б.7.Требования к инструктажу кураторов
Исполнитель разрабатывает программу инструктажа кураторов и методические материалы по вопросам использования системы. В соответствии с разработанной программой кураторы проходят инструктаж.
Инструктаж кураторов по использованию ИС «Контингент» проводится по темам для разных ролей пользователей системы. Исполнитель обеспечивает инструктаж кураторов в количестве не более 60 (шестидесяти) человек.
Допускается выполнять инструктаж в формате вебинара.
б.8.Требования к программе и методике испытаний
Программа и методика испытаний разрабатывается в соответствии с ГОСТ 19.301-79* (СТ СЭВ 3747-82). Государственный стандарт Союза ССР. Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению.
Программа и методика испытаний содержит бланки протоколов, по которым проводятся испытания.
б.9.Требования к контенту, передающемуся пользователям системы
Контент, обеспечивающий полноценную работу с системой должен загружаться только с серверов, расположенных в центре обработки данных Администрации Главы Республики Бурятия и Правительства Республики Бурятия.
Дополнительный контент по инициативе Исполнителя допускается распространять с использованием системы только по письменному согласованию с Заказчиком. Например, счетчики посещения, альтернативные шрифты, альтернативные библиотеки.
Исполнитель несет ответственность за распространение (по инициативе Исполнителя) с использованием системы дополнительного контента с нарушением возрастных ограничений и иных ограничений, предусмотренных законодательством Российской Федерации.
Дополнительный контент должен загружаться в АРМ пользователя в последнюю очередь параллельной сетевой сессией с приоритетом загрузки не выше основного контента. Запрещается ограничивать работу с системой до окончания загрузки на АРМ пользователя стороннего контента.
б.10.Требования к защите персональных данных, защите информации
б.10.1.Общие требования по защите информации
Исполнитель обеспечивает Заказчика минимально необходимыми средствами защиты информации. Перечень мер защиты определяется исходя из требований по защите информации в государственных информационных системах, обрабатывающих персональные данные, с учетом установленного Заказчиком класса защищенности К2 для создаваемой ИС «Контингент». Поставка, установка и настройка средств защиты информации, документальное обеспечение защиты информации обеспечивается Исполнителем только для ядра системы.
Заказчик устанавливает для создаваемой системы ИС «Контингент» класс защищенности К2.
Реализуемые Исполнителем способы защиты информации должны учитывать положения раздела «Требования к архитектуре ИС «Контингент» и используемым технологиям» настоящих Технических требований.
Обеспечение средствами защиты информации на рабочих местах пользователей не входит в обязательства Исполнителя.
ИС «Контингент» обеспечивает необходимый уровень информационной безопасности путем реализации в ней следующих основных требований:
идентификация и аутентификация пользователей посредством ЕСИА;
разделение доступа пользователей к ресурсам на основе администрируемой ролевой политики;
журналирование действий пользователей и хранение журналов;
обеспечение информационной безопасности на основе дублирования и резервирования ключевых элементов ИС «Контингент» для повышения надежности работы.
Должно обеспечиваться использование электронной подписи в соответствии с требованиями, установленными нормативными правовыми актами Российской Федерации, при обработке электронных документов, а также при обмене электронными документами с федеральными органами исполнительной власти, органами государственных внебюджетных фондов, органами исполнительной власти Республики Бурятия, органами местного самоуправления или привлекаемыми организациями.
Исполнитель обязан устранять выявленные уязвимости в ИС «Контингент» (прикладных программах для ЭВМ), в том числе в рамках гарантийной технической поддержки.
б.10.2.Требования по обеспечению режима конфиденциальности
Исполнитель обязуется обеспечивать защиту конфиденциальной информации, полученной в ходе выполнения работ (оказания услуг) от несанкционированного использования, распространения, публикации и не допускать её разглашения.
Любой ущерб, вызванный нарушением конфиденциальности, определяется и возмещается в соответствии с действующим законодательством Российской Федерации.
Конфиденциальная информация может быть использована Исполнителем для выполнения работ (оказания услуг), проводимых в рамках настоящих Технических требований.
б.10.3.Требования по наличию лицензий
Исполнитель в соответствии с Федеральным законом Российской Федерации от 04 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности» должен обладать действующими необходимыми лицензиями государственного образца на следующие виды деятельности:
- Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации;
- Лицензия ФСБ России на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
б.10.4.Требования к защите информации при удаленном доступе Исполнителя к системе
Заказчик предоставляет Исполнителю право подключаться к техническим средствам обеспечения защищенного удаленного доступа к системе. Технические средства защиты удаленного доступа выполнены на базе оборудования программно-аппаратного комплекса CSP VPN Gate 1000.
Исполнитель за счет собственных средств и ресурсов обеспечивает клиентские средства подключения к техническим средствам защиты удаленного доступа Заказчика.
Подключение к средствам обеспечения защищенного удаленного доступа выполняется через существующее у Заказчика подключение к сети Интернет.
Данный канал связи используется Исполнителем для удаленного доступа к техническим средствам ЦОД для установки, настройки ИС «Контингент» и её гарантийной технической поддержки.
б.10.5.Требования к защите информации при доступе пользователей к системе
Для защиты доступа к персональным данным по каналам связи допускается использование следующих способов защиты:
Роль пользователя
|
Способы защиты персональных данных
|
Сетевой протокол доступа к ИС «Контингент»
|
обучающийся,
законный представитель обучающегося,
преподаватель, учитель
|
отказ от работы с персональными данными;
обезличивание персональных данных.
|
протокол HTTPS
|
делопроизводитель образовательной организации,
администратор образовательной организации,
сотрудник органа власти (государственной, муниципальной),
администратор системы
|
использование сертифицированных средств защиты информации
|
протокол HTTPS, сертифицированные средства криптозащиты информации
|
Для обеспечения разграничения используемых протоколов доступа к системе Исполнитель обеспечивает разные точки входа (URL адреса) для ролей:
обучающийся, законный представитель обучающегося, преподаватель, учитель;
делопроизводитель образовательной организации, администратор образовательной организации, сотрудник органа власти (государственной, муниципальной), администратор системы.
Для серверов приложений, подключение к которым будет выполняться пользователями с ролями обучающийся, законный представитель обучающегося, преподаватель, учитель по протоколу HTTPS, Исполнитель обеспечивает поставку сертификата ключа (сертификатов ключей) электронной подписи для соответствующих сетевых доменных имен ИС «Контингент».
Для каждого сертификата ключа электронной подписи:
Исполнитель по согласованию с Заказчиком генерирует ключевую пару (открытый, закрытый ключ) и запрос в удостоверяющий центр для запроса сертификата ключа электронной подписи.
Допускается генерировать запрос на доменные имена со знаком «звезда» (если это допускается политикой удостоверяющего центра для сертификатов с расширенной проверкой организации – EV меткой). Перечень доменных имен в запросе согласовывается с Заказчиком.
Заказчик представляет Исполнителю имеющиеся у Заказчика документы, подлежащие передаче в удостоверяющий центр (его агентам) для подтверждения аутентичности запроса сертификата ключа электронной подписи.
Срок начала действия сертификата – не позднее даты ввода системы в опытную эксплуатацию.
Срок окончания действия сертификата – не ранее 3 (трех) месяцев после окончания периода гарантийной технической поддержки системы. В случае наличия ограничения на максимальный срок действия сертификата, Исполнитель обеспечивает предоставление первого сертификата сроком действия не менее 365 (триста шестьдесят пять) дней и второго сертификата сроком действия на остаточное количество дней от общего периода времени, установленного настоящим пунктом. Срок представления Заказчику второго сертификата – не позднее 10 (десяти) рабочих дней до даты окончания первого сертификата.
Сертификат должен быть выдан удостоверяющим центром, сведения о котором (либо о его родительских удостоверяющих центрах) входят в стандартные комплектации современных версий операционных систем (Linux, Microsoft, Android, Apple) и виртуальной машины Java (Например, GlobalSign, Comodo, Thawte, Symantec, GeoTrust, TrustWave и др.).
Алгоритм подписи сертификата SHA-256.
Поддержка IDN (доменные имена, содержащих в своем наименовании не латинские символы, в частности, символы русского языка).
Наличие метки EV (ExtendedSSL, расширенная проверка организации) с информацией о Заказчике.
б.10.6.Принципиальная схема функционирования виртуальных машин в защищенной среде виртуализации
Хост виртуализации №1 VMWare ESXi 5.5
Службы управления виртуальной инфраструктуры
VMWare vSphere vCenter Server Standard Edition 5.5
Сертифицированное средство защиты виртуальных
сред vGate 2.8 на платформе VMware vSphere
Виртуальная машина №1 на хосте №1
для ИС «Контингент»
Минимально достаточный набор СЗИ (поставляется Исполнителем)
Виртуальная машина №I на хосте №1
для ИС «Контингент»
Минимально достаточный набор СЗИ (поставляется Исполнителем)
Хост виртуализации №M VMWare ESXi 5.5
Виртуальная машина №1 на хосте №M
для ИС «Контингент»
Минимально достаточный набор СЗИ (поставляется Исполнителем)
Виртуальная машина №J на хосте №M
для ИС «Контингент»
Минимально достаточный набор СЗИ (поставляется Исполнителем)
Обслуживает
хосты в
количестве
от 1 до M
Обслуживает
виртуальные
машины в
количестве
от 1 до I
Обслуживает
виртуальные
машины в
количестве
от 1 до J
Рис. Принципиальная схема функционирования виртуальных машин
в защищенной среде виртуализации
|
