Требования к информационной безопасности В системе АСУ ИС должен вестись аудит действий администраторов и пользователей с гарантированным сроком хранения журналов аудита не менее 12 месяцев, позволяющий отслеживать:
Неудачные попытки входа в систему, с указанием откуда осуществлялся доступ (IP-адрес);
Все открывавшиеся мультисессии, с указанием откуда осуществлялся доступ (IP-адрес), а также попытки открытия мультисессий с разных IP-адресов;
Учётные записи, по которым не было движения в течение 90 дней;
Учётные записи, по которым первоначальный пароль не был сменен в течение 7 дней;
Все входы в систему (время начала сессии, время окончания сессии, имя пользователя (логин), откуда осуществлялся доступ (IP-адрес);
Кто, когда, откуда (IP-адрес) и какой отчёт из системы выдал (с параметрами отчёта);
Кто, когда, откуда (IP-адрес) и какие данные внёс/изменил.
Подсистема управления доступом пользователей должна обеспечивать:
Поддержку процедуры обеспечения централизованного управления правами доступа пользователей или групп пользователей АСУ ИС на основании ролевого механизма разграничения доступ;
Возможность внедрения и контроль политик ведения паролей, в соответствии с И ДБ 3-03-2005 «Инструкция по работе с паролями»;
Отсутствие технической возможности для администраторов системы узнать пользовательские пароли (пароли должны храниться в системе в зашифрованном виде);
Возможность принудительной смены пароля пользователя по умолчанию при первом входе в систему. Если первый вход и смена пароля по умолчанию не произведены в течение 7 дней, то учётная запись должна блокироваться. Должна быть предусмотрена привилегия пользователя, отменяющая данное требование,
Должен быть исключён несанкционированный доступ к аппаратной части системы, в которой хранится и обрабатывается информация.
Внедрение различных технологий беспроводного доступа к ресурсам АСУ ИС должно письменно согласовываться со службой безопасности.
Должна быть предусмотрена система и регламент резервного копирования данных АСУ ИС
Требования к видам обеспечения
Программный модуль АСУ ИС должен быть интегрирован
с корпоративной информационной системой (КИС), реализованной на базе программного продукта компании Oracle;
с сайтами подразделений и сайтом ОАО «ММК» (www.mmk.ru);
с электронной почтой Microsoft Outlook;
с пакетом программ Microsoft Office.
Формирование отчётов на базе программного продукта Business Objects:
отчеты по критериям (согласно исходным требованиям);
отчеты по любому из заданных параметров (согласно исходным требованиям).
Все документы АСУ ИС должны иметь функцию печати на бумажный носитель непосредственно из программного модуля с возможностью задания области печати.
Состав и содержание работ по созданию системы
Разработка системы осуществляется согласно договору на разработку системы. Сроки разработки: начало 08.04.2013г., окончание 1 сентября 2013 г. (ввод в опытно-промышленную эксплуатацию всех модулей). Ввод в промышленную эксплуатацию 1 октября 2013 г.
Этапы разработки: каждый этап - разработка соответствующего модуля с подготовкой к дальнейшей интеграции, заключительный этап – взаимосвязь между модулями и интеграция системы в целом.
Порядок контроля разработки и приёмки системы
Система разрабатывается и сдается по-модульно, сначала в опытную эксплуатацию (по мере разработки отдельных модулей). После проведения опытной эксплуатации отдельных модулей, сборки системы в комплексе и проведения опытной эксплуатации системы в целом осуществляется приемка системы в промышленную эксплуатацию.
Руководством заказчика назначаются лица, ответственные за проведение опытной эксплуатации, как отдельных модулей, так и системы в комплексе.
Во время опытной эксплуатации оформляется и утверждается список замечаний к модулю (системе).
Приемка системы в эксплуатацию осуществляется комиссией, формируемой заказчиком из специалистов по усмотрению заказчика.
Требования к документированию
При сдаче системы в эксплуатацию разработчик предоставляет заказчику следующую документацию:
Руководство по установке системы.
Инструкция пользователя для каждого профиля (описание работы с главными экранными формами).
Инструкция администратора системы по работе с БД.
Инструкция по корректировке заданий и доступных параметров системы.
|