Утверждаю:
Директор
Департамента стратегического
Развития Тюменской области
А. А. Демченко
____________________________
Приложение № 1
к Опросному листу ИС
Методика заполнения формы опросного листа к
Информационной системе.
Список сокращений:
ИС – Информационная система.
ПО – Программное обеспечение.
ОИВ – Орган исполнительной власти.
ОМСУ – Органы местного самоуправления.
ДСР – Департамент стратегического развития Тюменской области.
ФСТЭК - Федеральная служба по техническому и экспортному контролю
ФСБ – Федеральная служба безопасности
ФАПСИ – Федеральное агентство правительственной связи и информации.
СОБИ – Система обеспечения безопасности информации.
ППО – Прикладное программное обеспечение.
ТЗ – Техническое задание.
ТРП – Техно-рабочий проект
НСД – Несанкционированный доступ
ПЭМИН – побочные электромагнитные излучения и наводки.
СВТ – средство вычислительной техники.
ОБИ – обеспечение безопасности информации
Общие понятия и положения:
Информационная система (ИС) — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Государственная информационная система представляет собой информационную систему, эксплуатируемую органом исполнительной власти.
Оператор – организация или подразделение в составе ОИВ, ответственная за функционирование и эксплуатацию ИС
Порядок заполнения полей и предоставления данных:
На каждую ИС заполняется отдельная форма опросного листа.
Данные считаются актуальными только на момент заполнения реестра.
Достоверность значений по всем пунктам должна быть подтверждена документально.
Все поля являются обязательными к заполнению.
Информация по всем незаполненным пунктам считается отсутствующей.
В случае невозможности заполнения каких-либо пунктов, необходимо оставить текстовый комментарий-пояснение непосредственно в тексте пункта.
При отсутствии информации по отдельным пунктам, все уточнения о порядке заполнения этих пунктов, должны согласовываться с куратором по заполнению реестра.
Классы информационных систем, по которым не требуется заполнение форм опросных листов :
Операционные системы (Windows XP, Windows Vista и т.п.) .
Офисные пакеты и их компоненты (Microsoft Office и т.п.).
Антивирусное программное обеспечение.
Архиваторы (WinRAR, 7-zip, WinZip и т.п.).
5. Программное обеспечение, не относящееся к основной деятельности ОИВ (ПО для сканирования, графические редакторы, веб-браузеры и т.п.)
Дополнительная информация, которую необходимо к форме заполненного опросного листа:
Копии всех упоминаемых при заполнении формы документов (контракты, лицензии, сертификаты и т.п.).
Схему физического расположения серверов по ОИВ.
Копию актуальной схемы компьютерной сети с указанием привязки вносимых в реестр ИС.
Правила и пояснения для заполнения формы опросного листа:
Наименование ОИВ.
Указывается полное наименование органа исполнительной власти.
Реализуемые (покрываемые) полномочия и/или функции ОИВ.
Под полномочиями и/или функциями ОИВ, понимается функция и полномочия органа исполнительной власти, вверенные ему положением органа власти.
Наименование ИС.
Наименование информационной системы заполняется согласно Паспорту ИС (либо из любого другого официального документа по данной ИС).
Описание ИС.
Описание информационной системы является ключевым полем, которое показывает назначение системы и должно максимально отражать задачи и исполняемые функции системы.
Разработчик ИС.
Указывается непосредственный разработчик информационной системы.
Заказчик ИС.
Указывается непосредственный заказчик информационной системы по государственному контракту.
Номер Государственного контракта.
Указывается номер согласно Государственному контракту.
Срок действия Государственного контракта.
Указывается срок действия согласно Государственному контракту.
Цена Государственного контракта.
Указывается цена согласно Государственному контракту.
Лицензии, используемые при создании ИС (номер, дата, разработчик).
Указываются лицензии правообладателя информационной системы, используемые разработчиком при создании ИС.
Количество приобретенных лицензий на ИС.
В случае приобретения не исключительных прав указывается количество приобретенных лицензий с указанием типов лицензий (лицензирование по количеству пользователей, по процессорным ядрам, срочные, бессрочные).
Источник финансирования поддержки системы
Указывается источник из которого финансируется поддержка ИС.
Источник финансирования Государственного контракта
Указывается источник из которого финансируется разработка ИС.
Количество ОИВ – пользователей ИС.
Указывается количество органов исполнительной власти (с приложением перечня) использующих информационную систему.
Количество пользователей системы (рабочих мест).
Указывается количество пользователей (рабочих мест), зарегистрированных в ИС.
Балансодержатель.
Указывается орган исполнительной власти, на балансе которого стоит данная ИС.
Инвентарный номер ИС.
Указывается инвентарный номер ИС согласно балансовой ведомости органа исполнительной власти.
Оператор ИС (реквизиты документа о назначении).
Указывается непосредственный оператор информационной системы с указанием реквизитов документа о назначении (либо наименование организации, непосредственно обслуживающей данную систему). Копия договора на обслуживание ИС должна быть приложена к пакету документов.
Сводные прямые затраты на обслуживание ИС в год.
Указываются источники финансирования и сводные затраты на обслуживании информационной системы за последний год эксплуатации.
Версия ИС.
Указывается текущая версия используемой информационной системы.
Дата ввода в эксплуатацию.
Указывается дата ввода информационной системы в эксплуатацию (либо планируемая дата ввода в эксплуатацию) в формате "день, месяц, год" (00.00.0000).
Дата вывода из эксплуатации.
Указывается дата вывода информационной системы из эксплуатации (либо планируемая дата вывода из эксплуатации) в формате "день, месяц, год" (00.00.0000).
Дата последней модификации.
Указывается дата последней модификации системы в формате "день, месяц, год" (00.00.0000). Под модификацией подразумевается изменение версии информационной системы, добавление новых модулей, либо составных частей системы, а также изменение или расширение круга задач, выполняемых системой.
Местоположение центрального сервера ИС.
Указывается территориальное расположение головного сервера информационной системы (фактический почтовый адрес, номер кабинета).
Аппаратные требования ИС для рабочего места согласно ТП.
Указываются требования к аппаратным ресурсам рабочего места пользователя информационной системы согласно рабочей документации (либо технического проекта).
Аппаратные требования ИС для центрального сервера согласно ТП.
Указываются требования к аппаратным ресурсам рабочего места сервера информационной системы согласно рабочей документации (технического проекта).
Тип системы (клиент-сервер, тонкий клиент, толстый клиент, локальная).
Под типом системы подразумевается, является ли информационная система клиент-серверным приложением. Если да, то необходима ли установка на рабочие места пользователей дополнительных программных средств.
Дополнительные требования для эксплуатации ИС (лицензии на ПО).
Указываются требования информационной системы к лицензированию с приложением перечня дополнительного общесистемного ПО с указанием лицензий.
Потребность в локальной сети.
Указывается, есть ли необходимость при работе системы получать или передавать данные посредством локальной сети.
Наличие согласования с ДСР по приобретению ИС.
Указывается, согласовано ли приобретение данной ИС с Департаментом стратегического развития Тюменской области.
Характер хранимых данных (персональные, конфиденциальные, открытые и т.д.).
Необходимый параметр выбирается из выпадающей строки в соответствии с документацией данной ИС.
Срок необходимого хранения данных.
Указывается необходимый минимальный срок гарантированного хранения данных.
Взаимосвязь с ОМСУ.
Указывается, связано ли функционирование данной ИС с деятельностью органов местного самоуправления (передаётся, принимается или используется информация от ОМСУ).
Объем базы данных системы.
Указывается общий объём базы данных в мегабайтах на момент заполнения формы.
Увеличение объёма базы данных за год (прогноз)
Указывается прогнозируемый (оценочный) объём увеличения базы данных за текущий год ( в мегабайтах).
Перечень действующих регламентов по работе системы.
Указывается, имеются ли разработанные регламенты эксплуатации системы (регламенты по резервному копированию, регламенты по восстановлению системы в случае аварий, регламенты (политики) информационной безопасности).
Основания для создания (нормативно-правовые акты).
Указываются нормативно-правовые акты, согласно которым была создана система, а также наличие общего задания на создание и развитие подсистем как объекта информатизации (полные названия документов: ТЗ, ТРП, и т.п.)
Уровень подготовки персонала, использующего подсистему.
Оценить уровень подготовки персонала использующего подсистему как: высокий, средний, низкий.
Компетенции обслуживающего персонала (образование, опыт работы).
Указывается компетентность обслуживающего персонала оператора: наличие профильного образования, опыта работы с данной либо подобной ИС. В случае отсутствия штатного персонала, указать точное наименование обслуживающей организации.
Критичность отказа системы.
Указать, каким образом отказ функционирования данной ИС повлияет на выполнение функций, возложенных на орган исполнительной власти, использующий данную информационную систему.
Отказ системы считается критичным в случае, если орган исполнительной власти не может выполнять возложенную на него функцию либо существенно ограничен в её выполнении.
Отказ системы является некритичным, если орган исполнительной власти имеет дублирующий механизм (другая ИС или возможность выполнения данной функции без участия данной ИС, в ручном режиме).
Справочники, используемые в ИС.
Указать перечень справочников, использующихся данной ИС в работе (адресные справочники, классификаторы и т.п.)
Наличие документации на ИС.
Указывается наличие документации на данную ИС (проектной, конструкторской, эксплуатационной и т.п.), а также её актуальность (соответствие текущему состоянию развития ИС).
Состав используемых аппаратных и общесистемных программных средств и их размещение, наличие предписаний, сертификатов и других аттестационных документов на применяемое ПО и СВТ.
Заполнить поле соответствующей информацией.
Средства защиты информации ИС.
(для заполнения рекомендуется привлекать ответственного за техническую защиту информации, если такой сотрудник назначен)
Сертификаты системы (ФСТЭК, ФСБ, ФАПСИ и т.п.).
Указывается перечень сертификатов информационной системы, если таковые имеются (обычно это сертификаты компонентов информационной системы – межсетевых экранов, систем защиты от несанкционированного доступа и т.д.).
Организационные мероприятия по информационной безопасности.
Указывается, проводились ли мероприятия по предотвращению рисков несанкционированного доступа к информационной системе (документальное оформление порядка доступа к ИС, порядка работы в ИС, обучение сотрудников, установка и настройка средств защиты информации и т.п.)
Класс защищённости системы.
Указывается для систем, в которых обрабатывается конфиденциальная информация – согласно СТР-К (например 1В, 2А). Для систем, в которых обрабатываются персональные данные – по документам ФСТЭК (например, «1 класс»).
Наличие в ТЗ на создание ИС требований к СОБИ.
Указывается, существует ли в разработанном ТЗ к данной ИС специальный раздел по требования по СОБИ.
Текущее состояние ПО.
Выбирается подходящее значение из следующих характеристик: внедрение, разработка, внедрение, эксплуатация.
Краткая характеристика обрабатываемой ИС информации.
Выбирается подходящее значение из следующих характеристик: входная, промежуточная и выходная информация.
Источники входной информации ИС.
Указываются подразделения ОИВ и внешние организации, от которых поступает обрабатываемая в ИС информация (файлы либо документы на бумажном носителе, информация с которых вводится в ИС).
Потребители информации ИС.
Указываются подразделения ОИВ и внешние организации, которым передаётся обработанная в ИС информация (за исключением сотрудников, непосредственно входящих в штат ОИВ, непосредственно использующего данную систему).
Взаимодействия с другими ИС.
Указывается характер взаимодействия с другими ИС по обмену информацией:
- точное наименование иных ИС
- способы взаимодействия.
- применяемые меры и средства правовой поддержки, разграничения ответственности с взаимодействующими ИС по вопросам обеспечения требуемых свойств (доступности, целостности, конфиденциальности информации), пересылаемой информации (кроме документов, регламентирующих порядок разбора конфликтных ситуаций, их следует указывать в п. 54).
Режим обработки данных.
Выбирается подходящее значение из следующих характеристик: однопользовательский либо многопользовательский.
Если режим многопользовательский, то необходимо указать, равные или не равные у пользователей права на доступ к информации, хранящейся в данной ИС.
Специальные требования к сотрудникам использующим ИС.
Указывается необходимость наличия допусков, сертификатов и т.п. у сотрудников, непосредственно работающих с данной ИС.
Описание наиболее вероятных угроз безопасности.
Физические преднамеренные:
Отмечаются соответствующие поля в случае отсутствия в ОИВ мер по защите места расположения серверов данной ИС от доступа посторонних и возможности возникновения указанных угроз.
Физические непреднамеренные:
Отмечается соответствующее поле в случае отсутствия мер по сохранению работоспособности технических средств (невозможности оперативной замены вышедшего из строя оборудования).
Информационные преднамеренные:
Отмечается соответствующее поле в случае отсутствия мер защиты ИС от указанных угроз.
Информационные непреднамеренные:
Отмечается соответствующее поле в случае отсутствия механизмов защиты ИС от указанных угроз.
Наличие документов по защите интересов ОИВ, регламентирующих порядок разбора конфликтных ситуаций при взаимодействии с внешними организациями (например, при утечке информации, законно полученной от ОИВ сторонней организацией в рамках взаимодействия их информационных систем).
Указывается наличие соответствующих документов
Наличие документов, регламентирующих действия персонала при возникновении нештатных (аварийных) ситуаций. Наличие средств обеспечения непрерывной работы и восстановления системы.
Указывается наличие соответствующих документов
Наличие инструкций, регламентирующих действия конечных пользователей ИС по вопросам ОБИ. Наличие журнала по учёту проверки знаний положений данных инструкций пользователями.
Указывается наличие соответствующих документов
Используемые физические средства защиты, соблюдение режимных требований, соответствие помещений, в которых осуществляется обработка информации ограниченного доступа, требованиям нормативных документов.
Указывается, каким образом организовано управление доступом в помещения и соблюдение остальных режимных требований в помещениях (наличие пропускного режима, охранной сигнализации, пожарной сигнализации, регламентов доступа), а также где находятся компоненты информационной системы (рабочие станции, серверы, коммуникационное оборудование).
Меры административной поддержки применяемых физических и технических средств защиты ИС.
Указать наличие документов, направленных на дополнение возможностей комплексов защиты от НСД и других технических средств защиты организационными мерами (например, документы о разграничении доступа пользователей к персональным данным в бухгалтерских системах либо регламентирующие назначение прав пользователей)
Дальнейшие пункты заполняются при наличии в ИС
персональных или конфиденциальных данных.
Соответствие подсистем ИС требованиям защиты от утечки информации по техническим каналам (ПЭМИН, акустический, визуальный и т.д.), наличие необходимых документов аттестации и категорирования подсистем.
Указать наличие аттестата и срок его окончания.
Порядок ввода, учета, хранения, вывода, регистрации и использования конфиденциальной информации на отчуждаемых носителях (в том числе бумажных). Порядок архивирования входных и выходных данных.
Указать наличие документов, регламентирующих порядок ввода, учета, хранения, вывода, регистрации и использования конфиденциальной информации и персональных данных на отчуждаемых носителях (в том числе бумажных), архивирования данных (включая создание резервных копий данных, хранимых в информационной системе, а не только входных и выходных данных).
Маркировка документов, выдаваемых на печать.
Указать наличие документов, регламентирующих порядок маркировки документов, выдаваемых на печать.
Контроль над порядком размножения документов.
Указать наличие документов, регламентирующих порядок контроля над размножением документов, содержащих конфиденциальную информацию или персональные данные.
Наличие документов и инструкций, регламентирующих порядок осуществления конфиденциального делопроизводства.
Указать наличие соответствующих документов.
|
