Приложение N 2. Регламент размещения государственных информационных систем и информационных систем, содержащих персональные данные, в ГИС "ЦОД". Приказ Департамента информационных технологий Оренбургской области от 31.08.2016 N 42-пр "О вводе в эксплуатацию ГИС "ЦОД"

Приложение N 2
к положению о государственной
информационной системе "Центр обработки
данных органов исполнительной власти
и местного самоуправления
Оренбургской области"

Регламент
размещения государственных информационных систем и информационных систем, содержащих персональные данные, в ГИС "ЦОД"

1. Общие положения

1.1. Настоящий Регламент определяет последовательность процедур взаимодействия органов исполнительной власти Оренбургской области и органов местного самоуправления Оренбургской области и подведомственных им учреждений (далее - Абоненты) в процессе размещения государственных информационных систем и информационных систем, содержащих персональные данные (далее - ИС) на мощностях центра обработки данных Оренбургской области (далее - ЦОД) и включение в состав ГИС "ЦОД".

1.2. Участниками процедуры взаимодействия являются:

- департамент информационных технологий Оренбургской области (далее - Департамент);

- Абоненты.

1.3. Абоненты разрабатывают и направляют в Департамент на согласование рабочие документы (планы, регламенты, спецификации и т.д.), необходимые для выполнения действий и процедур, предусмотренных настоящим Регламентом.

1.4. По запросу Департамента Абоненты представляют необходимые рабочие документы, размещаемой ИС, для ознакомления.

2. Перечень мероприятий по взаимодействию

2.1. Мероприятия по взаимодействию включают в себя:

- направление Абонентами заявки на размещение ИС в ГИС "ЦОД";

- рассмотрение заявки Департаментом;

- проведение экспертизы документации ИС;

- доработка системы защиты ИС (при необходимости);

- размещение ИС в ГИС "ЦОД" и выдача документа, подтверждающего распространение аттестата ГИС "ЦОД" на размещаемую ИС;

- добавление единичного экземпляра АРМ/сервера в ИС.

3. Порядок размещения ИС в ГИС "ЦОД"

3.1. ИС должна соответствовать следующим требованиям:

- установлен класс защищенности, что должно подтверждаться актом классификации.

- разработана модель угроз и модель нарушителя, в котором должен быть определен перечень угроз безопасности;

- определен перечень и параметры настройки средств защиты информации и принятых организационных мер защиты информации, обеспечивающих выполнение требований к мерам защиты соответствующим установленному уровню защищенности ИС;

- разработана необходимая организационно-распорядительная документация и эксплуатационная документация на систему защиты информации.

3.2. Абонент направляет в Департамент заявку на размещение ИС в ГИС "ЦОД" согласно приложению N 1 к настоящему Регламенту, прикладывая к ней следующие документы:

- распорядительный документ о создании ИС;

- копию акта об определении оператора ИС (при наличии);

- сведения о контактных лицах со стороны ИС, ответственных за размещение ИС в ГИС "ЦОД";

- акт классификации ИС;

- модель нарушителя и модель угроз ИС;

- перечень средств защиты с параметрами настройки;

- документы определяющие организационные меры обеспечения информационной безопасности;

- общее описание ИС.

Перечисленные выше документы прикладываются к заявке также в электронном виде (на CD-диске).

3.3. Техническая документация на ИС, прикладываемая к заявке, должна быть выполнена в соответствии со следующими требованиями:

ГОСТ 34.602-89 "Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", утвержденный Постановлением Госстандарта СССР от 24.03.1989 N 661;

ГОСТ 34.201-89 "Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем", утвержденный Постановлением Госстандарта СССР от 24.03.1989 N 664;

РД 50-34.698-90 "Методические указания. Информационная технология. Автоматизированные системы. Требования к содержанию документов", утвержденные Постановлением Госстандарта СССР от 27.12.1990 N 3380;

ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем", утвержденный Постановлением Госстандарта СССР от 17.02.1992 N 161;

4. Порядок рассмотрения заявки

4.1. Департамент рассматривает заявку Абонента в течение 3 рабочих дней со дня поступления в комиссионном порядке. Состав комиссии утверждается директором департамента.

4.2. В случае если заявка оформлена ненадлежащим образом, либо приложенный к заявке комплект документов не соответствует требованиям пункта 3.2 настоящего Регламента, Департамент письменно уведомляет Абонента о несоответствии заявки требованиями настоящего Регламента. Заявка и комплект представленных документов возвращаются Абоненту на доработку.

4.3. В случае соответствия заявки требованиям раздела 3 настоящего Регламента, Департамент проводит экспертизу документации.

5. Проведение экспертизы документации

5.1. Экспертиза документации осуществляется Департаментом в срок, не превышающий 25 рабочих дней с даты поступления заявки.

5.2. Департамент проводит экспертизу заявки на соответствие системы защиты информации ИС требованиям, предъявляемым к типовым сегментам ГИС "ЦОД" и системе защиты государственных информационных систем.

5.3. По итогам проведения экспертизы документации Департамент подготавливает и направляет Абоненту Заключение о проведении экспертизы документации ИС (далее - Заключение) по форме в соответствии с приложением N 2 к настоящему Регламенту, а также возвращает Абоненту комплект представленных документов.

5.4. Если в результате проведения экспертизы документации выявлены несоответствия требованиям информационной безопасности, Абоненту необходимо выполнить следующие мероприятия:

- на основании рекомендаций, приведенных