Требования к доступности Требования к доступности должны соответствовать требованиям к доступности существующих систем, которые входят в объем проекта.
Требования к безопасности Программно-аппаратные средства системы должны обеспечивать безопасность обслуживающего персонала при монтаже, эксплуатации и техническом обслуживании (с учетом требований ГОСТ 21552-84, ГОСТ 25861-83).
Электробезопасность должна соответствовать требованиям ГОСТ 12.1.030-81, ГОСТ 12.2.003, ГОСТ 12.2.007.0-75 и ГОСТ 12.2.007.13-2000.
Технические средства должны отвечать действующей системе государственных стандартов безопасности труда и иметь сертификаты по электробезопасности и электромагнитной безопасности.
Должно быть обеспечено соответствие требованиям экологических, санитарно-гигиенических, противопожарных и других норм, действующих на территории Российской Федерации, обеспечивающих безопасную для жизни и здоровья людей эксплуатацию системы. Решения по выбору оборудования и его размещению должны соответствовать требованиям СанПиН 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы», а также к помещениям для работы с ПЭВМ, микроклимату, содержанию аэрофонов и вредных химических веществ в воздухе на рабочих местах, оборудованных ПЭВМ, уровням шума и вибрации на рабочих местах, освещению на рабочих местах, инфракрасному, ультрафиолетовому, рентгеновскому и электромагнитному излучениям, уровням электромагнитных полей на рабочих местах, визуальным параметрам ВДТ, контролируемым на рабочих местах. Допустимые электромагнитные поля радиочастот на рабочих местах должны соответствовать ГОСТ 12.1.006-84.
Требования к эргономике и технической эстетике Автоматизированные рабочие места персонала, использующего Систему в своей деятельности, должны оборудоваться в соответствии с Санитарными Правилами и Нормами СанПиН 2.2.2/2.4.1340-03 (с изменениями от 03 сентября 2010 г.) - "Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работ" с учетом № 52-ФЗ от 30.03.1999г. «О санитарно-эпидемиологическом благополучии населения».
Система должна иметь русифицированный интерфейс. Интерфейс должен быть прост, нагляден, интуитивно понятен и легок в освоении и должен удовлетворять следующим требованиям по эргономике и технической эстетике:
обеспечивать минимум усилий пользователя для навигации по функциям Системы;
обеспечивать легкую идентификацию раздела, в котором находится пользователь и однозначность в понимании назначения пунктов меню или его аналога;
выполнение схожих функций схожими методами;
при возникновении ошибок, связанных с неправильными действиями пользователя (ввод некорректных данных, отсутствие обязательных значений), должны выдаваться сообщения с пояснениями, достаточными для понимания ошибки и ее исправления;
при работе с атрибутами карточки объектов Системы обеспечивать максимальное автоматическое заполнение данных;
обеспечивать явное подтверждение пользователем:
сохранения вводимой или изменяемой в диалоге информации;
принятия решений, влияющих на продвижение объектов по жизненному циклу;
интерфейс должен быть рассчитан на использование пользователями мониторов с разрешением и цветовой палитрой в соответствии со стандартами ПАО «ФСК ЕЭС»;
цветовое решение интерфейса должно быть выдержано в спокойных тонах, не вызывающих утомление.
Требования к защите информации от несанкционированного доступа При проектировании Системы, должны быть учтены требования ОРД в области информационной безопасности, действующие в ПАО «ФСК ЕЭС»:
СТО 56947007-29.240.01.149-2013 «Система обеспечения информационной безопасности ОПО «ФСК ЕЭС». Требования к информационным системам ОАО «ФСК ЕЭС», утвержденные приказом от 24.06.2003 № 378;
СТО 56947007-29.240.01.147-2013 Система обеспечения информационной безопасности ПАО «ФСК ЕЭС». Общие положения», утвержденные приказом от 24.06.2003 № 378, утвержденные приказом от 24.06.2003 № 378;
Типовые требования к системе антивирусной защиты в ПАО «ФСК ЕЭС», утвержденные распоряжением от 01.09.2015 № 510р.
Должна быть обеспечена защита информации от несанкционированного доступа, в том числе:
Должно вестись журналирование информации о действиях всех учетных записей в системе, включая учетный записи администраторов и консультантов.
Все пароли должны быть приведены к нечитаемому виду при передаче и хранении.
Уровень привилегий учетной записи должен соответствовать возложенным на сотрудника полномочиям, избыточных привилегий быть не должно.
При взаимодействии с системами входящими в КИСУ ПАО «ФСК ЕЭС» должны быть обеспечены:
механизмы обеспечения целостности и конфиденциальности информации, передаваемые по каналам связи между компонентами системы;
должна осуществляться аутентификация и идентификация взаимодействующих компонентов.
Пользователи должны быть лишены возможности непосредственного доступа к данным системы (минуя интерфейсы серверов приложений).
Базовым способом аутентификации пользователей в Системе должна быть аутентификация по сочетанию персонального идентификатора имени пользователя (login) и пароля (password). В качестве более защищенного способа аутентификации пользователей в Системе возможно использование аутентификации по сертификату.
Система должна предоставлять возможность разграничения прав доступа на уровне объектов, документов и пользователей. Рекомендуемыми субъектами назначения прав доступа должны являться группы пользователей, задаваемые средствами администрирования.
В Системе должны быть предусмотрены:
Использование ролевой модели доступа к данным;
Возможность назначения прав доступа к объектам в соответствии с иерархической структурой ПАО «ФСК ЕЭС» и определение прав доступа на основе принадлежности к определенному подразделению ПАО «ФСК ЕЭС»;
Управление доступом к функциям Системы в соответствии с ролями пользователей;
Возможность идентификации и проверки подлинности субъектов доступа при входе в Систему. Обеспечение доступа в Систему только для зарегистрированных пользователей, прошедших процедуру аутентификации в Системе;
Аудит системных событий и действий пользователей.
|