Требования по обеспечению информационной безопасности При настройке АСР предусматривается обеспечение информационной безопасности (ИБ) в соответствии с ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности.
На этапе ввода в действие к настроенной АСР предъявляются следующие требования:
В АСР используется только сертифицированные лицензионные программные средства.
Сопряжение АСР с иными информационными системами осуществляется только с использованием программно-аппаратных средств (межсетевых экранов), сертифицированных по требованиям безопасности информации. Подключение рабочих мест пользователей АСР производится по доверенной среде (КСПД, VPN-сети).
Программное обеспечение (операционная система) АСР позволяет реализовать идентификацию пользователей, обновляемое разграничение прав доступа к ресурсам и назначение прав пользователей.
Разграничение прав доступа к ресурсам, назначение прав пользователей и блокирование доступа осуществляется с выделенной рабочей станции (рабочая станция и резервная станция) администратора АСР (администратора безопасности АСР). Идентификация и аутентификация администратора АСР (администратора безопасности АСР) реализуется специальными программно-аппаратными средствами предотвращения несанкционированного доступа.
Средства управления и мониторинга АСР выделены в отдельный сегмент. Интерфейсы управления серверами баз данных и приложений, системами хранения данных собраны в выделенный VLAN, не имеющий доступа из КСПД.
АСР обеспечивает резервное копирование информации об абонентах и оказанных услугах согласно ТЗ, а также хранение данной информации в виде баз данных в течение 3 (трех) лет.
АСР обеспечивает протоколирование событий информационной безопасности. Доступ к протоколам разрешен только с рабочей станции администратора АСР (администратора безопасности АСР).
Требования к использованию лицензионного программного обеспечения При использовании при настройках АСР программ (программных комплексов или компонентов), разработанных третьими лицами, условия, на которых передается право на использование (исполнение) этих программ, не должны накладывать ограничений, препятствующих использованию системы по ее прямому назначению.
Требования к документированию Документация представляется Заказчику Подрядчиком в 2 (двух) экземплярах в печатном виде (оригинал), а также в электронном виде в 1 (одном) экземпляре в форматах MS Word и pdf.
Требования к составу, структуре и способам организации баз данных В АСР должен быть настроен механизм контроля вводимых и загружаемых данных для минимизации количества ошибок.
Проверка данных, вводимых пользователями, должна осуществляться следующими способами:
Автоматически должен осуществляться контроль допустимости типа вводимых данных – форматный контроль.
Визуально должен осуществляться контроль данных пользователями, осуществляющими ввод. Автоматическая проверка дублирования данных по ключевым полям, например: ИНН\КПП – для юридических лиц; № паспорта, ФИО, дата рождения – для физических лиц. Проверка данных, загружаемых из внешних систем, должна осуществляться двумя способами:
Автоматически должен осуществляться контроль допустимости типа загружаемых данных.
Автоматически должен осуществляться контроль на соответствие атрибутов объектов, в разрезе которых загружаются данные, атрибутам объектов АСР.
Контроль ввода и изменения данных также может осуществляться администратором АСР посредством настройки автоматического аудита истории изменения данных пользователями.
В АСР должен быть реализован механизм резервного копирования и восстановления её данных и метаданных. Копирование и восстановление реляционных баз данных должно осуществляться стандартными средствами используемых СУБД.
|