Для работы со сканерами паспортов мы предлагаем следующие программные компоненты:

• SDK (Software Developer Kit);
• программный комплекс обработки данных НОРН в составе: модуль интеграции НОРН, модуль распознавания текстовых данных (OCR), модуль проверки подлинности документа TRUSTER ;
• Для фотоверификации (сравнения фотографии владельца документа и фотографии с вебкамеры) мы предлагаем использовать модуль фотоверификации FAR-A .

Комплект SDK

В комплект поставки всех предлагаемых сканеров документов входит SDK - набор библиотек для разработки пользовательских программ и демонстрационные программы (в скомпилированном виде или в кодах). Данный набор обеспечивает доступ к основным функциям устройства: получение изображения в разных диапазонах, сохранение изображения в различных графических форматах, распознавание информации в MZR (машинно-читаемой зоне), распознавание дополнительной информации в латинице.
Для распознавания кириллицы и других алфавитов необходимо приобрести дополнительное программное обеспечение - модуль OCR . Для проверки подлинности документа необходимо приобрести модуль TRUSTER .

Программный комплекс НОРН

В настоящий момент мы предлагаем следующие программы распознавания кириллицы:

• ABBYY PassportReader SDK - программа поставляется в виде API, требует адаптации и настройки. Возможно добавление шаблонов для обработки удостоверений личности стран СНГ - Казахстана, Азербайджана, Белоруссии, Узбекистана, Киргизии и Таджикистана. Кроме этого, имеется возможность обрабатывать российские свидетельства о рождении и водительские права.
• Cognitive Passport API . - обеспечивает возможность сканирования и распознавания документов, удостоверяющих личность непосредственно из прикладной информационной системы. Это позволяет реализовать быстрый технологичный ввод и контроль документов в рамках привычного пользовательского интерфейса.

• Модуль проверки подлинности бланка документа TRUSTER предназначен для обработки изображений в форматах Vis (видимы), IR (инфракрасный) и UV (ультрафиолетовый). Он позволяет с определенной вероятностью проверять подлинность по фиксированным критериям, в том числе переклейку фотографии.

  Дополнительным преимуществом решения является возможность определения время формирования изображения и серийный номер сканера. Проверка данных параметров позволяет эффективно бороться с мошенничеством персонала.

Фотоверификация FAR-A

Расширением комплекса НОРН является модуль фотоверификации, позволяющий сравнивать фотографию из сканируемого документа и изображение с вебкамеры. Результат сравнения выводится на экран оператору и сохраняется в системе. Модуль имеет функцию LIVENESS для работы в автоматическом режиме (в составе киоска).

Сертификат на программное обеспечение, сертификация программного обеспечения

Программное обеспечение (выдается сертификат на программное обеспечение в соответствии с ГОСТ 19781-90) — комплекс компьютерных программ, которые обеспечивают нормальную работу самого компьютера, обработку данных и их передачу другим устройствам обработки данных.
Компьютерные программы разрабатываются программистами, а потом тестируются и отлаживаются другими IT-специалистами, прежде, чем они станут доступны для пользователей и начнется их массовая эксплуатация (а в определенных случаях и сопровождение, для осуществления которого необходимо получить сертификат на программное обеспечение и его сопровождение в соответствии с ГОСТ Р ИСО/МЭК 14764-2002).

В силу специфики работы самой компьютерной техники (выдается сертификат на программное обеспечение в соответствии с ГОСТ 25123-82), выделяют две основные категории программного обеспечения:

• системные программы (управляют взаимодействием компонентов самого компьютера);
• прикладные программы (предназначенные для решения внешних задач, например, обработки текстов или воспроизведения видео-информации, выдается сертификат на программное обеспечение в соответствии с ГОСТ 19781-90).

В качестве третьего основного класса программного обеспечения часто так же выделяют и программные инструменты разработки программ.
Согласно другой классификации, программное обеспечение можно разделить на базовое и сервисное.

Базовое программное обеспечение подразделяется на:

• операционные системы (OS/2, Windows NT\XP, Unix, Solaris);
• операционные оболочки,
• сетевые операционные системы (обеспечивают обработку, передачу и хранение данных в сети Интернет),
• системы управления файлами,
• системные утилиты.

Но современное состояние развития программного обеспечения показывает, что эти сегменты все больше сливаются в глобальные операционные системы, выполняющие функции всех трех этих элементов.

Сервисное программное обеспечение (прикладные программы) можно классифицировать по функциональному признаку (ГОСТ Р ИСО/МЭК ТО 12182-2002) и разделить на:

• программы диагностики работоспособности компьютера и обслуживания дисков (утилиты)
• архиваторы,
• антивирусные программы,
• текстовые редакторы,
• программы для работы с видео,
• программы для работы с аудио,
• программы шифрования,
• для работы с почтой,
• Интернет-браузеры,
• программы для закачки файлов из сети Интернет (менеджеры закачки) и многие другие.

Прикладные программы могут быть разработаны в виде пакетов прикладных программ (на них выдается сертификат на программное обеспечение в соответствии с ГОСТ Р ИСО/МЭК 12119-2000). Например, для банковской сферы, офиса. Так, например, офисные пакеты прикладных программ включают в себя обычно: электронные органайзеры, программы-переводчики, программы для распознавания считанной сканером информации, коммуникационные программы, в том числе и для работы в сети Интернет.
Прикладные программы так же делятся на программы общего пользования (общераспространенные) и специальные программы.
К специальным программам относятся, например, бортовые программные системы сбора информации. К специфическим программам – системы управления базами данных и групповое программное обеспечение (средства одновременной работы с файлами, корпоративной электронной почты, средства телеконференций и планирования проектов).
Сами базы данных разделяют на: документальные (архивы) и фактографические (картотеки), централизованные и распределенные, табличные и иерархичные.

Действует Редакция от 03.03.1997

Наименование документ	ПРИКАЗ ЦБ РФ от 03.03.97 N 02-144 "О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ"
Вид документа	приказ, положение
Принявший орган	цб рф
Номер документа	02-144
Дата принятия	01.01.1970
Дата редакции	03.03.1997
Дата регистрации в Минюсте	01.01.1970
Статус	действует
Публикация	На момент включения в базу документ опубликован не был
Навигатор	Примечания

ПРИКАЗ ЦБ РФ от 03.03.97 N 02-144 "О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ"

ТИПОВОЙ ПАСПОРТ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ АВТОМАТИЗИРОВАННОГО РАБОЧЕГО МЕСТА

Подразделение ________________________________________________

Наименование автоматизированной банковской системы ____________

Вычислительный комплекс ______________________________________

Операционная среда ___________________________________________

Наименование СУБД ___________________________________________

Рабочее место _________________________________________________

N системного блока ____________________________________________

Идентификатор модуля	Разработчик	Назначение модуля	Объем модуля	Контрольная сумма	Прим.

Начальник подразделения ______________________________________

Начальник подразделения ТЗИ __________________________________

Начальник подразделения сопровождения ________________________

Приложение 4

ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УЧАСТНИКА ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

1. Участником электронных платежей должна быть организована централизованная служба (группа в составе подразделения безопасности и защиты информации) парольной защиты. Задачей данной службы является организационно - техническое обеспечение процессов генерации, смены и удаления паролей во всех автоматизированных системах и ЭВМ участника электронных платежей, разработка всех необходимых инструкций и контроль за действиями персонала по работе с паролями.

2. Личные пароли должны выбираться пользователями автоматизированной системы самостоятельно, но с учетом следующих требований:

Длина пароля должна быть не менее 8 символов;

В числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

Пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP и т.д.);

При смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

Личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

3. В случае, если формирование личных паролей пользователей осуществляется централизованной службой парольной защиты, ответственность за правильность их формирования и распределение возлагается на указанную службу.

4. Резервная копия пароля каждого сотрудника в отдельном опечатанном конверте должна храниться в сейфе руководителя подразделения. Для опечатывания конвертов с паролями должны применяться либо личные печати владельцев (при наличии), либо печать уполномоченного представителя Управления (отдела) безопасности и защиты информации территориального учреждения Банка России.

5. Полная плановая смена паролей должна проводиться регулярно, не реже одного раза в месяц.

6. Внеплановая смена (удаление) личного пароля любого пользователя автоматизированной системы в случае прекращения его полномочий (увольнение либо переход на другую работу внутри участника электронных платежей) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.

7. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри участника электронных платежей и другие обстоятельства) администраторов информационной безопасности и других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению автоматизированной системой в целом, либо полномочия по управлению подсистемой защиты информации данной автоматизированной системы, а значит, кроме личного пароля, им могут быть известны пароли других пользователей системы.

8. В случае компрометации личного пароля хотя бы одного пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 6 или п. 7 настоящих Требований в зависимости от полномочий владельца скомпрометированного пароля.

Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ

ПОЛОЖЕНИЕ ОБ ИСПОЛЬЗОВАНИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

$11. Общие положения

Настоящее Положение регулирует процесс эксплуатации программного обеспечения в производственной деятельности работников МБОУ «Средняя общеобразовательная школа №22» (далее - Школа).

$11.1. Настоящее Положение разработано в соответствии с Гражданским кодексом РФ, ГОСТ Р ИСО/МЭК 17799-2005 "Практические правила управления информационной безопасностью" и другими нормативными правовыми актами, и устанавливает правила использования программного обеспечения вычислительной техники в Школе, а также определяет права и обязанности работников в процессе эксплуатации всех видов программного обеспечения.

$11.2. Действие настоящего Положения распространяется на всех работников Школы, подрядчиков и третью сторону.

$12. Основные термины, сокращения и определения

АРМ – автоматизированное рабочее место пользователя (персональный компьютер с прикладным ПО) для выполнения определенной производственной задачи.

ИС – информационная система Школы – система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.

ИТ – информационные технологии – совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации Школы с использованием средств компьютерной и другой техники.

Лицензионное Соглашение – документ, регламентирующий передаваемые конечному пользователю права на использование ПО; формулируется правообладателем. Ответственный за установку ПО – технический специалист, обеспечивает ввод в

эксплуатацию, поддержку и последующий вывод из эксплуатации ПО.

Паспорт ПК – документ, содержащий полный перечень оборудования и программного обеспечения АРМ.

ПК – персональный компьютер – комплекс вычислительной техники с установленным системным ПО; используется одним или несколькими пользователями ИС в производственных целях.

Пользователь ИС – работник Школы, использующий ПО (в составе АРМ) для выполнения своих трудовых обязанностей.

ПО – программное обеспечение вычислительной техники, базы данных.

ПО бесплатное – ПО сторонних производителей/разработчиков, свободно распространяемое на безвозмездной основе.

ПО коммерческое – ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.

ПО прикладное – офисное программное обеспечение (в том числе, разработанное специалистами Школы); информационно-справочные системы; ИС для решения производственных, хозяйственных и управленческих задач Школы; системы проектирования и управления.

ПО системное – операционные системы, средства антивирусной защиты, средства создания резервных копий, драйверы устройств, административные утилиты, средства организации сетевых сервисов.

ПО специализированное – ПО систем управления технологическими процессами на производстве, ПО системного администрирования/управления ресурсами вычислительных сетей.

Реестр – документ "Реестр разрешенного к использованию ПО". Содержит перечень коммерческого ПО, разрешенного к использованию в Организации в текущем году. Утверждается один раз в год приказом директора. Внесение изменений в Реестр производится по итогам истекшего года с учетом возникших потребностей пользователей и появления новых версий коммерческого ПО.

3. Порядок эксплуатации программного обеспечения

3.1. В целях автоматизации производственной, управленческой, вспомогательной деятельности в Школе разрешено применение ограниченного перечня коммерческого ПО (согласно Реестру) и бесплатного ПО (необходимого для выполнения производственных задач и указанного в Паспорте ПК).

3.2. В состав каждого АРМ входит набор ПО для выполнения определенного вида деятельности. Первоначальная комплектация АРМ определяется администрацией школы в соответствии с потребностями учебно-воспитательного процесса, управленческой деятельности, по согласованию с заместителем директора по ИКТ и Ответственным за установку ПО. ПО, не входящее в состав АРМ, не может быть установлено и использовано работниками Школы без процедуры согласования.

3.3. Описание конфигурации ПК и перечень установленного ПО фиксируется в Паспорте ПК, подписывается заместителем директора по ИКТ, Ответственным за установку ПО и пользователем ИС. Тем самым подтверждается согласие сторон:

 С указанной в Паспорте ПК комплектацией оборудования АРМ и перечнем установленного ПО;

 С фактом передачи от Школы к работнику (Пользователю ИС) ответственности за использование любого нелицензионного ПО, самовольное изменение конфигурации АРМ и несанкционированную установку любого ПО на вверенном данному Пользователю АРМ.

3.4. Все операции по установке, сопровождению и поддержке, удалению ПО АРМ выполняются непосредственно ответственным за установку ПО.

3.5. Порядок эксплуатации программного обеспечения в Школе состоит из следующих этапов:

3.5.1. Определение потребности в ПО

3.5.2. Запрос на установку дополнительного ПО может быть инициирован

сотрудником Школы. Запрос на установку ПО производится в случаях:  необходимости организации АРМ для нового работника;

 необходимости выполнения работниками новых (дополнительных) обязанностей, для которых требуется дополнительное ПО или полная замена АРМ;

 появления качественно нового (альтернативного) ПО, взамен используемого в составе АРМ;

 устранения уязвимостей систем обеспечения информационной безопасности Школы;

 плановой замены используемого пользователями ПО;  внедрения новых информационных технологий.

3.5.3. Порядок согласования установки ПО:

заместитель директора по ИКТ соотносит запрос на установку ПО с «Планом установки ПО», определяет возможность использования данного коммерческого ПО, проверяет вопросы исключения случаев нелегального использования программного обеспечения. При наличии в Школе запрошенного ПО, ответственный за установку ПО выполняет работы по его установке, за АРМ пользователя закрепляется лицензия.

При отсутствии в Школе вакантных лицензий на коммерческое ПО (из перечня в Реестре), заместитель директора по ИКТ готовит заявку на приобретение ПО в установленном порядке. После приобретения заместитель директора по ИКТ вносит сведения о новом коммерческом ПО в журнал регистрации дополнений к Реестру. По итогам года сведения из журнала переносятся в Реестр для утверждения на следующий период.

3.5.4. Приобретение ПО Приобретение ПО осуществляется согласно действующим в Школе правилам закупок.

Приобретенное ПО принимается к учету в бухгалтерии, передается для ввода в

эксплуатацию Ответственному за установку ПО. 3.5.5. Установка (внедрение) ПО

заместитель директора по ИКТ обеспечивает оперативный учет лицензий вводящегося в

эксплуатацию ПО, организует работы по установке ПО на ПК пользователей ИС. Ответственный за установку ПО формирует акт установки программного обеспечения. Акт установки программного обеспечения в бумажной форме подписывается заместителем директора по ИКТ, Ответственным за установку ПО и Пользователем ИС. На основании акта установки программного обеспечения формируется Паспорт ПК. Паспорта ПК в бумажной форме подписывается заместителем директора по ИКТ, Ответственным за установку ПО и Пользователем ИС. Паспорт ПК остается у заместителя директора по ИКТ. Если паспортируемые АРМ находятся в учебных аудиториях, то копия Паспорта ПК передается ответственному за кабинет для включения

ее в паспорт кабинета. Любое изменение перечня установленного ПО, возникшее в ходе выполнения работ, должно быть отражено в Паспорте ПК.

3.5.6. Поддержка и сопровождение ПО Поддержка и сопровождение ПО выполняется Ответственным за установку ПО.

Поддержка и сопровождение ПО заключается в выполнении следующих видов работ:  настройка и адаптация установленного ПО;  установка обновлений ПО;

 регламентированное создание резервных копий (архивирование) ПО и пользовательских данных (электронных документов, баз данных);

 устранение неисправностей, связанных с использованием установленного ПО.

Работа по сопровождению ПО может быть инициирована заместителем директора по ИКТ, Ответственным за установку ПО, Пользователем ИС.

3.5.7. Удаление (вывод из эксплуатации) ПО ПО выводится из эксплуатации в следующих случаях:

 окончание лицензионного срока использования ПО;  замена используемого ПО на альтернативное;

 прекращение использования ПО вследствие отсутствия надобности, морального старения.

Вывод из эксплуатации выполняется техническими специалистами:

 Проводится внеочередной аудит ПО Организации;  Выполняется удаление выводимого из эксплуатации ПО;

 При необходимости подготавливается и передается в бухгалтерию акт вывода из эксплуатации коммерческого ПО;

 Выполняются необходимые обновления Паспортов ПК; 3.6. При эксплуатации программного обеспечения необходимо:

Соблюдать требования настоящего Положения. Использовать имеющееся в распоряжении ПО исключительно для выполнения своих служебных обязанностей. Ознакомиться с

Паспортом ПК после проведенных работ по установке или удалению нового ПО, в случае согласия с содержащимися в нем данными, поставить собственноручную подпись в двух экземплярах Паспорта ПК. Обеспечивать сохранность переданных в составе АРМ носителей с ключевой информацией, сертификатов подлинности коммерческого ПО, наклеенных на корпус системного блока АРМ. Содействовать администратору ИС в выполнении работ по установке, настройке, устранению неисправностей и аудита установленного ПО. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.

3.7. При эксплуатации программного обеспечения запрещено:

Использовать АРМ не по назначению. Самостоятельно вносить изменения в конструкцию, конфигурацию, размещение АРМ ИС и другого оборудования ИС. Изменять состав установленного на АРМ ПО (устанавливать новое ПО, изменять состав компонент пакетов ПО и удалять ПО). Приносить на внешних носителях и несанкционированно запускать на своем или другом АРМ любые системные или прикладные программы, не указанные в Паспорте ПК.

4. Аудит использования программного обеспечения

Аудит использования ПО (далее – Аудит) проводится с целью выявления несоответствия перечней фактически установленного ПО перечням, зафиксированным в Паспортах ПК. Аудит проводит заместитель директора по ИКТ по данным переданным ему ответственным за установку ПО.

Для проведения аудита может применяться специализированное ПО. Данные, полученные в процессе аудита, подлежат хранению в электронной учетной системе (базе данных). При выявлении несоответствия перечня ПО текущей версии Паспорта ПК на конкретном АРМ, аудитор составляет служебную записку на имя директора Школы. В случае несанкционированной установки ПО, данный факт рассматривается как нарушение действующей в Школе политики информационной безопасности и настоящего Положения. Несанкционированно установленное ПО подлежит немедленному удалению, перечень установленного ПО приводится в соответствие текущей редакции Паспорта ПК данного АРМ. Если ПО установлено санкционировано, но не указано в Паспорте ПК, аудитор производит действия, предусмотренные пунктом 3.5.4 раздела 3.5 "Установка (внедрение) ПО" настоящего Положения.

Плановый аудит проводится по всему парку вычислительной техники, использующейся в ИС Школе, один раз в 6 месяцев.

Внеплановый аудит (полный или выборочный) проводится по мере необходимости. Необходимость, время и область проведения внеочередных аудитов определяются заместителем директора по ИКТ в соответствии с настоящим.

5. Ответственность

Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Школы.

6. Внесение изменений и дополнений

Изменения и дополнения в настоящее Положение вносятся заместителем директора по ИКТ, и после согласования с администрацией школы и утверждаются приказом директора Школы.

Все изменения и дополнения настоящего Положения вступают в силу с момента их утверждения.