III. Обязанности Сторон по информационному обмену

3.1. Уполномоченный орган принимает на себя следующие обязательства:

3.1.1. Принимать и использовать получаемую в рамках Соглашения информацию исключительно в целях, установленных законодательством Российской Федерации и Соглашением.

3.1.2. Не передавать информацию, полученную в рамках Соглашения, третьим лицам без письменного согласия Оператора, за исключением случаев, когда:

3.1.2.1. Предоставление такой информации является обязательным в соответствии с законодательством Российской Федерации.

3.1.2.2. Указанная информация является общедоступной, в том числе размещена для всеобщего доступа на официальных сайтах Сторон в информационно-телекоммуникационной сети "Интернет".

3.1.3. Обеспечивать прием сведений из информационной системы мониторинга и информирование Оператора о выявленных случаях их недостоверности.

3.1.4. Поддерживать в работоспособном состоянии свои программно-технические средства, используемые для осуществления и обеспечения информационного обмена в соответствии с Соглашением.

3.1.5. Обеспечивать техническую возможность получения доступа к сведениям из информационной системы мониторинга в соответствии с условиями Соглашения и сохранять ее в течение всего срока действия Соглашения.

3.1.6. В течение одного рабочего дня с момента обнаружения информировать Оператора о случаях компрометации учетных и иных данных, используемых Уполномоченным органом для получения доступа к сведениям из информационной системы мониторинга, а также любых ставших известными Уполномоченному органу случаях разглашения информации из информационной системы мониторинга.

3.1.7. Соблюдать следующие меры по обеспечению защиты и безопасности информации, содержащейся в информационной системе мониторинга:

3.1.7.1. Организационные и технические меры защиты информации, реализуемые в рамках взаимодействия информационных систем и (или) автоматизированных рабочих мест (далее - АРМ) Уполномоченного органа с информационной системой мониторинга, посредством применения которых в зависимости от имеющихся угроз безопасности информации используемых информационных технологий и структурно-функциональных характеристик в соответствии с пунктом 20 Требований о защите информации должны обеспечиваться:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации;

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности информации;

целостность информационной системы и информации;

доступность информации;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

защита информационной системы от атак, направленных на отказ в обслуживании.

3.1.7.2. Наличие в соответствии с пунктом 17 Требований о защите информации действующих аттестатов соответствия Требованиям о защите информации на информационные системы и (или) АРМ, подключаемые к информационной системе мониторинга.

3.1.7.3. Обеспечение в течение срока действия Соглашения:

3.1.7.3.1. Соблюдения мер защиты информации в соответствии с приложением N 2 к Требованиям о защите информации и требований к таким мерам, предусмотренных главой III Требований о защите информации.

3.1.7.3.2. Соблюдения нормативных правовых актов и методических документов, изданных по вопросам деятельности ФСТЭК России, обязательных для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями в соответствии с абзацем вторым пункта 5 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

3.1.8. Обеспечивать возможность доступа к информации из информационной системы мониторинга, не являющейся общедоступной, исключительно должностным лицам Уполномоченного органа, персонально определяемым руководителем Уполномоченного органа, которым эта информация необходима.

3.1.9. Информировать о ставших известными несанкционированных доступах, компьютерных вирусных атаках на информационную систему мониторинга и иные информационные системы, задействованные в информационном взаимодействии или содержащие полученную из информационной системы мониторинга информацию, путем направления уведомлений по адресу электронной почты Оператора, указанному в абзаце втором пункта 2.1 Соглашения, в течение одного рабочего дня с момента возникновения соответствующего события.

3.2. Оператор принимает на себя следующие обязательства:

3.2.1. Обеспечивать доступ к информации из информационной системы мониторинга на безвозмездной основе в соответствии с Соглашением.

3.2.2. В случае невозможности своевременного обеспечения доступа к информации из информационной системы мониторинга в соответствии Соглашением в течение 5 рабочих дней со дня выявления такой невозможности уведомлять Уполномоченный орган о таком событии с указанием причин.

3.3. Оператор обеспечивает ограничение и (или) приостановление доступа Уполномоченного органа к информации, содержащейся в информационной системе мониторинга, в следующих случаях:

3.3.1. Выявления несоблюдения Уполномоченным органом установленных Соглашением условий обмена информацией и (или) использования информации из информационной системы мониторинга, ином нарушении условий Соглашения, а также требований законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3.3.2. Выявления иных оснований, препятствующих осуществлению информационного взаимодействия в соответствии с Соглашением, в том числе угроз нарушения информационной безопасности, нарушения Уполномоченным органом требований законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3.4. Решение об ограничении и (или) приостановлении доступа Уполномоченного органа к информации в информационной системе мониторинга принимается Оператором при наличии оснований, предусмотренных пунктом 3.3 Соглашения.

Уведомления об ограничении и (или) приостановлении доступа к информации в информационной системе мониторинга в течение 3 рабочих дней со дня такого ограничения и (или) приостановления доступа направляются Оператором Уполномоченному органу способом, предусмотренным подпунктом 2.8.1 пункта 2.8 Соглашения.

3.5. Доступ Уполномоченного органа к информации в информационной системе мониторинга возобновляется Оператором в течение 48 часов с момента устранения фактов и причин, указанных в пункте 3.3 Соглашения, и уведомления Оператора об этом. Уведомление о возобновлении доступа к информации в информационной системе мониторинга направляется Оператором Уполномоченному органу способом, предусмотренным подпунктом 2.8.1 пункта 2.8 Соглашения.

3.6. Стороны обязуются:

3.6.1. Не принимать к исполнению и не исполнять электронные документы с электронной подписью, в отношении которой было получено уведомление о нарушении конфиденциальности ключа электронной подписи, если электронные документы согласно Соглашению подлежат направлению подписанными усиленной квалифицированной электронной подписью.

3.6.2. Своевременно уведомлять Сторону, которой передается информация, о нарушении конфиденциальности ключей электронной подписи, если электронные документы согласно Соглашению подлежат направлению подписанными усиленной квалифицированной электронной подписью. Уведомления направляются по адресам электронной почты Сторон незамедлительно, но не позднее 1 часа с момента выявления факта компрометации ключа электронной подписи при выявлении компрометации ключей электронной подписи с последующим направлением такого уведомления в письменном виде в адрес Сторон.

3.6.3. Соблюдать требования законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3.7. Проверка соблюдения Уполномоченным органом требований информационной безопасности, указанных в Соглашении, осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации.