Windows MediaВручную

104. Служба перечислителя переносных устройств Вручную105. Служба планировщика Windows Media Center Вручную

38

№ п/п



106. Служба поддержки Bluetooth Запрещен107. Служба политики диагностики Автоматический108. Служба помощника по совместимости программ Автоматический109. Служба профилей пользователей Автоматический110. Служба публикации имен компьютеров PNRP Вручную111. Служба регистрации ошибок Windows Вручную112. Служба ресивера Windows Media Center Вручную113. Служба сведений о подключенных сетях Автоматический114. Служба списка сетей Вручную115. Служба технологий активации Windows Вручную116. Служба уведомления SPP Вручную117. Служба уведомления о системных событиях Автоматический118. Служба удаленного управления Windows (WS-

Management)Автоматический

119. Служба хранилища Вручную120. Служба шифрования дисков BitLocker Вручную121. Служба шлюза уровня приложения Вручную122. Службы криптографии Автоматический123. Службы удаленных рабочих столов Вручную124. Смарт-карта Вручную125. Сопоставитель конечных точек RPC Автоматический126. Средство построения конечных точек Windows

AudioВручную

127. Телефония Вручную128. Темы Не определено129. Теневое копирование тома Вручную130. Тополог канального уровня Вручную131. Удаленный вызов процедур (RPC) Автоматический132. Удаленный реестр Вручную133. Удостоверение приложения Автоматический134. Узел системы диагностики Вручную135. Узел службы диагностики Вручную136. Узел универсальных PNP-устройств Вручную137. Управление приложениями Вручную138. Управление сертификатами и ключом

работоспособностиВручную

139. Установщик ActiveX (AxInstSV) Вручную140. Установщик Windows Вручную141. Установщик модулей Windows Вручную142. Факс Вручную143. Фоновая интеллектуальная служба передачи

(BITS)Автоматический

144. Хост поставщика функции обнаружения Не определено145. Цветовая система Windows (WCS) Не определено146. Центр обеспечения безопасности Автоматический147. Центр обновления Windows Вручную148. Шифрованная файловая система (EFS) Вручную

6 Налаштування реєстру (Настройка реестра)В даному підрозділі наведені значення ключів реєстру, які мають відношення до безпеки та

можуть бути налаштовані за допомогою редактора політики. Параметри наведені в табл. 8.

39

Таблиця 8

№ п/п


Subkey Registry

Value Entry

Шлях Format на-

чення

1 Отключить Автоматическийй вход в систему

(Disable Automatic Logon)

AutoAdminLogon

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\

Параметр

DWORD(32 бита)

REG_DWORD

0

2 Уровень защиты маршрутизации IP-источника (DisableIPSourceRouting)

DisableIPSourceRout

ing

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\

Параметр

DWORD(32 бита)

REG_DWORD

0

3 Разрешить автоматическое обнаружение нерабочих сетевых шлюзов (может привести к отказу в обслуживании) (EnableDeadGWDetect)

DeadGWDetectDefa

ult


Параметр

DWORD(32 бита)

REG_DWORD

0

4 Разрешить переадресацию ICMP для переопределения созданных маршрутов OSPF (EnableICMPRedirect)

EnableICMPRedirect


Параметр

DWORD(32 бита)

REG_DWORD

06

5 Отключить автозапуск для всех дисков (NoDriveTypeAutoRun)

NoDriveTypeAutoR

un

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Параметр

DWORD(32 бита)

REG_DWORD

FF

6 Разрешить компьютеру не создавать имена файлов в формате 8.3 (рекомендуется) (NtfsDisable8dot3NameCreation)

NtfsDisable8dot3Na

meCreation

HKEY_LOCAL_MACHINE\System\

CurrentControlSet\Control\FileSystem\

Параметр

DWORD(32 бита)

REG_DWORD

1

7 Файлова система (Файловая система)Стандартні повноваження доступу для файлової системи NTFS підходять для більшості

організацій. Параметри налаштування файлової системи, які описані в цьому підрозділі, рекомендується використовувати в першу чергу для систем з високим рівнем безпеки.

6 Зазначений параметр може бути змінено на «Не определен» у випадку використання протоколу маршрутизації OSPF

40

7.1. Параметри безпеки файлової системи (Параметры безопасности файловой системы)Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною

адресою:Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\

Файловая системаРекомендовані параметри наведені в табл. 9.

Таблиця 9Папка

або файл(Папка

или файл)

Група користувачів

(Группа пользователей)

Рекомендований

Дозвіл(Рекомен

дуемоеРазреше

ние)

Застосовуються до

(Применяются к)

МетодУспадку

вання(Метод

наследования)

C:\Users\(Папка,

яка містить атрибути робочого столу та профілів усіх користувачів,

зазвичай)

Администраторы

Полный доступ

Для этой папки, ее подпапок и фалов

Распространение

Система Полный доступ


Пользователи

Чтение и выполнение


C:\Progtam Data\Microsoft\

(Містить дані документів

застосувань

Майкрософт)




Замена






%SystemDrive%\

(Диск, на якому встановлена ОС Windows,

містить важливі файли завантаження та налагодження

операційної системи)




Распростране-

ниеПрошедш

ие проверкуТраверс

папок/выполнение файлов, содержание папки/чтение данных, чтение атрибутов, чтение дополнительных атрибутов, создание файлов/запись даннях, создание папок/дозапись даннях, запись атрибутов, запись дополнительных атрибутов, удаление, чтение разрешений

Только для папок и файлов

41

Папка або файл

(Папка или файл)






ние)






Создание папок/дозапись данных

Только для этой папка






%PROGRAMDATA%\Microsoft\Windows\DRM

Все Траверс папок/выполнение файлов, содержание папки/чтение данных, чтение атрибутов, чтение дополнительных атрибутов, создание файлов/запись даннях, создание папок/дозапись даннях, запись атрибутов, запись дополнительных атрибутов, удаление папок и файлов, чтение разрешений, смена разрешений, смена владельца

Только для этой папки

‘


Только для подпапок и файлов



Гость Все Запрещен

Для этой папки, ее подпапок и файлов

Гости Все Запрещен



Только для подпапок и файлов



42

Папка або файл

(Папка или файл)






ние)






Гость Все Запрещен


Гости Все Запрещен


C:\windows\system32\appmgmt




Все Полный доступ




%Systemroot%\config\default



Для этого файла



%Systemroot%\config\sam






%Systemroot%\config\security






%Systemroot%\config\software






%Systemroot%\config\system






8 Налаштування мережевого екрану

Для налаштування мережевого екрану необхідно створити (або завантажити) файл tune.bat та виконати його з правами адміністратора. Після виконання командного файлу ЕОМ автоматично перезавантажиться.

Зміст файлу tune.bat:

@echo off

SET FFPATH=C:\OPCIS\ClientFF.exeSET FAPATH=C:\OPCIS\ClientFA.exe

43

SET FCPATH=C:\OPCIS\ClientFC.exeSET FDPATH=C:\OPCIS\ClientFD.exeSET UPPATH=C:\OPCIS\Update.exeSET SMC=HKLM\Software\Policies\Microsoft\WindowsFirewall

reg add %SMC% /freg add %SMC%\PrivateProfile /freg add %SMC%\PrivateProfile /v DisableStealthMode /t REG_DWORD /d 1 /freg add %SMC%\PublicProfile /freg add %SMC%\PublicProfile /v DisableStealthMode /t REG_DWORD /d 1 /freg add %SMC%\StandardProfile /freg add %SMC%\StandardProfile /v DisableStealthMode /t REG_DWORD /d 1 /f

netsh advfirewall firewall add rule name="PPL33-35 (Agent)" dir=in action=allow program=%FAPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Agent)" dir=out action=allow program=%FAPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Customs)" dir=in action=allow program=%FCPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Customs)" dir=out action=allow program=%FCPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Forwarder)" dir=in action=allow program=%FFPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Forwarder)" dir=out action=allow program=%FFPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Dispatcher)" dir=in action=allow program=%FDPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Dispatcher)" dir=out action=allow program=%FDPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Update)" dir=in action=allow program=%UPPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Update)" dir=out action=allow program=%UPPATH%

shutdown /r /t 300









44

Додаток №5 до Угоди про інформаційне співробітництво

від «___» _______ 2013 року

І Н С Т Р У К Ц І Я

з інсталяції та конфігурування параметрів безпеки ОС Windows XP Professional SP2

ВступКорпорація Microsoft разом з носієм ОС Windows XP Professional SP2 постачає документацію,

яка містить детальні інструкції щодо установки ОС та додаткові відомості. Інструкції щодо установки та інші відомості, які наведені в цих документах рекомендується

використовувати під час установки ОС Windows XP Professional SP2 на АРМ користувачів.В документі розглядається конфігурування параметрів безпеки операційної системи Windows

XP Professional SP2.Значення параметрів безпеки наведені в табл. 1-20. Для параметрів, які несуттєві для безпеки,

значення не вказані.

1 Засоби, які використовуються для конфігурування параметрів безпекиДля конфігурування параметрів безпеки застосовуються вбудовані системні компоненти ОC

Windows XP Professional SP2 такі як:- Редактор групових політик (далі редактор політики);- Редактор реєстру.

1.3 Запуск редактора політик

45

Запуск редактора політики здійснюється шляхом виконання в командному рядку команди «gpedit.msc».

1.4 Запуск редактора реєструЗапуск редактора реєстру здійснюється шляхом виконання в командному рядку команди

«regedit.exe».

2 Політика облікових записівПолітика облікових записів містить параметри безпеки для паролів і блокування облікових

записів.

2.1 Політика паролівПараметри налаштовуються за допомогою редактора політики за адресою:

Конфігурація комп’ютера\ Конфігурація Windows\ Параметри безпеки\ Політика облікових записів\ Політика паролів


№ п/п



1 Вимагати неповторюваність паролів(Enforce password history)

24 збережених паролів(24 passwords

remembered)2 Максимальний термін дії пароля

(Maximum password age)42 дні

(42 days)3 Мінімальний термін дії пароля

(Minimum password age)30 днів

(30 days)4 Мінімальна довжина пароля

(Minimum password lengths)8

5 Пароль повинен відповідати вимогам складності (Password must meet complexity requirements)

Включений(Enabled)

6 Зберігати паролі всіх користувачів у домені, використовуючи зворотне шифрування (Store password using reversible encryption for all users in the domain)

Відключений(Disabled)

2.2 Політика блокування облікового записуПараметри налаштовуються за допомогою редактора політики за адресою:Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Політики

облікових записів\ Політика блокування облікового записуПараметри наведені в табл. 2.


п/пНазва


(Установка)1 Блокування облікового запису на

(Account lockout duration)30 хвилин

(30 minutes)2 Граничне значення блокування

(Account lockout duration)10 помилок входу до

системи(10 invalid logon

attempts)3 Скидання лічильника блокування через (Reset

account lockout counter after)30 хвилин

(30 minutes)

3 Параметри локальної політики

3.1 Політика аудиту Параметри налаштовуються за допомогою редактора політики за адресою:

46

Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні політики\ Політика аудиту


№ п/п



1 Аудит входу до системи(Audit account logon events)

Успіх, Відмова(Success, Failure)

2 Аудит керування обліковими записами(Audit account management)


3 Аудит доступу до служби каталогів(Audit directory service access)

Немає аудита(No auditing)

4 Аудит подій входу в систему(Audit logon events)


5 Аудит доступу до об'єктів(Audit object access)


6 Аудит зміни політики(Audit policy change)

Успіх(Success)

7 Аудит використання привілеїв(Audit privilege use)

Відмова(Failure)

8 Аудит відстеження процесів (Audit process traking)

Немає аудиту(No auditing)

9 Аудит системних подій(Audit system events)


3.2 Параметри призначення прав користувачівПараметри налаштовуються за допомогою редактора політики за зазначеною адресою:

Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні політики\ Призначення прав користувачів


№ п/п



1 Доступ до комп'ютера з мережі(Access this computer from the network)

Не визначено (Not defined) /Ніхто (No One)

2 Робота в режимі операційної системи(Act as part of the operating system)

Ніхто (No One)

3 Додавання робочих станцій до домену(Add workstations to domain)

Не визначено (Not defined) / Ніхто (No One)

4 Настроювання квот пам'яті для процесу(Adjust memory quotas to a process)

Адміністратори(Administrators),

LOCAL SERVICE5 Дозволяти вхід у систему

через службу терміналів(Allow logon through Terminal Service)

Не визначено(Not defined) /

Ніхто (No One)6 Архівування файлів і каталогів

(Back up files and directories)Адміністратори(Administrators)

7 Обхід перехресної перевірки(Bypass traverse checking)

КористувачіАдміністратори

(Users, Administrators)

8 Зміна системного часу(Change the system time)

Адміністратори(Administrators)

9 Створення сторінкового файлу(Create a pagefile)


10

Створення маркерного об'єкта(Create a token object)

Ніхто(Nо one)

47

№ п/п



11

Створення постійних об'єктів спільного використання

(Create permanent shared objects)

Ніхто(Nо one)

12

Налагодження програм(Debug programs)

Ніхто(Nо one)

13

Відмова в доступі до комп'ютера з мережі(Deny access to this computer from the network)


Всі, АНОНІМНИЙ ВХІД (Everyone,

ANONYOMUS LOGON)1

4Відмова у вході як пакетне завдання(Deny logon as a batch job)

Не визначено(Not defined)

15

Відмова у вході як служба(Deny logon as a service)


16

Відхилити локальний вхід(Deny logon locally)

Support_388945a, Guest, Any service accounts

17

Заборонити вхід у системучерез службу терміналів(Deny logon through Terminal Services)


Всі, АНОНІМНИЙ ВХІД (Everyone,

ANONYOMUS LOGON)1

8Дозвіл довіри до облікових записів при

делегуванні(Eanble computer and user accounts to be trusted

for delegation)

Ніхто(Nо one)

19

Примусове вилучення завершення(Force shutdown from a remote system)

Не визначено (Not defined) / Ніхто (No оne)

20

Створення журналів безпеки(Generate security audits)

LOCAL SERVICE

21

Збільшення пріоритету диспетчерування(Increase scheduling priority)


22

Завантаження й вивантаження драйверів пристроїв

(Load and unload device drivers)


23

Закріплення сторінок у пам'яті(Lock pages in memory)


24

Вхід як пакетне завдання(Log on as a batch job)

Ніхто(No оne)

25

Вхід як служба(Log on as a service)

Ніхто(No оne)

26

Локальний вхід у систему(Log on locally)

АдміністраториКористувачі,


27

Керування аудитом і журналом безпеки(Manage auditing and security log)


28

Зміна параметрів середовища устаткування(Modify firmware environment values)


29

Запуск операцій по обслуговуванню тому(Perform volume main tence tasks)


30

Профілювання одного процесу(Profile single process)


31

Профілювання завантаженості системи(Profile system performance)


3 Витягання комп'ютера зі стикувального вузла Не визначено (Not

48

№ п/п



2 (Remove computer from docking station) defined)Адміністратори

Користувачі(Administrators, Users)

33

Заміна маркера рівня процесу(Replace a process level token)

LOCAL SERVICE

34

Відновлення файлів і каталогів(Restore files and directories)


35

Завершення роботи системи(Shut down the system)

Адміністратори,Користувачі


36

Синхронізація даних служби каталогів(Synchronize directory service data)


37

Оволодіння файлами або іншими об’єктами(Take ownership of files or other objects)


3.3 Параметри безпеки Параметри налаштовуються за допомогою редактора політики за адресою:Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні

політики\ Параметри безпекиПараметри наведені в табл. 5.

Таблиця 5№

п/пНазва


(Установка)1 Облікові записи: стан облікового запису

Адміністратор(Accounts: Administrator account status)


2 Облікові записи: стан облікового запису Гість(Accounts: Guest account status)


3 Облікові записи: обмежити використання порожніх паролів тільки для консольного входу

(Accounts: Limit local account use of blank passwords to console logon only)


4 Облікові записи: Перейменування облікового запису адміністратора

(Accounts: Rename administrator account)

Рекомендується перейменування облікового

запису5 Облікові записи: Перейменування облікового

запису гостя(Accounts: Rename guest account)

Рекомендується перейменування облікового

запису6 Аудит: Аудит доступу глобальних системних

об'єктів(Audit: Audit the access of global system objects)


7 Аудит: Аудит прав на архівацію й відновлення(Audit: Audit the use of Backup and Restore

privilege)


8 Аудит: Негайне відключення системи, якщо неможливо внести в журнал запису про аудит безпеки

(Audit: Shut down system immediately if unable to log security audits


9 Пристрої: Дозволяти відстиковку без входу до системи


49

№ п/п



(Devices: Allow undock without having to log on)1

0Пристрої: Дозволено форматувати й витягати

знімні носії(Devices: Allowed format and eject removable

media)

Адміністратор(Administrators)

12

Пристрої: дозволити доступ до дисководів компакт-дисків тільки локальним користувачам

(Devices: Restrict CD-ROM access to locally logged-on user only)


13

Пристрої: дозволити доступ до дисководів гнучких дисків тільки локальним користувачам

(Devices: Restrict floppy access to lcocally logged-on user only)


14

Пристрої: поводження при установці непідписного драйвера

(Devices: Unsigned driver installation behavior)

Не дозволяти установку

(Do not allow installation)

15

Контролер домену: дозволити операторам сервера задавати виконання завдань за розкладом

(Domain controller: Allow server operators to schedule tasks)


16

Контролер домену: Вимоги підписування для LDAP сервера

(Domain controller: LDAP server signing requirements)


17

Контролер домену: Заборонити зміну пароля облікових записів комп'ютера

(Domain controller: Refuse machine account password changes)


18

Член домену: Завжди потрібний цифровий підпис або шифрування потоку даних безпечного каналу

(Domain member: Digitaly encrypt or sign secure channel data (always))


19

Член домену: Шифрування даних безпечного каналу, коли це можливо

(Domain member: Digitally encrypt secure channel data (when possible))


20

Член домену: Максимальний термін дії пароля облікових записів комп'ютера

(Domain member: Maximum machine account password age)


21

Член домену: Цифровий підпис даних безпечного каналу, коли це можливо

(Domain member: Digitally sign secure channel data (when possible))


22

Член домену: Відключити заміну пароля облікових записів комп'ютера

(Domain member: Disable machine account password changes)


23

Член домену: вимагає стійкого ключа сеансу(Domain member: Require strong (Windows 2000

or later) session key)


24

Інтерактивний вхід у систему: Не відображати останнього імені користувача

(Interactive logon: Do not display last user name)


50

№ п/п



25

Інтерактивний вхід у систему: Не вимагати натискання CTRL+ALT+DEL (Interactive logon: Do not require CTRL+ALT+DEL)


26

Інтерактивний вхід у систему: Текст повідомлення для користувачів при вході в систему (Interactive logon: Message text for users attempting to logon)

Вхід тільки для авторизованих користувачів.

27

Інтерактивний вхід у систему: Заголовок повідомлення для користувачів при вході в систему

(Interactive logon: Message title for users attempting to logon)

ПРОДОВЖЕННЯ СПРОБ БЕЗ НАЛЕЖНОЇ

АВТОРИЗАЦІЇ Є ЗЛОЧИНОМ

28

Інтерактивний вхід у систему: кількість попередніх підключень до кешу (у випадку відсутності доступу до контролера домену)

(Interactive logon: Number of previous logons to cache (in case domain controller is not available))


29

Інтерактивний вхід у систему: нагадувати користувачам про витікання терміну дії пароля заздалегідь

(Interactive logon: Prompt user to change password before expiration)

7 днів(7 days)

30

Інтерактивний вхід у систему: вимагати перевірки на контролері домену для скасування блокування робочої станції

(Interactive logon: Require Domain controller authentication to unlock workstation)


31

Інтерактивний вхід у систему: поводження при добуванні смарт-карти

(Interactive logon: Smart card removal behavior

Блокування робочої станції

(Lock Workstation)3

2Клієнт мережі Microsoft:використати цифровий підпис (завжди)(Microsoft network client: Digitally sign



33

Клієнт мережі Microsoft: використати цифровий підпис (за згодою сервера)

(Microsoft network client: Digitally sign communications (if server agrees))


34

Клієнт мережі Microsoft: посилати незашифрований пароль стороннім SMB-серверам

(Microsoft network client: Send unencrypted password to third-party SMB servers)


35

Сервер мережі Microsoft: тривалість простою перед відключенням сеансу

(Microsoft network server: Amount of idle time required before suspending session)


36

Сервер мережі Microsoft:Використати цифровий підпис (завжди)(Microsoft network server: Digitally sign



37

Сервер мережі Microsoft: Використати цифровий підпис (за згодою клієнта)

(Microsoft network server: Digitally sign communications (if client agrees))


38

Сервер мережі Microsoft: відключати клієнтів після закінчення дозволених годин входу


51

№ п/п



(Microsoft network server:Disconnect clients when logon hours expire)

39

Доступ до мережі: Дозволити трансляцію анонімного SID в ім'я

(Network access: Allow anonymous SID/Name translation)


40

Мережний доступ: Не дозволяти перерахування облікових записів SAM анонімним користувачам

(Network access: Do not allow anonymous enumeration of SAM accounts)

Не визначено (Not defined) /

Включений (Enabled)

41

Мережний доступ: не дозволяти перерахування облікових записів SAM і загальних ресурсів анонімним користувачам

(Network access: Do not allow anonymous enumeration of SAM accounts and shares)



42

Мережний доступ: не дозволяти збереження облікових даних або цифрових паспортів .NET для мережної перевірки дійсності користувача

(Network access: Do not allow storage of credentials or .NET Passports for network authentication )



43

Мережний доступ: Дозволяти застосування дозволів для всіх до анонімних користувачів

(Network access: Let Everyone permissions apply to anonymous users)



44

Мережний доступ: Дозволяти анонімний доступ до іменованих каналів

(Network access: Named Pipes that can be accessed anonymously)


45

Мережний доступ: Дозволяти анонімний доступ до загальних ресурсів

(Network access: (Shares that can be accessed anonymously)


46

Мережний доступ: Шляхи в реєстрі доступні через вилучене підключення

(Network access: Remotely accessible registry paths)


47

Мережний доступ: Модель спільного доступу й безпеки для локальних облікових записів

(Network access: Sharing and security model for local accounts)


48

Мережна безпека: не зберігати хеш - значень LAN Manager при наступній зміні пароля

(Network security: do not store LAN Manager hash value on next password change)


49

Мережна безпека: примусовий вивід із сеансу після закінчення припустимих годин роботи

(Network security: Force logoff when logon hours expire)


50

Мережна безпека: рівень перевірки дійсності LAN Manager

(Network security: LAN Manager authentication level)


51

Мережна безпека: Вимоги підписування для LDAP клієнта

(Network security: LDAP client signing


52

№ п/п



requirements)5

2Мережна безпека: Мінімальна сеансова безпека

для клієнтів на базі NTLM SSP (включаючи безпеку RPC)(Network security: Minimum session security for

NTLM SSP based (including secure RPC) clients)


53

Мережна безпека: Мінімальна сеансова безпека для серверів на базі NTLM SSP (включаючи безпеку

RPC)(Network security: Minimum session security for

NTLM SSP based (including secure RPC) servers)


54

Консоль відновлення: Дозволити автоматичний вхід адміністратора

(Recovery console: Allow automatic administrative logon)


55

Консоль відновлення: Дозволити копіювання дискет і доступ до всіх дисків та папок Адміністратора

(Recovery console: Allow floppy copy and access to all drives and all folders)


56

Завершення роботи: дозволити завершення роботи системи без виконання входу в систему

(Shutdown: Allow system to be shutdown without having to log on)


57

Завершення роботи: Очищення сторінкового файлу віртуальної пам'яті

(Shutdown: Clear virtual memory pagefile)


58

Системна криптографія: Використати FIPS-сумісні алгоритми для шифрування, хеширування й підписування (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing)


59

Системні об'єкти: Власник за замовчуванням для об'єктів, створених членами групи адміністраторів

(System objects: Default owner for objects created by members of the Administrators group)

Творець об'єкта(Object creator)

60

Системні об'єкти: Ураховувати регістр для підсистем, відмінних від Windows

(Require case insensitivity for non-Windows subsystems)


61

Системні об'єкти: Підсилити дозвіл за замовчуванням для внутрішніх системних об'єктів (наприклад, символічних посилань)

(System objects: Strengthen default permissions of internal system objects (e.g. Symbolic links))


4 Журнал подій

4.1 Параметри безпеки журналу подійПараметри налаштовуються за допомогою редактора політики за адресою:

Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Журнал подійПараметри наведені в табл. 6.


п/пНазва


(Установка)Максимальний розмір журналу додатків 100032 Кбайт

53

№ п/п



(Maximum application log size) 100032 KB2 Максимальний розмір журналу безпеки

(Maximum security log size)100032 Кбайт

100032 KB3 Максимальний розмір системного журналу

(Maximum system log size)100032 Кбайт

100032 KB4 Заборонити доступ локальної групи гостей до

журналу додатків(Prevent local guests group from accessing

application log)


5 Заборонити доступ локальної групи гостей до журналу безпеки

(Prevent local guests group from accessing security log)


6 Заборонити доступ локальної групи гостей до системного журналу

(Prevent local guests group from accessing system log)


7 Збереження подій у журналі додатків (днів)(Retention method for application log)


8 Збереження подій у журналі безпеки (днів)(Retention method for security log)


9 Збереження подій у системному журналі (днів)(Retention method for system log)


10

Збереження подій у журналі додатків(Retention method for application log)

У міру потреби(As Needed)

11

Збереження подій у журналі безпеки(Retention method for security log)


12

Збереження подій у системному журналі(Retention method for system log)


5 Системні служби

5.1 Параметри налаштування системних служб для комп'ютерівПараметри налаштовуються за допомогою редактора політики за адресою:

Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Системні службиПараметри наведені в табл. 7.

Таблиця 7

№ п/п



1 Оповіщувач(Alerter)

Відключено(Disabled)

2 Служба шлюзу рівня додатків(Application Layer Gateway Service)


3 Керування додатками(Application Management)

Вручну(Manual)

4 Machine Debug Manager Відключено(Disabled)

5 Автоматичне відновлення(Automatic Updates)


6 Фонова інтелектуальна служба передачі(Background Intelligent Transfer Service)


7 Сервер папки обміну(ClipBook)


54

№ п/п



8 Система подій COM+(COM+ Event System )


9 Системний додаток COM+(COM+ System Application)


10

Оглядач комп'ютерів(Computer Browser)


11

Служби криптографії(Crytpographic Services)

Авто(Auto)

12

DHCP-клієнт(DHCP-client)

Відключено/Авто(Disabled/Auto)

13

Клієнт відстеження зв'язків, що змінилися(Distributed Link Tracking Client)


14

Координатор розподілених транзакцій(Distributed Transaction Coordinator)


15

DNS – клієнт(DNS Client)

Відключено/Авто(Disabled/Auto)

16

Служба реєстрації помилок(Error Reporting Service)

Авто(Auto)

17

Журнал подій(Event Log)

Авто(Auto)

18

Сумісність швидкого перемикання користувачів(Fast User Switching Compatibility


19

Служба факсів(Fax)


20

Довідка й підтримка(Help and Support)

Авто(Auto)

21

Доступ до HID - пристроїв(Human Interface Device Access)


22

Служба COM запису компакт –дисків IMAPI(IMAPI CD-Burning COM Service)


23

Служба індексування(Indexing Service)


24

Брандмауер Інтернету (ICF)/Загальний доступ до Інтернету (ICS)

(Internet Connection Firewall (ICF)/Internet Connection Sharing (ICS))


25

Служба IPSec(IPSec Services)

Авто(Auto)

26

Диспетчер логічних дисків(Logical Disk Manager


27

Служба адміністрування диспетчера логічних дисків

(Logical Disk Manager Administrative Service)


28

Служба повідомлень(Messenger)


29

Microsoft Software Shadow Copy Provider Вручну(Manual)

30

Мережний вхід у систему(Net logon)


31

Вилучене керування робочим столом в NetMeeting

(NetMeeting Remote Desktop Sharing)

Відключено (Disabled)

32

Мережні підключення(Network connections)


55

№ п/п



33

Служба мережного DDE(Network DDE)


34

Диспетчер мережного DDE(Network DDE DSDM)


35

Служба мережного розташування (NLA)(Network Location Awareness (NLA))


36

Постачальник підтримки безпеки NTLM(NTLM Security Support Provider)

Авто(Auto)

37

Журнали оповіщення продуктивності(Performance Logs and Alerts)


38

Plug and Play Авто(Auto)

39

Серійний номер переносного медіа-пристрою(Portable Media Serial Number)


40

Диспетчер черги печатки(Print Spooler)

Авто(Auto)

41

Захищене сховище(Protected Storage)

Авто(Auto)

42

Qo RSVP Відключено(Disabled)

43

Диспетчер Авто (Auto)- підключень вилученого доступу

(Remote Access Auto Connection Manager)


44

Диспетчер підключень вилученого доступу(Remote Access Connection Manager)


45

Диспетчер сеансу довідки для вилученого робочого стола

(Remote Desktop Help Session Manager)


46

Вилучений виклик процедур (RPC)(Remote Procedure Call(RPC))

Авто(Auto)

47

Локатор вилученого виклику процедур (RPC)(Remote Procedure Call (RPC) Locator)


48

Вилучений реєстр(Remote Registry)


49

Знімні ЗП(Removable Storage)


50

Маршрутизація й вилучений доступ(Routing and Remote Access)


51

Вторинний вхід у систему(Secondary Logon)

Авто(Auto)

52

Диспетчер облікових записів безпеки(Security Accounts Manager)

Авто(Auto)

53

Сервер(Server)

Авто(Auto)

54

Визначення встаткування оболонки(Shell Hardware Detection)

Авто(Auto)

55

Смарт-карти(Smart Card)


56

Модуль підтримки смарт-карт(Smart Card Helper )


57

Служба виявлення SSDP(SSDP Discovery Service)


58

Повідомлення про системні події(System Event Notification)

Авто(Auto)

56

№ п/п



59

Служба відновлення системи(System Restore Service)


60

Планувальник завдань(Task Scheduler)


62

Телефонія(Telephony)


63

Telnet Відключено(Disabled)

64

Служби терміналів(Terminal Service)


65

Теми(Themes)

Авто(Auto)

66

Джерело безперебійного живлення(UPS)


67

Вузол універсальних PnP-пристроїв(Universal Plug and Play Device Host)


68

Диспетчер відвантаження(Upload Manager)


69

Тіньове копіювання тому(Volume Shadow Copy)


70

Веб-клієнт(WebClient)

Авто(Auto)

71

Windows Audio Вручну(Manual)

72

Служба завантаження зображень (WIA)(Windows Image Acquisition (WIA))


73

Windows Installer Вручну(Manual)

74

Інструментарій керування Windows(Windows Management Instrumentation)

Авто(Auto)

75

Розширення драйверів WMI(Windows Management Instrumentation Driver

Extension)


76

Служба часу Windows(Windows Time)


77

Бездротове настроювання(Wireless Zero Configuration)


78

Адаптер продуктивності WMI(WMI Performance Adapter)


79

Робоча станція(Workstation)

Авто(Auto)

80

Центр забезпечення безпеки(Security Center)


81

Протокол HTTP SSL(HTTP SSL)

Авто(Auto)

82

Служба забезпечення мережі(Network Support)

Авто(Auto)

6 Налаштування реєструПараметри налаштовуються за допомогою редактора реєстру.Параметри наведені в табл. 8.

Таблиця 8

57

№ п/п


Subkey Registry

Value Entry

Шлях Format на-

чення

1 Відключення автозапуску для всіх дисків

(Disable Autorun for all drives)

NoDriveType

AutoRun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Policies\

Explorer\ registry key

DWORD xFF

2 Час у секундах перед завершенням пільгового періоду екрана заставки (The time in seconds before the screen saver grace period expires (0 recommended))

ScreenSaver

GracePerio

d

HKEY_LOCAL_MACHINE\SYSTEM\Software\

Microsoft\WindowsNT\CurrentVersion\

Winlogon\ registry key

STRING

3 Відсоток заповнення журналу подій безпеки, після якого система починає видавати повідомлення про заповнення

(Percentage threshold for the security event logat which the system will generate a warning)

Warning Level

HKEY_LOCAL_MACHINE\

SYSTEM\CurrentControlSet\Services\Eventlog\

Security\registry key

DWORD 0

4 Перевірка бібліотек DLL

(Enable Safe DLL search mode (recommended)

SafeDllSearh

Mode

HKEY_LOCAL_MACHINE\

SYSTEM\CurrentControlSet\Control\

SessionManager\registry key

DWORD

5 Відключити автоматичний вхід до системи

(Disable Automatic Logon)

AutoAdmin

Logon

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\

CurrentVersion\Winlogon\ registry key.

DWORD

6 Видалення спільних адміністративних ресурсів

(Delete Administrative

Shares)

AutoShare

Wks

HKEY_LOCAL_MACHINE\System\CurrentControlSet\

Services\LanmanServer\Parameters\

registry key

DWORD

7 Сховати комп'ютер у списку перегляду

(Hide Computer From the Browse List)

Hidden

HKEY_LOCAL_MACHINE\System\CurrentControlSet\

Services\Lanmanserver\Parameters\ registry key.

DWORD

7 Файлова система

7.1. Параметри безпеки файлової системиПараметри налаштовуються за допомогою редактора політики за адресою:

Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Файлова система

58

Параметри наведені в табл. 9.

Таблиця 9

Папка або файл Група користувачів


Дозвіл


Метод

успадку-вання

%AllUsersProfile%(Папка, яка зазвичай

містить атрибути робочого столу та профілів усіх користувачів,

C:\Documents and Settings\All Users)

Адміністратори

Повний доступ

Папка, підпапки й файли

Поши-рення

Система


Папка, підпапки

й файлиКорист

увачіЧитання

й виконанняПапка,

підпапки й файли

%AllUsersProfile%\Application

Data\ Microsoft(Містить дані

документівзастосуваньМайкрософт)




Заміна

Система



Заміна

Користувачі

Читання й виконання


Досвідчені користувачі

Огляд папок,

Виконання файлів,

Список вмісту папки, Читання даних


Читання атрибутів,

Читання додатко-вих атрибутів, Створення файлів, Запис даних, Створення папок, Додавання даних, Запис атрибутів

%AllUsersProfile%\ApplicationData\Microsoft\Crypto\DSS\MachineKeys

Адміністратори Повний доступ


Заміна

Система



Заміна

59



Дозвіл


Метод



Список вмісту папки,Читання атрибутів, Читання додаткових атрибутів,

Створення файлів,

Створення папок,

Запис атрибутів,

Запис додаткових атрибутів,

Читання дозволів

Тільки папка

%AllUsersProfile%\ApplicationData\

Microsoft\Crypto\RSA\Machine Keys




Заміна

Система



Заміна


Запис додатко-вих атрибутів,


%AllUsersProfile%\ApplicationData\Microsoft\HTML

Help




Заміна

Система







Зміна Папка, підпапки й файли

%AllUsersProfile%\Application

Data\Microsoft\Media

Index




Заміна

Система



60



Дозвіл


Метод




Створення папок, Запис атрибутів,

Запис додаткових атрибутів,


Тільки папка


Запис Папка, підпапки й файли





Огляд папок,

Виконання файлів, Список змісту папки,

Читання даних


Читання атрибутів,

Читання додатко-вих атрибутів,


Запис даних,

Створення папок,

Додавання даних,


Запис додаткових атрибутів

Видалення підпапок і файлів, Видалення, Читання дозволів

%AllUsersProfile%\ DRM

Ігнорувати

Ігнору-вати

%SystemDrive%\(Диск, на якому

встановлена ОС Windows




й файли

Розповсюдження

61



Дозвіл


Метод


XP,містить важливі

файли заванта-ження та налагод-ження операційної системи)

Творець-власник



й файлиСистем

аПовний

доступПапка,





й файли %SystemDrive%\Documentsand Settings(Папка містить

профілі користу-вачів та профілі за умовчанням)




й файли

Розповсюдження

Система






підпапки й файлиДосвідч

ені користувачіЧитання



%SystemDrive%\Documents and

ettings\Default User(Папка міститьатрибути робочого

столу та профілів користувачів, які входять у систему перші, що використовуються за умовчанням.)




й файли

Заміна

Система






підпапкий файли




%SystemRoot%Installer




Заміна

Система







8 Адміністративні шаблони 8.1 Параметри комп'ютера для Установника Windows

Параметри налаштовуються за допомогою редактора політики за адресою:Конфігурація комп'ютера\ Адміністративні шаблони\ Компонента Windows\ Установник

Windows


№ п/п



1 Заборонити відкат Відключено

62

8.2 Параметри комп'ютера для системи

8.2.1 Параметри комп'ютера у вузлі Система

Параметри налаштовуються за допомогою редактора політики за адресою:Настроювання комп'ютера\ Адміністративні шаблони\ Система


№ п/п



1 Відключити автозапуск Включений -Всі диски

2 Відключити запит на використання Windows Update при пошуку драйверів

Включено

8.2.2 Параметри комп'ютера у вузлі Система\вхід до системи

Параметри налаштовуються за допомогою редактора політики за адресою:Настроювання комп'ютера\ Адміністративні шаблони\ Система\ вхід у систему


№ п/п



1 Не відображати вікно “Перше знайомство” при вході в систему

Включений

2 Не обробляти список автозапуска для старих версій Включений3 Не обробляти список автозапуска програм, виконуваних

один разВключений

8.2.3 Параметри комп'ютера у вузлі Система\Групова політикаПараметри налаштовуються за допомогою редактора політики за адресою:

Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Групова політика


№ п/п



1 Обробка політики настроювання Internet Explorer Включений

2 Обробка політики реєстру Включений

8.2.4 Параметри комп'ютера у вузлі Система\Дискові квотиПараметри налаштовуються за допомогою редактора політики за адресою:

Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Дискові квотиПараметри наведені в табл. 14.

Таблиця 14№

п/пНазва


(Установка)1 Включити дискові квоти Включений

63

№ п/п



2 Задати межу дискової квоти Включений3 Межа квоти за замовчуванням і рівень попередження Включений4 Вести журнал навіть при перевищенні межі квоти Включений5 Заносити подію перевищення рівня попередження квоти Включений

8.2.5 Параметри комп'ютера у вузлі Система\ Відновлення системи

Параметри налаштовуються за допомогою редактора політики за адресою:Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Відновлення системи


№ п/п



1 Відключити відновлення системи Не заданий2 Відключити конфігурацію Не заданий

8.2.6 Параметри користувача для Панелі керування

Параметри налаштовуються за допомогою редактора політики за адресою:Конфігурація користувача\ Адміністративні шаблони\ Панель керування\Екран


№ п/п



1 Використати екранні заставки Включений2 Ім'я файлу екранної заставки, що виконує Включений3 Використати парольний захист для екранних заставок Включений4 Тайм-аут екранної заставки Включений

600 секунд

8.2.7 Параметри користувача для системи

Відповідні параметри налаштовуються за допомогою редактора політики за адресою: Конфігурація користувача\ Адміністративні шаблони\ Система\ Провідник


№ п/п



1 Видалити можливості запису компакт-дисків Включений

2 Видалити вкладку Безпека Включений

8.2.8 Параметри редагування реєстру

Відповідні параметри налаштовуються за допомогою редактора політики за адресою:Конфігурація користувача\ Адміністративні шаблони\ Система\

Параметри наведені в табл. 18.

Таблиця 18

64

№ п/п



1 Зробити недоступними засіб редагування реєстру Включений

8.2.9 Параметри користувача у вузлі Система\Управління електроживленням

Відповідні параметри налаштовуються за допомогою редактора політики за адресою: Конфігурація користувача\Адміністративні шаблони\Система\Керування електроживленням


№ п/п



1 Запитувати пароль при виході зі сплячого або режиму, що чекає

Включений

8.2.10 Параметри користувача для Диспетчера вкладень

Відповідні параметри налаштовуються за допомогою редактора політики за адресою: Конфігурація користувача\ Адміністративні шаблони\ Диспетчер вкладень


№ п/п



1 Не зберігати відомості про зону у вкладених файлах Відключений

2 Сховати можливість для видалення відомостей про зону Включений

3 Повідомляти антивірусну програму при відкритті вкладень Включений

9 Налаштування мережевого екрану

Для налаштування мережевого екрану необхідно:- Перейменувати VPN-з’єднання до системи портового співтовариства на «PPL33-35»;- створити (або завантажити) файл tune_XP.bat та виконати його з правами адміністратора.Зміст файлу tune_XP.bat:

@echo off

SET FFPATH=C:\OPCIS\ClientFF.exeSET FAPATH=C:\OPCIS\ClientFA.exeSET FCPATH=C:\OPCIS\ClientFC.exeSET FDPATH=C:\OPCIS\ClientFD.exeSET UPPATH=C:\OPCIS\Update.exeSET IFNAME=PPL33-35

netsh firewall set opmode mode=disable interface=%IFNAME%netsh firewall add allowedprogram program=%FAPATH% name="PPL33-35 (Agent)" mode=enablenetsh firewall add allowedprogram program=%FFPATH% name="PPL33-35 (Forwarder)"

mode=enable

65

netsh firewall add allowedprogram program=%FCPATH% name="PPL33-35 (Customs)" mode=enablenetsh firewall add allowedprogram program=%FDPATH% name="PPL33-35 (Dispatcher)"

mode=enablenetsh firewall add allowedprogram program=%UPPATH% name="PPL33-35 (Update)" mode=enable









66