Экономическая эффективность ИС

- конфиденциальность (разграничения  доступа к электронным документам и функциям системы в соответствии с их правами доступа);

-аутентичность (подтверждение  авторства электронных документов);

 
       Прикладное ПО  системы должно обеспечивать  в АСУ ДНИиОКР защиту информации  от несанкционированного доступа при ее обработке, хранении и передаче, как многопользовательской автоматизированной системы по классу защищенности не ниже 1Д согласно руководящему документу Гостехкомиссии «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». В системе должны обеспечиваться:

- идентификация и проверка  подлинности доступа при входе  в систему по идентификатору  и паролю условно-постоянного  действия или иными способами;

- доступ к информации  и функциям системы в соответствии  с правами пользователя, назначаемыми  администратором системы делопроизводства  при регистрации пользователя  в системе;

- регистрация входа  (выхода) субъектов доступа в систему  (из системы);

- запись в БД информации о пользователе, дате и времени создания, изменения и корректировки документа (протоколирование).

 
       Для обеспечения  универсальности работы с низкоуровневыми  службами шифрования автоматизированная  система должна использовать  интерфейс Microsoft Crypto API 2.0. Система должна быть способна использовать любого поставщика услуг криптографии (CSP), в том числе CryptoPro 3.0 / 3.6, для реализации сервисов шифрования, хеширования и обслуживания сертификатов ЭЦП.

 

      Для  объектов автоматизации должны быть:

− разработана политика безопасности (совокупность норм и правил, регламентирующих взаимодействие субъектов и объектов системы, в т.ч. объекты доступа, субъекты доступа, разрешающие и запрещающие  правила взаимодействия, матрица  доступа пользователей к ресурсам и др.);

− разработаны должностные инструкции пользователей по информационной безопасности;

− проведено обучение пользователей;

− разработаны правила эксплуатации технических и программных средств  защиты информации и правила работы с конфиденциальной информацией;

− процедуры управления доступом, включая все стадии жизненного цикла управления доступом от начальной  регистрации до удаления учётных  записей пользователя.

 

Организационные мероприятия  по защите информации должны разрабатываться и проводиться с учетом следующих нормативно-правовых документов:

 

− Закон Российской Федерации  от 05 марта 1992 г. № 2446-1 «О безопасности»;

- Закон Российской  Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне» (в  ред. Федеральных законов от 06.10.1997 N 131-ФЗ, от 30.06.2003 N 86-ФЗ, от 11.11.2003 N 153-ФЗ, от 29.06.2004 N 58-ФЗ, от 22.08.2004 N 122-ФЗ, с изменениями, внесенными Постановлением Конституционного Суда Российской Федерации от 27.03.1996 N 8-П, определениями Конституционного Суда Российской федерации от 10.11.2002 N 293-О, от 10.11.2002 N 314-О);

− Федеральный закон  «Об информации, информатизации и  защите информации» от 27.07.2006 № 149-ФЗ;

− Федеральный Закон  Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

− Постановление Правительства  Российской Федерации от 4 сентября 1995 г. № 870 «Об утверждении правил отнесения сведений, составляющих государственную  тайну, к различным степеням секретности»;

− Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (в редакции от 23 сентября 2005 года);

− Постановление Правительства  Российской Федерации «Положение о  государственной системе защиты информации в Российской Федерации  от иностранных технических разведок и от её утечки по техническим каналам» от 15 сентября 1993 г. № 912-51;

− Постановление Правительства  Российской Федерации «О сертификации средств защиты информации» от 26 июня 1995 г. № 608 (с изменениями от 23 апреля 1996 г., 29 марта 1999 г.);

− Руководящий документ. «Автоматизированные системы. Защита от несанкционированного доступа к  информации. Классификация автоматизированных систем и требования по защите информации». Москва. Гостехкомиссия России. 1992 г.;

− Руководящий документ. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». Москва. Гостехкомиссия России. 1992 г.;

− Руководящий документ. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Москва. Гостехкомиссия России. 1992 г.;

− Руководящий документ. «Временное положение по организации  разработки, изготовления и эксплуатации программных и технических средств  защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». Москва. Гостехкомиссия России. 1992 г.;

− ГОСТ Р 50739-95 «Средства  вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»;

− ГОСТ Р 50922-96 «Защита  информации. Основные термины и определения»;

− ГОСТ Р 51275-99 «Защита  информации. Объект информатизации. Факторы, воздействующие на информацию. Общие  положения»;

− РД 50-34.698-90. РД по стандартизации «Автоматизированные системы. Требования к содержанию документов»;

− ГОСТ Р 51583-2000 «Защита  информации. Порядок создания автоматизированных систем в защищенном исполнении»;

− ГОСТ Р 51624-2000 «Защита  информации. Автоматизированные системы  в защищенном исполнении»;

− Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств  защиты информации (Положение ПКЗ-2005)" от 03.03.2005 г. № 6382т.

 

4.1.9. Требования по  сохранности информации при авариях.

 

В системе должны быть использованы средства и реализованы  технические решения, обеспечивающие сохранность информации и восстановление функционирования системы без потери информации в аварийных ситуациях. 
 
            Сохранность информации на серверах системы должна обеспечиваться при следующих аварийных ситуациях:

- отказ комплекса программно-технических  средств системы в результате  сбоя или выхода из строя  его технических средств;

- отказ комплекса программно-технических  средств системы в результате  сбоя его общесистемного ПО или ПО общего назначения;

- сбой или отказ  комплекса программно-технических  средств системы в результате  ошибки в прикладном ПО системы;

- отказ комплекса программно-технических  средств системы в результате  ошибки в работе персонала системы.

       Для обеспечения сохранности информации в АСУ ДНИиОКР  необходимо создать резервную копию, в которой будут храниться актуальная сведения, находящиеся в информационной системе. Резервное копирование, архивирование и восстановление данных должно осуществляться с использованием стандартных средств СУБД и сервера приложений в соответствии с утвержденным регламентом.

Контроль над функционированием  системы, проведение плановых и внеплановых  регламентных работ, устранение отказов  и сбоев должны осуществляться эксплуатационным персоналом, входящим в состав соответствующих подразделений ОАО «ВНИИХТ».

Меры по обеспечению  сохранности информации при авариях  должны быть описаны в документации Технического проекта.

 

4.1.10. Требования к патентной  чистоте.

 

Проектные решения построения  информационной системы должны отвечать требованиям по патентной чистоте  согласно действующему законодательству и распорядительным документам, регламентирующим создание системы.

Уточнение требований по патентной чистоте должно производиться в заданиях и проекте на проведение работ по созданию компонентов системы. При этом разработчикам необходимо привести сведения о наличии лицензий на используемые инструменты разработки программного обеспечения, СУБД и другие программные продукты третьих сторон. В случае использования собственных разработок необходимо указывать наличие документальных свидетельств на владение интеллектуальной собственностью и авторскими правами.

 

 

 

4.1.11. Требования по  стандартизации и унификации.

 

4.1.11.1 Общие требования.

 

В процессе разработки АСУ ДНИиОКР  должна быть сформирована система показателей, устанавливающая требуемую степень  использования стандартных унифицированных  методов реализации функций (задач) системы, а также поставляемых программных  средств, типовых математических методов, типовых проектных решений, унифицированных форм документов, общероссийских классификаторов и классификаторов других категорий в соответствии с областью их применения и требованиями к типовым структурным компонентам.

Оборудование системы, предполагаемое к установке, должно иметь необходимые сертификаты соответствия от ответственных служб и министерств Российской Федерации.  

Все оборудование должно соответствовать  стандартам Российской Федерации и  международным стандартам. Система должна использовать стандартные, унифицированные методы реализации функций (задач) системы:

− поддержка современных транспортных протоколов: TCP/IР;

− поддержка наиболее распространенных форматов документов:, HTML, XML и т.д.;

− поддержка в области повышения отказоустойчивости и надежности системы;

− поддержка распределенного поиска информации;

− поддержка распределенного доступа  к информации;

− возможность функционирования на различных аппаратных платформах.

 

4.1.11.2 Требования к использованию унифицированных форм представления отчетных документов

 

В процессе создания системы необходимо разработать и утвердить унифицированный  формат отчетных документов. Отчетные документы, формируемые системой, должны иметь унифицированное содержание и форму предоставления для каждого вида отчета.

Унифицированный формат отчетных форм должен поддерживать возможность экспорта и импорта форм в подсистемы системы  с целью:

− визуализации;

− составления сводной отчетности;

− ведения базы отчетности.

 

В унифицированном формате должны быть предусмотрены:

− правила контроля числовой и  символьной информации (контрольные  суммы, длина символьной строки);

− правила ведения версионности и истории формы;

− правила оформления реквизитов отправителя и получателя отчетной формы.

 

 

 

4.1.11.3 Требования к использованию  типовых классификаторов

 

Система кодирования и классификации  должна отвечать требованиям классификации  и атрибутирования документов, принятых на территории Российской Федерации, а  так же учитывать зарубежный опыт создания подобных систем. В составе системы должны быть применены типовые общероссийские и ведомственные классификаторы.

 

4.1.11.4 Требования к использованию  типовых рабочих мест, компонентов  и комплексов 

 

Система и ее подсистемы должны быть построены с использованием стандартных и унифицированных методов реализации функций информационной системы. Реализация системы и ее подсистем должна осуществляться с использованием единой системы проектирования. Используемые решения должны обеспечивать унификацию функциональных задач, операций и интерфейсов.

 

Типовые проектные решения должны обеспечивать тиражирование создаваемых  программно-технических комплексов на все подразделения ОАО «ВНИИХТ»  без дополнительного проектирования путем изменения настроек и состава компонентов системы.

Требования по отдельным типовым  проектным решениям должны уточняться на стадии технического проектирования и протокольно согласовываться  с заказчиком. В качестве системы  управления базами данных должна быть применена единая типовая СУБД промышленного уровня для всех баз данных в рамках решения функциональных задач системы – в той мере, в какой это является экономически обоснованным. Применение СУБД, отличных от базовой, допустимо в особо оговоренных случаях и должно протокольно согласовываться с Заказчиком. В качестве операционных систем серверов должна также применяться единая типовая операционная система.

 

4.2 Требования к функциям (задачам), выполняемые системой.

 

4.2.1 Подсистема хранения данных

 

Система должна обеспечивать выполнение следующих функций:

− Создание нового документа;

− Редактирование структуры данных;

− Удаление документов;