Распоряжение Главного управления гражданской защиты Московской области от 28.04.2022 N РВ-28/39-06 "Об утверждении технической политики в сфере информационных технологий в Главном управлении гражданской защиты Московской области"

В целях обеспечения устойчивого функционирования и планового развития информационной инфраструктуры Главного управления гражданской защиты Московской области и подведомственных ему учреждений:

1. Утвердить техническую политику в сфере информационных технологий в Главном управлении гражданской защиты Московской области.

2. Начальникам подведомственных учреждений Главного управления гражданской защиты Московской области руководствоваться настоящим распоряжением в работе.

3. Контроль за исполнением настоящего распоряжения возложить на заместителя руководителя Главного управления гражданской защиты Московской области в ранге министра Молчанова Б.В.

Руководитель Главного управления гражданской защиты Московской области в ранге министра

С.В. Самолевский

Утверждена
распоряжением Главного управления
гражданской защиты
Московской области
от 28.04.2022 N РВ-28/39-06

Техническая политика
в сфере информационных технологий в Главном управлении гражданской защиты Московской области

1. Общие положения

Настоящая техническая политика в сфере информационных технологий (далее - ИТ) в Главном управлении гражданской защиты Московской области (далее - Политика) определяет цели и задачи установления единых правил унификации и типизации технологий и оборудования, направленных на повышение качества информационной структуры в Главном управлении гражданской защиты Московской области (далее - Главное управление) и в казенных учреждениях (далее - Учреждения), находящихся в ведении Главного управления.

Политика в сфере ИТ содержит совокупность технических требований и рекомендаций, которые дополняют существующие нормативные документы в сфере ИТ. Требования Политики в сфере ИТ распространяются на автоматизированные рабочие места (далее - АРМ), периферийные устройства, информационные системы (далее - ИС), общесистемное программное обеспечение АРМ пользователей, средства защиты информации в целях повышения эффективности их использования, а также сокращения совокупной стоимости. Соблюдение требований Политики в сфере ИТ является обязательным для Главного управления и учреждений.

Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах.

Плановая актуализация настоящей Политики производится ежегодно и имеет целью приведение в соответствие определенных политикой рекомендуемых мер и мероприятий реальным условиям и текущим требованиям к техническим средствам и информационным системам.

Ответственность за актуализацию Политики (плановую и внеплановую) несет ответственное лицо по вопросам ИТ.

Контроль за исполнением требований и рекомендаций настоящей Политики и поддержание ее в актуальном состоянии возлагается на ответственное лицо по вопросам ИТ.

2. Нормативные документы

Нормативные правовые акты, которые в совокупности определяют и регламентируют порядок действий в части взаимодействия с ИТ:

Бюджетный кодекс Российской Федерации (далее - БК РФ);

Федеральный закон от 26.07.2006 N 135-ФЗ "О защите конкуренции" (далее - Федеральный закон N 135-ФЗ);

Федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (далее - Федеральный закон N 44-ФЗ);

Указ Президента Российской Федерации от 02.07.2021 N 400 "О Стратегии национальной безопасности Российской Федерации" (далее - Указ Президента Российской Федерации N 400);

постановление Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" (далее - постановление Правительства Российской Федерации N 1236);

постановление Правительства Российской Федерации от 10.07.2019 N 878 "О мерах стимулирования производства радиоэлектронной продукции на территории Российской Федерации при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, о внесении изменений в постановление Правительства Российской Федерации от 16 сентября 2016 г. N 925 и признании утратившими силу некоторых актов Правительства Российской Федерации" (далее - постановление Правительства Российской Федерации N 878);

постановление Правительства Российской Федерации от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" (далее - постановление Правительства Российской Федерации N 676);

постановление Правительства Российской Федерации от 23.03.2017 N 325 "Об утверждении дополнительных требований к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения, и внесении изменений в Правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных" (далее - постановление Правительства Российской Федерации N 325);

постановление Правительства Российской Федерации от 08.06.2018 N 658 "О централизованных закупках офисного программного обеспечения, программного обеспечения для ведения бюджетного учета, а также программного обеспечения в сфере информационной безопасности" (далее - постановление Правительства Российской Федерации N 658);

постановление Правительства Российской Федерации от 30.04.2020 N 616 "Об установлении запрета на допуск промышленных товаров, происходящих из иностранных государств, для целей осуществления закупок для государственных и муниципальных нужд, а также промышленных товаров, происходящих из иностранных государств, работ (услуг), выполняемых (оказываемых) иностранными лицами, для целей осуществления закупок для нужд обороны страны и безопасности государства" (далее - постановление Правительства Российской Федерации N 616);

приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" (далее - инструкция);

приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (далее - требования);

приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

методические рекомендации приказа Министерства связи и массовых коммуникаций Российской Федерации от 22.08.2013 N 220 "Об утверждении методических рекомендаций для исполнительных органов государственной власти субъектов Российской Федерации по осуществлению учета и классификации информационных систем и компонентов информационно-телекоммуникационной инфраструктуры, создаваемых и приобретаемых за счет средств бюджетов субъектов Российской Федерации, а также по составу сведений, размещаемых в системе учета информационных систем" (далее - Методические рекомендации);

Закон Московской области от 10.07.2009 N 80/2009-ОЗ "О государственных информационных системах Московской области и обеспечении доступа к содержащейся в них информации" принятый постановлением Московской областной Думы от 02.07.2022 N 1/85-П (далее - Закон Московской области N 80/2009-ОЗ);

Положение о Министерстве государственного управления, информационных технологий и связи Московской области, утверждённое постановлением Правительства Московской области от 13.06.2012 N 820/19 (далее - Положение Мингосуправления Московской области);

постановление Правительства Московской области от 27.12.2013 N 1184/57 "О порядке взаимодействия при осуществлении закупок для государственных нужд Московской области и муниципальных нужд" (далее - Порядок взаимодействия при осуществлении закупок);

постановление Правительства Московской области от 29.12.2015 N 1412/49 "Об утверждении Правил определения нормативных затрат на обеспечение функций центральных исполнительных органов государственной власти Московской области, государственных органов Московской области, органа управления территориального государственного внебюджетного фонда Московской области, в том числе подведомственных им государственных казенных учреждений Московской области" (далее - Правила определения нормативных затрат);

постановление Правительства Московской области от 29.08.2017 N 715/31 "Об утверждении Порядка составления проекта бюджета Московской области и проекта бюджета Территориального фонда обязательного медицинского страхования Московской области на очередной финансовый год и плановый период" (далее - постановление Правительства Московской области N 715/31);

Положение о Главном управлении гражданской защиты Московской области, утверждённое постановлением Правительства Московской области от 11.02.2020 N 35/4 (далее - Положение ГУГЗ Московской области);

распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 19.07.2017 N 10-86/РВ "Об утверждении политики антивирусной защиты центральных исполнительных органов государственной власти Московской области и государственных органов Московской области" (далее - распоряжение Мингосуправления Московской области N 10-86/РВ);

распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 30.06.2020 N 11-84/РВ "Об утверждении Методических рекомендаций по отнесению закупок товаров, работ, услуг к сфере информационно-коммуникационных технологий" (далее - методические рекомендации распоряжения Мингосуправления Московской области N 11-84/РВ);

распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 11.12.2020 N 11-153/РВ "Об утверждении Методических рекомендаций по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем Московской области" (далее - методические рекомендациями распоряжения N 11-153/РВ);

распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 15.12.2020 N 11-154/РВ "Об утверждении типовых технических требований для закупок товаров, работ, услуг, относящихся к сфере информационно-коммуникационных технологий" (далее - распоряжение Мингосуправления Московской области N 11-154/РВ);

распоряжение Министерства экономики и финансов Московской области от 27.01.2020 N 25РВ-15 "О применении вида расходов 242 "Закупка товаров, работ, услуг в сфере информационно-коммуникационных технологий" (далее - распоряжение МЭФ Московской области N 25РВ-15);

распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 08.04.2021 N 11-31/РВ "Об организации работ по защите информации ограниченного доступа, не составляющей государственную тайну, включая персональные данные, в информационных системах Министерства государственного управления, информационных технологий и связи Московской области" (далее - распоряжение Мингосуправления Московской области N 11-31/РВ);

распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 28.12.2021 N 11-123/РВ "Об утверждении Единого порядка обеспечения органов государственной власти Московской области средствами вычислительной и организационной техники, а также программным обеспечением" (далее - распоряжение Мингосуправления Московской области N 11-123/РВ);

распоряжение Министерства государственного управления, информационных технологий и связи Московской области от 01.04.2022 N 11-95/РВ "Об утверждении Политики управления учетными записями пользователей государственных информационных систем Московской области" (далее - распоряжение Мингосуправления Московской области N 11-95/РВ);

приказ Главного управления гражданской защиты Московской области от 15.02.2021 N П-8/39-06 "Об информационной безопасности в Главном управлении гражданской защиты Московской области" (далее - приказ Главного управления Московской области N П-8/39-06);

Регламент представления документов по обоснованию бюджетных ассигнований на очередной финансовый год и на плановый период, утверждённый приказом Главного управления гражданской защиты Московской области от 01.04.2020 N П-30/40-02 (далее - Регламент).

3. Цели Политики в сфере ИТ

Основной целью Политики в сфере ИТ Главного управления и учреждений является повышение эффективности деятельности, обеспечение устойчивого функционирования и планового развития информационной инфраструктуры Главного управления и учреждений. Общее руководство осуществляется ответственным лицом по вопросам ИТ.

4. Задачи Политики

Основные задачи технической Политики в сфере ИТ в Главном управлении и учреждениях:

формирование единого подхода в части согласования закупок товаров, работ, услуг в сфере информационно-коммуникационных технологий, а также централизация планирования, управления и закупок в сфере ИТ;

утверждение единых технических требований к ИС и их сегментам;

использование унифицированного сертифицированного лицензионного и/или свободно распространяемого программного обеспечения;

использование сертифицированных средств защиты информации (далее - СЗИ) и средства криптографической защиты информации (далее - СКЗИ);

определение единого подхода к планированию модернизации и обновлению элементов ИТ инфраструктуры Главного управления и учреждений.

4.1. Планирование и осуществление закупок в сфере ИТ

При планировании и осуществлении закупок в сфере ИТ необходимо руководствоваться Федеральным законом N 44-ФЗ, Федеральным законом N 135-ФЗ, постановлениями Правительства Российской Федерации N 878, N 616, распоряжениями Мингосуправления Московской области N 11-154/РВ, N 11-123/РВ и Правилами определения нормативных затрат. Соблюдение вышеперечисленных нормативных правовых актов, позволит сформировать единый подход к закупочной деятельности в сфере ИТ Главного управления и учреждений.

При планировании закупок технических средств и программного обеспечения следует руководствоваться постановлением Правительства Российской Федерации N 1236, методическими рекомендациями распоряжения Мингосуправления Московской области N 11-84/РВ, Правилами определения нормативных затрат и планировать закупки с учётом потребностей в технических средствах и их компонентах.

Согласно статье 26 Федерального закона N 44-ФЗ, приказу N П-95/39-05 Главное управление осуществляет мероприятия по определению поставщиков (подрядчиков, исполнителей) для соответствующих заказчиков и организовывает планирование и осуществление закупок, включая определение поставщиков (подрядчиков, исполнителей), заключение государственных и муниципальных контрактов, их исполнение, в том числе с возможностью приемки поставленных товаров, выполненных работ (их результатов), оказанных услуг для соответствующих государственных и муниципальных заказчиков.

Принимая во внимание распоряжение МЭФ Московской области N 25РВ-15 в части осуществления закупок товаров, работ, услуг в сфере информационно-коммуникационных технологий, Главное управление рассматривает техническую документацию подготовленную учреждениями.

Главное управление, как главный распорядитель бюджетных средств (далее - ГРБС) в соответствии со статьёй 158 БК РФ для обеспечения результативности, адресности и целевого характера использования бюджетных средств в соответствии с утверждёнными бюджетными ассигнованиями и лимитами бюджетных обязательств, направляет на согласование расходы бюджета Главного управления и учреждений по виду 242 "Закупка товаров, работ, услуг в сфере информационно-коммуникационных технологий" в Мингосуправление Московской области. В соответствии с Регламентом учреждения Главного управления обеспечивают представление планов на очередной финансовый год и плановый период по созданию, развитию и эксплуатации информационных технологий, информационных систем, информационно-телекоммуникационных сетей, по приобретению программных и аппаратных средств и обеспечению защиты информации с приложением обоснований и технических требований ежегодно до 01 апреля текущего финансового года. В соответствии с подпунктом 6.2 пункта 6 постановления Правительства Московской области от 29.08.2017 N 715/31 Главное управление, как ГРБС, обеспечивает представление планов на очередной финансовый год и плановый период по созданию, развитию и эксплуатации информационных технологий, информационных систем, информационно-телекоммуникационных сетей, по приобретению программных и аппаратных средств и обеспечению защиты информации с приложением обоснований и технических требований в Мингосуправление Московской области в срок до 15 апреля текущего финансового года для получения заключений экспертной оценки.

Мингосуправление Московской области осуществляет согласование технических заданий (требований) и проектов по созданию, развитию и эксплуатации автоматизированных, информационных, технических систем, информационных технологий и сетей связи, а также закупок программных и аппаратных средств, осуществляемых государственными органами Московской области и подведомственными им государственными учреждениями Московской области, требований по защите информации при разработке технических заданий (технических требований) и проектной документации на строительство и создание объектов информатизации, автоматизированных, информационных, технических и инженерных систем, а также при закупках технических программных средств и систем защиты информации в соответствии с подпунктами 12.57 и 12.59 пункта 12 Положения Мингосуправления Московской области.

4.2. Утверждение единых технических требований к ИС и их сегментам

Согласно Методическим рекомендациям следует классифицировать ИС и компоненты информационно-телекоммуникационная инфраструктура (далее - ИТКИ), а также вести учёт этих технических средств. На основе данных о классификации технических средств формируются требования по использованию ИС и компонентов ИТКИ. Вследствие того что эти требования имеют различный характер, необходимо определить каким образом осуществляется представление информации и её защита в ИС. Это поможет, не отступая от норм, правильно эксплуатировать, своевременно модернизировать и контролировать защиту ИС. Все основные требования к ИС описываются в техническом задании (далее - ТЗ) и должны отвечать следующим критериям:

единичность - одна задача описывает один элемент системы; завершенность - все требования определены в ТЗ, после реализации ТЗ система не должна требовать доработок;

последовательность - все требования не противоречат друг другу, соответствуют документации и являются реализуемыми;

актуальность - требования и сама система не устаревает с течением времени;

выполнимость - требования реализованы в пределах проекта;

атомарность - требование которое выполняется целиком либо не выполняется

вовсе;

обязательность - требования обусловленные спецификой бизнес-процесса или действующим законодательством должны быть выполнены;

проверяемость - решение задач должно быть проверяемо в процессе аудита. недвусмысленность - определение не содержит нечётких фраз. Использование отрицательных утверждений и составных утверждений запрещено.

Техническая документация является одной из основных составляющих проекта по созданию, внедрению, сопровождению, модернизации и ликвидации информационной системы на всем протяжении жизненного цикла. Комплекс технических документов, который регламентирует деятельность разработчиков, называется нормативно-методическим обеспечением.

Требования в части разработки технической документации к ИС регламентированы постановлением Правительства Российской Федерации N 676, а при разработке документов о защите информации, следует руководствоваться политикой антивирусной защиты, утверждённой распоряжением Мингосуправления Московской области N 10-86/РВ, методическими рекомендациями распоряжения N 11-153/РВ, а также Законом Московской области N 80/2009-ОЗ.

В части управления учётными записями пользователей существуют правила пользования, согласно которым ответственное лицо по вопросам ИТ проводит мероприятия по управлению, генерации, блокировке и деактивации учетных записей. Данные правила пользования указаны в распоряжении Мингосуправления Московской области N 11-95/РВ.

4.3. Использование унифицированного сертифицированного лицензионного и/или свободно распространяемого программного обеспечения

В части использования программного обеспечения (далее - ПО) Главному управлению и учреждениям следует руководствоваться следующими рекомендациями:

ПО должно быть стандартизировано, сертифицировано, иметь гибкую и масштабируемую архитектуру;

используемые СЗИ должны соответствовать СЗИ из "Государственного реестра аккредитованных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации сертифицированных СЗИ";

при планировании закупок ПО должны быть учтены требования постановления Правительства Российской Федерации N 1236, а также необходимо руководствоваться постановлением Правительства Российской Федерации N 658.

Правильно формировать потребности к ПО, в нередких случаях необходимо осуществить выбор на свободном программном обеспечении из соображений безопасности.

При формировании потребностей в ПО необходимо руководствоваться постановлением Правительства Российской Федерации N 325.

При передаче лицензионного ПО необходимо учитывать, что это возможно в случае приобретения Главным управлением или учреждением экземпляров программы, условия неисключительного права пользования на которые, изложены на упаковке таких экземпляров или в электронном виде. В таком случае приобретенные экземпляры программ не соответствуют определению не материальный актив (далее - НМА), поскольку программное обеспечение не предназначено для постоянного использования в деятельности Главного управления или учреждения и неисключительное право его использования у осуществившего закупку Главного управления или учреждения не возникает (не заключается договор присоединения). При таких обстоятельствах после регистрации (активации, установки) программного обеспечения право пользования программами возникнет у конечных получателей. Передаче подлежат вложения в права пользования нематериальными активами.

Операции по поступлению, передаче вложений в приобретение лицензионных прав неисключительных прав пользования НМА между учреждениями одного уровня бюджета относятся к поступлениям/выбытиям текущего характера.

Обязательное условие передачи вложений в права пользования НМА это отсутствие лицензионного договора, в соответствии с которым Главное управление или учреждение, осуществившее закупку, стало лицензиатом, то есть ему были предоставлены неисключительные права пользования.

4.4. Использование сертифицированных средств защиты информации и средства криптографической защиты информации

В части защиты информации и осуществления мероприятий по защите необходимо руководствоваться следующими нормативными правовыми актами: Инструкцией, распоряжениями Мингосуправления Московской области N 11-31/РВ, N 10-86/РВ. Для обеспечения эффективной защиты ИС следует использовать инструменты из реестра СЗИ.

Таким образом, поддержание СЗИ и правильное использование имеющихся средств защиты позволит безопасно использовать сетевые ресурсы. А своевременное обновление антивирусной защиты позволит защитить от вмешательства в процесс функционирования информационных систем и ИТ ресурсов и сервисов. Так же это позволит настроить разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам информационных систем, то есть защиту от несанкционированного доступа.

Необходимо, по возможности, ужесточить требования в части защиты информации и регулярно применять все методы по её защите. Так же необходимо применять технические меры, направленные на ограничение доступа посторонних лиц к ресурсам ИТ. В связи с чем необходимо применять следующие меры:

определение угроз безопасности данных при их обработке, формирование на их основе моделей угроз. Проведение регулярного анализа сетевых ресурсов в части защищенности каналов связи и данных, обрабатываемых на этих каналах;

использование сертифицированных средств защиты информации, обеспечивающих целостность и доступность, в том числе криптографических;

межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов или установка управляемых коммутаторов для необходимой фильтрации;

использование сертифицированных средств антивирусной защиты информации с актуальными базами антивирусных сигнатур;

использование сканера уязвимости для диагностики анализа и мониторинга всех сетевых ресурсов

шифрование информации при ее передаче по незащищенным каналам связи. Техническое средство, реализующее защищенный канал связи, должно быть сертифицировано ФСБ России в качестве средства шифрования.

4.5. Определение единого подхода к планированию модернизации и обновлению элементов ИТ инфраструктуры

Планирование, модернизация и обновление элементов ИТ инфраструктуры важная задача настоящей Политики, позволяющая своевременно оценивать и планомерно следовать мероприятиям по внедрению новых инфраструктурных информационных сервисов и компонентов информационно-телекоммуникационной инфраструктуры. В связи с этим необходимо наладить работу по анализу имеющийся средств вычислительной техники и иных ИТ ресурсов для выявления несоответствий в технических требованиях и устранения таких несоответствий.

Единый унифицированный подход в согласовании технической документации, а, следовательно, и закупки технических средств, даст единообразное представление информационной среды, используемое Главным управлением и учреждениями. Такое единообразие позволяет определить вектор развития в данной отрасли и обеспечить результативность принятых решений.