 |
Требования к программному и аппаратному обеспечению СЗИ
|
|
|
|
Общие требования к типам операционных систем, типам серверов и компьютеров, а также технических средств защиты, которые должны быть задействованы в СЗИ, не должны противоречить требованиям проводимой технической политики Заказчика.
Предлагаемые программно-аппаратные решения должны обеспечивать возможность гибкой модификации структуры и масштабирования ресурсов СЗИ. Программное обеспечение, предлагаемое к использованию в СЗИ, должно соответствовать современным мировым требованиям по функциональному назначению, поддерживать основные протоколы совместимости и обмена, иметь российские или международные сертификаты соответствия.
Все виды аппаратного и программного обеспечения, предлагаемое к использованию в СЗИ, должны быть серийными продуктами, объявленными для коммерческой продажи, иметь возможность гарантийного обслуживания и реально поддерживаться фирмами-производителями.
Всё компьютерное оборудование для использования в СЗИ должно поставляться с развитыми средствами интеллектуального мониторинга, настройки и диагностики.
Специальное программное обеспечение СЗИ должно иметь исходные тексты, полную проектную и рабочую документацию, переданные Заказчику, или поддерживаться производителями на основе долгосрочного договора.
Разработка СЗИ должна производиться на аппаратных средствах Исполнителя. В ходе передачи системы в эксплуатацию Исполнителем должен производиться перенос разработанного программного обеспечения СЗИ на аппаратные средства Заказчика (платформа Sun-Solaris-Oracle).
Разделение доступа
Система должна обеспечивать корректное разделение прав пользователей. Базовое программное обеспечение системы должно быть проверено на отсутствие известных уязвимостей к атакам на отказ и на несанкционированный доступ.
|
|
|
Система должна обеспечивать защиту от несанкционированного доступа и изменения содержимого портала стандартными средствами используемого web-сервера и операционной системы.
Аутентификация для работы с публикационными разделами подсистемы должна производиться по персональным именам пользователя и паролю. Каждому пользователю может быть предоставлено право на совершение определенных действий с теми или иными типами документов и разделами Системы:
· просмотр элементов;
· добавление элементов;
· редактирование элементов;
· удаление элементов;
· визирование элементов (установки флага "публикация");
· редактирование прав доступа к разделу.
По умолчанию все действия для вновь аккредитуемых пользователей должны быть запрещены. Каждое из вышеуказанных действий может быть по отдельности разрешено или запрещено для определенного пользователя для каждого из разделов Системы.
В Системе должна существовать возможность входа под главной административной учетной записью, которая должна предоставлять право на совершение любых предусмотренных функционалом действий в любых разделах Системы.
Управление доступом пользователей к Системе
Для управления доступом пользователей к ресурсам администратор Системы должен иметь возможность выполнять следующие действия:
· просматривать список пользователей Системы;
· добавлять и удалять учетные записи пользователей;
· блокировать учетную запись пользователя без удаления ее из базы данных;
· назначать роли пользователям;
· просматривать журнал действий авторизованных пользователей.
Требования к ведению статуса информационных ресурсов
В процессе функционирования Системы должен поддерживаться статус информационных ресурсов с соблюдением следующих требований:
|
|
|
· Регламент информационной поддержки должен предусматривать процедуры определение статуса публикуемой информации (документов, материалов);
· Статус документа и ответственность федерального органа за его содержание (состояние) должны указываться в специальном тексте (соглашения, оговорки, примечания), размещаемом на странице раздела (рубрики) или на странице конкретной публикации;
· Для различных видов официальной информации также могут устанавливаться оговорки по поводу тождественности документа в электронной форме и документа в твердой копии;
· Публикация текста (соглашения, примечания, оговорки) о статусе должна быть обязательной при использовании информационных материалов (документов) сторонних источников (новости агентств, материалы независимых Интернет-сайтов, публикаций независимых авторов);
· Примечания (оговорки) по статусу информации должны делаться независимо от режима публикации (размещения) содержания на страницах;
· При публикации сведений об информационных ресурсах или услугах, находящихся в ведении тех или иных федеральных органов власти, текст соответствующих публикаций должен предварительно согласовываться с указанными органами.
Требования по сохранности информации при авариях
Сохранность информации при сбоях и авариях должна достигаться для баз данных, файлов данных на файловых серверах – за счет архитектуры построения технических средств и программного обеспечения Системы.
При этом, должно быть обеспечено восстановление данных в базах данных и восстановление файлов с данными на серверах по состоянию на момент времени, не превышающий более чем 10 часов от момента сбоя или аварии технических и программных средств, обеспечивающих хранение этих данных. Время выполнения процесса восстановления данных не должно превышать 3 часа.
Кроме этого, должна быть предусмотрена система долговременного архивирования данных и файлов, размещаемых на серверной части системы, для обеспечения сохранности вышеуказанных данных в случае форс-мажорных обстоятельств, пожаров, стихийных бедствий и т.д. Еженедельно должен формироваться полный архив данных, в двух экземплярах, один из которых должен храниться непосредственно в месте размещения Системы, другой в помещении с контролируемым ограниченным доступом (порядок доступа к архиву должен определяться руководством ЦА Минэкономики России) в здании, отличном от того, где физически размещена Система.
|
|
|
Для обеспечения сохранности пользовательских данных архитектурой построения Системы должно быть предусмотрено хранение информации исключительно в базах данных и файлах, размещаемых на серверах Системы.
Требования к защите от влияния внешних воздействий
Требования к радиоэлектронной защите средств Системы, требования по стойкости, устойчивости и прочности к внешним воздействиям (среде применения) – не предъявляются.
|
|
|
