П.Н. Афонин. «Информационные таможенные технологии»

Установку, настройку, проверку работоспособности ПС на объектах эксплуатации может производить Исполнитель работ, если это предусмотрено условиями контракта, при участии должностных лиц ИТС (ИТП), ответственных за технологическую готовность ПС к внедрению и эксплуатации на объекте, и представителей структурного подразделения объекта, ответственного за внедрение и эксплуатацию ПС, с соблюдением требований нормативных документов ФТС России по информационной безопасности.

Полученные пакеты рассылки являются обязательными для незамедлительного применения, если иное не оговорено в распорядительных документах ФТС России и/или сопроводительных письмах к пакетам рассылки.

3.5.5. Вывод из эксплуатации и списание программных средств

С внедрением и использованием в деятельности ФТС России новых информационных технологий необходимость в ПС, с помощью которых реализовывались ранее используемые технологии, отпадает. С модернизацией ПС отпадает необходимость использования в деятельности структурных подразделений (учреждений) ФТС России, таможенных органов предыдущих версий ПС.

Программные средства, версии ПС, потерявшие свою актуальность и дальнейшее использование которых становится нецелесообразным, подлежат выводу из эксплуатации и списанию.

Предложения по выводу из эксплуатации ПС структурные подразделения ФТС России, учреждения ФТС России представляют в ГУИТ. Решение о выводе из эксплуатации ПС принимает заместитель руководителя ФТС России, курирующий ГУИТ, по представлению, согласованному с ГНИВЦ и с Управлением собственной безопасности.

Вывод ПС, отдельных версий ПС из эксплуатации производится на основании и в соответствии с приказом ФТС России. Необходимые данные о выводе из эксплуатации устаревшей версии ПС (в случае, описанном в абзаце 3 пункта 5.9 Порядка) могут быть отражены в приказе или иных документах ФТС России о внедрении и эксплуатации новой версии ПС.

Разработку проекта приказа о выводе из эксплуатации ПС осуществляет ГУИТ и согласовывает с заинтересованными структурными подразделениями (учреждениями) ФТС России и с ГНИВЦ.

В проекте приказа о выводе из эксплуатации ПС должно быть отражено:

• наименование и код ПС, выводимого из эксплуатации;
• последовательность вывода из эксплуатации ПС, установленных на объектах, с указанием срока вывода и ответственных исполнителей;
• наименование и код созданного (модернизированного) ПС, используемого взамен ПС, выводимого из эксплуатации;
• обеспечение доступности данных, содержащихся в выводимых из эксплуатации ПС, и дальнейшее использование выводимых из эксплуатации ПС;
• сроки хранения ПС, программной документации, информационных ресурсов (при необходимости), созданных в результате эксплуатации ПС;
• состав комиссии по выводу из эксплуатации ПС, перечень и порядок представления документов, фиксирующих факт вывода из эксплуатации ПС;
• утратившие силу нормативные правовые документы ФТС России в части, касающейся выводимого из эксплуатации ПС.

Списание ПС, устаревших версий ПС производится в соответствии с законодательством Российской Федерации после вывода их из эксплуатации.

3.6. ТИПОВЫЕ ТРЕБОВАНИЯ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ, ПРЕДЪЯВЛЯЕМЫЕ К ПРОГРАММНЫМ СРЕДСТВАМ ИНФОРМАЦИОННЫХ СИСТЕМ И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ТАМОЖЕННЫХ ОРГАНОВ

В техническое задание на создание (модернизацию) программных средств информационных систем и информационных технологий таможенных органов требования по безопасности информации включаются в виде самостоятельного раздела, содержащего следующие подразделы:

• общие требования по безопасности информации;
• требования по управлению доступом и разграничению полномочий пользователей;
• требования по регистрации и учету работы пользователей;
• требования по обеспечению целостности ПС;
• требования по интеграции с Доменной структурой единой службы каталогов (далее — ДС ЕСК) ЕАИС таможенных органов;
• требования по интеграции ПС с сертифицированными средствами защиты информации, эксплуатируемыми в таможенных органах;
• требования по сертификации ПС;
• требования по организации доступа ПС к внешним информационным ресурсам;
• требования по организации взаимодействия ПС с ресурсами центральной базы данных (ЦБД) ЕАИС таможенных органов;
• требования к резервному копированию информации.

Если в ТЗ какие-либо требования по безопасности информации к ПС не предъявлялись, то в сопроводительной документации на ПС в соответствующих подразделах необходимо отражать, что эти требования не предъявлялись и в ПС не реализованы.

Общие требования по безопасности информации конкретизируются с учетом предметной области и специфики применения ПС. В данный подраздел включаются следующие сведения:

• перечень обрабатываемой информации, защищаемых ресурсов и уровень их конфиденциальности;
• характеристики обрабатываемых персональных данных;
• перечень категорий должностных лиц таможенных органов, для автоматизации деятельности которых предназначено создаваемое (модернизируемое) ПС;
• профили и полномочия ролевого доступа пользователей (матрица доступа);
• предложения по классам защищенности и классам информационных систем персональных данных;
• организация защиты идентификационной информации (паролей, параметров доступа с использованием логинов и паролей, технологические идентификаторы для связи с иными системами) в ПС (при ее наличии в системе).

Требования по управлению доступом и разграничению полномочий пользователей включают реализацию следующих функций: идентификации и аутентификации пользователя; контроля доступа к модулям (функциям) ПС; идентификации рабочих станций, серверов и другого сетевого оборудования по IP, MAC-адресам и именам в ДС ЕСК ЕАИС таможенных органов. Для ПС должен быть приведен полный перечень ролей доступа пользователей ПС с развернутым списком предоставляемых прав (матрица доступа).

Идентификация и аутентификация пользователя должна осуществляться при запуске основного (основных) исполняемого модуля ПС. Пользователю не должны быть доступны функции ПС, пока он успешно не пройдет проверку подлинности. Идентификация и аутентификация пользователя осуществляется с использованием персонального средства идентификации и аутентификации или идентификатора пользователя и средства защиты информации (СЗИ) от несанкционированных действий (НСД), установленного на рабочей станции пользователя. При отсутствии персонального средства идентификации и аутентификации СЗИ от НСД идентификация и аутентификация пользователя должны осуществляться с использованием идентификатора пользователя и пароля условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Функция контроля доступа к модулям (функциям) ПС предназначена для разграничения полномочий пользователей к функциональным возможностям ПС. Контроль доступа должен быть реализован на основе ролевой модели разграничения доступа. В ПС должны быть предусмотрены роли, которые определяются функциональным составом ПС. Каждой системной роли может соответствовать законченный программный модуль, в котором реализована определенная совокупность функций. Набор и содержание ролей должны быть определены при техническом проектировании разработчиком и не могут быть изменены администратором системы. Роли назначаются администратором ПС конкретным пользователям в зависимости от их функциональных обязанностей.

Требования по регистрации и учету работы пользователей включают:

• регистрацию пользователя и администратора в системе;
• регистрацию действий пользователя и администратора в системе с момента старта основного исполняемого файла до момента завершения работы.

К параметрам, подлежащим регистрации, относятся: дата и время, идентификатор пользователя (администратора) ПС, идентификатор пользователя (администратора) операционной системы (ОС), IP-адрес рабочей станции пользователя, код и описание типа события, объекты события (функциональная операция, имя распечатываемого файла и т. д.).

Перечень регистрируемых событий конкретизируется разработчиком на этапе технического проектирования и приводится в техническом проекте. Параметры регистрации или типа событий не могут быть изменены администратором или пользователем ПС.

Регистрация параметров и событий должна осуществляться в специальном журнале. Для предотвращения несанкционированного доступа к журналу с целью модификации должно использоваться средство криптографической защиты информации (СКЗИ) «КриптоПро CSP». Данные журнала не могут модифицироваться администратором или пользователем и хранятся не менее 1 года, после чего выгружаются в специальный архивный файл. Правила хранения архивного файла устанавливаются организационно-распорядительным документом таможенного органа.

В журнале должна быть предусмотрена фильтрация и сортировка по любому из полей журнала и по их совокупности, а также возможность задания граничных значений для параметров даты и времени.

Требования по обеспечению целостности включают проверку целостности модулей ПС и других служебных файлов ПС (журналы, файлы конфигурации и т. д.) по контрольным суммам при запуске ПС.

Требования по интеграции с Доменной структурой единой службы каталогов ЕАИС таможенных органов включают:

• интеграцию с ДС ЕСК ЕАИС таможенных органов в части компонентов, размещаемых на серверах и автоматизированных рабочих станциях должностных лиц таможенных органов в ВИТС таможенных органов;
• обеспечение работы клиентских модулей ПС (которые планируется устанавливать на автоматизированные рабочие места должностных лиц таможенных органов) под учетной записью «пользователь» с учетом всех ограничений, накладываемых утвержденными политиками ДС ЕСК ЕАИС таможенных органов;
• обеспечение возможностей удаленной установки обновлений клиентских модулей ПС (в том числе обновления версии ПС) администратором ДС ЕСК ЕАИС таможенного органа (если выполнение настоящего пункта невозможно, то необходимо отразить это в технической документации ПС с указанием причин).

<<   [1] ... [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] ...  [66]  >>