Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Приложение N 4
Приложение N 4
к приказу Федерального казначейства
от 27 апреля 2024 г. N 162
Утвержден
приказом Федерального казначейства
от 28 сентября 2018 г. N 294
Регламент ввода в эксплуатацию и эксплуатации информационных систем в Федеральном казначействе
I. Общие положения
1.1. Регламент ввода в эксплуатацию и эксплуатации информационных систем в Федеральном казначействе (далее - Регламент) устанавливает перечень мероприятий, выполняемых на стадиях ввода в эксплуатацию и эксплуатации государственных информационных систем (далее - ГИС) и иных информационных систем, не являющихся государственными информационными системами (далее - Ведомственные ИС), оператором которых является Федеральное казначейство (далее при совместном упоминании - ИС), а также порядок взаимодействия между структурными подразделениями центрального аппарата Федерального казначейства, территориальными органами Федерального казначейства, федеральным казенным учреждением "Центр по обеспечению деятельности Казначейства России" при выполнении данных мероприятий.
1.2. В Регламенте используются понятия, термины, сокращения, которые применяются в Требованиях к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем и дальнейшему хранению содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676, и Порядке организации процессов жизненного цикла информационных систем в Федеральном казначействе, утвержденном приказом Федерального казначейства от 2 июля 2018 г. N 188.
II. Ввод информационной системы в эксплуатацию
2.1. Основанием для ввода ИС в эксплуатацию является приказ Федерального казначейства о вводе ИС в эксплуатацию 1, определяющий перечень мероприятий по обеспечению ввода ИС в эксплуатацию, участников жизненного цикла ИС (далее - Участники ЖЦ ИС), ответственных за выполнение мероприятий по вводу ИС в эксплуатацию, сроки проведения мероприятий по вводу ИС в эксплуатацию и устанавливающий срок начала эксплуатации ИС.
2.2. Срок начала эксплуатации ИС не может быть ранее срока окончания последнего мероприятия, указанного в приказе о вводе в эксплуатацию.
2.3. Ответственный за эксплуатацию, инфраструктуру, архитектуру в течение 20 (двадцати) рабочих дней с даты подписания Акта приемки ИС в эксплуатацию разрабатывает приказ о вводе в эксплуатацию, согласовывает с Участниками ЖЦ ИС, которым даны поручения в приказе о вводе в эксплуатацию, и представляет на утверждение.
2.4. Приказ о вводе в эксплуатацию включает следующие мероприятия:
а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации ИС, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации;
б) мероприятия по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством Российской Федерации случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации 2;
в) мероприятия по подготовке Федерального казначейства к эксплуатации ИС;
г) мероприятия по подготовке должностных лиц Федерального казначейства к эксплуатации ИС, включая лиц, ответственных за обеспечение защиты информации;
д) мероприятия по оформлению прав на использование компонентов ИС, являющихся объектами интеллектуальной собственности.
2.5. В ходе мероприятий по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации ИС, Ответственным за информационную безопасность осуществляется:
2.5.1. Определение перечня необходимых организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации ИС, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации.
2.5.2. Разработка, согласование и предоставление на утверждение организационно-распорядительных документов по защите информации ИС.
В процессе разработки организационно-распорядительных документов Ответственный за информационную безопасность вправе запрашивать у Ответственного за эксплуатацию, инфраструктуру, архитектуру необходимую для подготовки документов информацию.
Ответственный за эксплуатацию, инфраструктуру, архитектуру предоставляет запрашиваемую информацию Ответственному за информационную безопасность в срок не позднее 5 (пяти) рабочих дней со дня поступления соответствующего запроса.
Сроки предоставления информации могут быть изменены по согласованию Ответственного за информационную безопасность и Ответственного за эксплуатацию, инфраструктуру, архитектуру.
Проект организационно-распорядительных документов согласовывается Ответственным за эксплуатацию, инфраструктуру, архитектуру в срок:
- при первичном направлении не более 7 (семи) рабочих дней со дня поступления;
- при повторном направлении не более 3 (трех) рабочих дней со дня поступления.
Сроки согласования проекта организационно-распорядительных документов могут быть изменены по согласованию указанных Участников ЖЦ ИС.
2.6. Для ГИС, а также в случае принятия такого решения Постоянно действующей технической комиссией по защите государственной тайны Федерального казначейства для Ведомственных ИС Ответственный за информационную безопасность обеспечивает выполнение мероприятий по аттестации системы по требованиям защиты информации, результатом которых является документальное подтверждение соответствия защиты содержащейся в системе информации требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В ходе мероприятий по аттестации ИС по требованиям защиты информации Ответственным за информационную безопасность осуществляется:
- разработка и предоставление на утверждение курирующему заместителю руководителя Федерального казначейства программы и методики аттестационных испытаний;
- проведение аттестации информационной системы в соответствии с программой и методикой аттестационных испытаний;
- оформление заключения по результатам аттестационных испытаний;
- оформление аттестата соответствия требованиям по безопасности информации.
2.7. В ходе мероприятий по подготовке Федерального казначейства к эксплуатации ИС:
2.7.1. Технолог при необходимости инициирует актуализацию Матрицы ролей при создании, развитии и эксплуатации информационных систем Федерального казначейства и государственных информационных систем, оператором которых является Федеральное казначейство.
2.7.2. Ответственный за обеспечение эксплуатации направляет Ответственному за эксплуатацию, инфраструктуру, архитектуру утвержденный комплект проектной и рабочей документации на ИС для размещения и публикации в национальном фонде алгоритмов и программ для электронных вычислительных машин в соответствии с требованиями, установленными Положением о национальном фонде алгоритмов и программ.
2.7.3. Ответственный за эксплуатацию, инфраструктуру, архитектуру в срок, не позднее окончания последнего мероприятия, указанного в приказе о вводе в эксплуатацию ИС, осуществляет размещение и публикацию утвержденного комплекта проектной и рабочей документации на ИС в национальном фонде алгоритмов и программ для электронных вычислительных машин в соответствии с требованиями, установленными Положением о национальном фонде алгоритмов и программ.
2.7.4. Ответственный за эксплуатацию, инфраструктуру, архитектуру в срок, не позднее окончания последнего мероприятия, указанного в приказе о вводе в эксплуатацию ИС, осуществляет размещение информации о ИС в реестре территориального размещения объектов контроля.
2.8. В ходе мероприятий по подготовке должностных лиц Федерального казначейства к эксплуатации ИС, включая лиц, ответственных за обеспечение защиты информации:
2.8.1. Ответственный за эксплуатацию, инфраструктуру, архитектуру направляет Ответственному за обеспечение эксплуатации утвержденную рабочую документацию на ИС, эксплуатационную документацию на систему (подсистему) защиты информации ИС и организационно-распорядительные документы по защите информации ИС.
2.8.2. Участником ЖЦ ИС, определенным приказом о вводе в эксплуатацию, осуществляется:
- разработка, согласование с Технологом, Ответственным за эксплуатацию, инфраструктуру, архитектуру, Ответственным за обеспечение эксплуатации и представление на утверждение курирующему заместителю руководителя Федерального казначейства графика подключения Пользователей ИС (далее - График подключения) в сроки, определенные приказом о вводе в эксплуатацию;
- доведение утвержденного Графика подключения до Технолога и Ответственного за обеспечение эксплуатации.
2.8.3. Технологом на основе утвержденного Графика подключения осуществляется:
- внедрение технологических регламентов в соответствии с Методикой внедрения технологических регламентов, утвержденной заместителем руководителя Федерального казначейства, в сроки, определенные приказом о вводе в эксплуатацию;
- координация подключения Пользователей ИС в соответствии с Графиком подключения;
- предоставление Ответственному за обеспечение эксплуатации обучающих материалов по ИС;
- ознакомление Пользователей ИС и Ответственного за обеспечение эксплуатации с функциональными возможностями ИС (Версии ПО ИС).
2.8.4. Ответственным за обеспечение эксплуатации осуществляется размещение обучающих материалов по ИС на Ведомственном портале Федерального казначейства и/или Официальном сайте Федерального казначейства в информационно-телекоммуникационной сети "Интернет".
2.9. В ходе мероприятий по оформлению прав на использование компонентов ИС, являющихся объектами интеллектуальной собственности:
2.9.1. Ответственным за эксплуатацию, инфраструктуру, архитектуру в срок, не позднее окончания последнего мероприятия, указанного в приказе о вводе в эксплуатацию ИС, осуществляется оформление прав на использование компонентов ИС, являющихся объектами интеллектуальной собственности.
2.10. Участники ЖЦ ИС обеспечивают выполнение мероприятий в указанные в приказе о вводе в эксплуатацию сроки и в срок, не превышающий 2 (двух) рабочих дней с даты выполнения мероприятия, уведомляют Ответственного за эксплуатацию, инфраструктуру, архитектуру о результатах выполнения поручений, предусмотренных приказом о вводе в эксплуатацию.
2.11. В случае невозможности выполнения мероприятий в указанные в приказе о вводе в эксплуатацию сроки Ответственный за эксплуатацию, инфраструктуру, архитектуру согласовывает с Участниками ЖЦ ИС и представляет на утверждение изменения по срокам ввода в эксплуатацию в приказ о вводе в эксплуатацию в течение 5 (пяти) рабочих дней с момента получения информации от Участников ЖЦ ИС о невозможности выполнения мероприятий в указанные в приказе о вводе в эксплуатацию сроки.
2.12. В случае досрочного выполнения мероприятий, указанных в приказе о вводе в эксплуатацию, Ответственный за эксплуатацию, инфраструктуру, архитектуру согласовывает с Участниками ЖЦ ИС и представляет на утверждение изменения по срокам ввода в приказ о вводе в эксплуатацию в течение 5 (пяти) рабочих дней с момента получения соответствующей информации от Участников ЖЦ ИС.
2.13. Ввод версии программного обеспечения ИС в эксплуатацию осуществляется в соответствии с настоящим разделом на основании приказа об организационных мероприятиях по подготовке к эксплуатации версии ПО ИС 3.
2.14. Ответственный за эксплуатацию, инфраструктуру, архитектуру доводит до Ответственного за обеспечение эксплуатации информацию о вводе ИС в эксплуатацию для размещения на Ведомственном портале Федерального казначейства и/или Официальном сайте Федерального казначейства в информационно-телекоммуникационной сети "Интернет".
III. Эксплуатация информационной системы
3.1. Эксплуатация ИС осуществляется в соответствии с рабочей документацией на ИС, рабочей документацией на систему (подсистему) защиты информации ИС и организационно-распорядительными документами по защите информации.
3.2. В ходе эксплуатации ИС с целью обеспечения бесперебойного функционирования ИС Ответственным за обеспечение эксплуатации 4 осуществляется:
- поддержка Пользователей ИС;
- администрирование ИС и системы защиты информации ИС;
- выявление инцидентов и реагирование на них;
- управление конфигурацией ИС и ее системы защиты информации;
- мониторинг функционирования ИС;
- контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ИС.
3.2.1. В ходе поддержки Пользователей ИС осуществляется:
- регистрация, анализ, обработка и предоставление решения по обращениям Пользователей ИС по функционированию ИС;
- консультирование Пользователей ИС путем формирования и передачи ответа на вопросы по функционированию ИС, порядку работы с ИС, техническим аспектам работы ИС и технологическим регламентам в соответствии с рекомендациями, определенными в рабочей документации к ИС;
- информирование Пользователей ИС об угрозах безопасности информации;
- взаимодействие с Технологом по вопросам функционирования ИС.
3.2.2. В ходе администрирования ИС и системы защиты информации ИС осуществляется:
- создание и удаление учетных записей Пользователей ИС, управление полномочиями Пользователей ИС и соблюдение правил разграничения доступа в ИС;
- управление средствами защиты информации в ИС, в том числе параметрами настройки программного обеспечения, включая программное обеспечение средств защиты информации, управление учетными записями Пользователей ИС, восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;
- настройка технического и программного обеспечения ИС;
- установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых разработчиками (производителями) ИС и средств защиты информации;
- сопровождение функционирования ИС и системы защиты информации ИС в ходе ее эксплуатации, включая подготовку предложений по актуализации рабочей документации на ИС, эксплуатационной документации на систему защиты информации ИС и направление Ответственному за эксплуатацию, инфраструктуру, архитектуру и Ответственному за информационную безопасность;
- регистрация и анализ событий в информационной системе, связанных с защитой информации.
3.2.3. В ходе выявления инцидентов и реагирования на них осуществляется:
- определение лиц, ответственных за выявление, реагирование на инциденты;
- обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, ошибок и сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации;
- анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
- планирование и принятие мер по устранению инцидентов, в том числе по восстановлению функционирования ИС и ее сегментов в случае отказа в обслуживании или после сбоев;
- планирование и принятие мер по предотвращению повторного возникновения инцидентов.
3.2.4. В ходе управления конфигурацией ИС и ее системы защиты информации осуществляется:
- поддержание конфигурации ИС и ее системы защиты информации (структуры системы защиты информации ИС, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с рабочей документацией на ИС и рабочей документацией на систему защиты информации (поддержание базовой конфигурации ИС и ее системы защиты информации);
- определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию ИС и ее системы защиты информации;
- управление изменениями базовой конфигурации ИС и ее системы защиты информации, документирование действий по внесению изменений в базовую конфигурацию ИС и ее системы защиты информации, сохранение данных об изменениях базовой конфигурации ИС и ее системы защиты информации, контроль действий по внесению изменений в базовую конфигурацию ИС и ее системы защиты информации;
- анализ потенциального воздействия планируемых изменений в базовой конфигурации ИС и ее системы защиты информации на обеспечение защиты информации и работоспособность ИС;
- определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию ИС и ее системы защиты информации;
- подготовка предложений по актуализации рабочей документации на ИС, рабочей документации на систему защиты информации в части изменения базовой конфигурации ИС и направление их Ответственному за эксплуатацию, инфраструктуру, архитектуру и Ответственному за информационную безопасность.
3.2.5. В ходе мониторинга функционирования ИС осуществляется:
- анализ функционирования ИС;
- выявление отклонений фактических эксплуатационных характеристик ИС от проектных значений;
- установление причин этих отклонений;
- устранение выявленных недостатков и обеспечение стабильности эксплуатационных характеристик ИС;
- подготовка предложений по актуализации рабочей документации на ИС.
3.2.6. В ходе контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИС, осуществляется:
- контроль за событиями безопасности и действиями Пользователей в ИС;
- контроль (анализ) защищенности информации, содержащейся в ИС;
- анализ и оценка функционирования системы защиты информации ИС, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации ИС;
- периодический анализ изменения угроз безопасности информации в ИС, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;
- документирование процедур и результатов мониторинга за обеспечением уровня защищенности информации, содержащейся в ИС;
- оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных (для ИС персональных данных).
3.3. Ответственный за обеспечение эксплуатации направляет Ответственному за информационную безопасность информацию о результатах проведенных мероприятий по контролю (мониторингу) за обеспечением уровня защищенности информации, оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
3.4. Ответственный за информационную безопасность на основании информации, представленной Ответственным за обеспечение эксплуатации, принимает решение о доработке (развитии) системы защиты информации ИС, повторной аттестации ИС или проведении дополнительных аттестационных испытаний.
3.5. В случае, если в рамках эксплуатации ИС Ответственным за обеспечение эксплуатации были обнаружены недостатки ПО ИС, устранение которых может потребовать изменение требований к ИС, Ответственный за обеспечение эксплуатации направляет Технологу информацию об обнаруженном недостатке с материалами по диагностике для подтверждения.
3.6. В случае классификации Технологом недостатка как несоответствия работы ИС рабочей документации на ИС (далее - дефект), приводящего к изменениям программных модулей ПО ИС (далее - дефект ПО), Ответственный за обеспечение эксплуатации обеспечивает:
- исправление дефекта ПО и его включение в совокупность изменений программных модулей ПО ИС, содержащую исправления дефектов ПО ИС, выявленных на стадии эксплуатации ИС (далее - Обновление ПО ИС);
- проверку Обновления ПО ИС;
- согласование срока и продолжительности установки Обновления ПО ИС с Ответственным за эксплуатацию, инфраструктуру, архитектуру и Технологом;
- установку Обновления ПО ИС на ИТ-инфраструктуру, используемую для эксплуатации ИС.
3.7. В случае классификации Технологом недостатка как дефекта, приводящего к необходимости изменения рабочей документации (далее - дефект документации), Ответственный за обеспечение эксплуатации подготавливает предложения по актуализации рабочей документации на ИС (включая технологические регламенты) и направляет их Технологу. При необходимости проведения процедур повторного внедрения технологических регламентов вследствие исправления документации Технолог обеспечивает внедрение новых версий технологических регламентов в соответствии с Методикой внедрения ТР.
3.8. В случае классификации Технологом недостатка как потребности автоматизации новой (изменения процессов реализации существующей) функции Федерального казначейства, Технолог по согласованию с Функциональным заказчиком и на основе заявки на развитие информационных систем, полученной от Функционального заказчика, в соответствии с Регламентом создания (развития) информационных систем в Федеральном казначействе, сообщает информацию о сроках решения заявленной проблемы.
3.9. Согласование и утверждение актуализированной рабочей документации на ИС (Версию ПО ИС), рабочей документации на систему (подсистему) защиты информации ИС, а также устранение разногласий осуществляются Участниками ЖЦ ИС в сроки и в порядке, предусмотренные разделом VII Регламента создания (развития) информационных систем в Федеральном казначействе.
3.10. Обеспечение эксплуатации ИС осуществляется до вывода из эксплуатации ИС согласно Регламенту по выводу из эксплуатации информационных систем в Федеральном казначействе.
------------------------------
1 Если иное не установлено законодательством Российской Федерации
2 Для ГИС, а также в случае принятия такого решения Постоянно действующей технической комиссией по защите государственной тайны Федерального казначейства для Ведомственных ИС
3 Необходимость приказа об организационных мероприятиях по подготовке к эксплуатации версии ИС, а также количество мероприятий определяется Ответственным за эксплуатацию, инфраструктуру, архитектуру по согласованию с Участниками ЖЦ ИС по каждой версии ПО ИС.
4 При передаче Ответственному за обеспечение эксплуатации соответствующих функций. До передачи Ответственному за обеспечение эксплуатации соответствующих функций по обеспечению эксплуатации данные функции выполняет Ответственный за эксплуатацию, инфраструктуру, архитектуру.
------------------------------
|
<< Приложение N 3 |
Приложение >> N 5 |
|
|
Содержание Приказ Федерального казначейства от 27 апреля 2024 г. N 162 "О внесении изменений в отдельные приказы Федерального казначейства" |