Приложение N 2. Регламент размещения государственных информационных систем и информационных систем, содержащих персональные данные, в ГИС "ЦОД". Приказ Департамента информационных технологий Оренбургской области от 31.08.2016 N 42-пр "О вводе в эксплуатацию ГИС "ЦОД"

Приложение N 2
к положению о государственной
информационной системе "Центр обработки
данных органов исполнительной власти
и местного самоуправления
Оренбургской области"

Регламент
размещения государственных информационных систем и информационных систем, содержащих персональные данные, в ГИС "ЦОД"

1. Общие положения

1.1. Настоящий Регламент определяет последовательность процедур взаимодействия органов исполнительной власти Оренбургской области и органов местного самоуправления Оренбургской области и подведомственных им учреждений (далее - Абоненты) в процессе размещения государственных информационных систем и информационных систем, содержащих персональные данные (далее - ИС) на мощностях центра обработки данных Оренбургской области (далее - ЦОД) и включение в состав ГИС "ЦОД".

1.2. Участниками процедуры взаимодействия являются:

- департамент информационных технологий Оренбургской области (далее - Департамент);

- Абоненты.

1.3. Абоненты разрабатывают и направляют в Департамент на согласование рабочие документы (планы, регламенты, спецификации и т.д.), необходимые для выполнения действий и процедур, предусмотренных настоящим Регламентом.

1.4. По запросу Департамента Абоненты представляют необходимые рабочие документы, размещаемой ИС, для ознакомления.

2. Перечень мероприятий по взаимодействию

2.1. Мероприятия по взаимодействию включают в себя:

- направление Абонентами заявки на размещение ИС в ГИС "ЦОД";

- рассмотрение заявки Департаментом;

- проведение экспертизы документации ИС;

- доработка системы защиты ИС (при необходимости);

- размещение ИС в ГИС "ЦОД" и выдача документа, подтверждающего распространение аттестата ГИС "ЦОД" на размещаемую ИС;

- добавление единичного экземпляра АРМ/сервера в ИС.

3. Порядок размещения ИС в ГИС "ЦОД"

3.1. ИС должна соответствовать следующим требованиям:

- установлен класс защищенности, что должно подтверждаться актом классификации.

- разработана модель угроз и модель нарушителя, в котором должен быть определен перечень угроз безопасности;

- определен перечень и параметры настройки средств защиты информации и принятых организационных мер защиты информации, обеспечивающих выполнение требований к мерам защиты соответствующим установленному уровню защищенности ИС;

- разработана необходимая организационно-распорядительная документация и эксплуатационная документация на систему защиты информации.

3.2. Абонент направляет в Департамент заявку на размещение ИС в ГИС "ЦОД" согласно приложению N 1 к настоящему Регламенту, прикладывая к ней следующие документы:

- распорядительный документ о создании ИС;

- копию акта об определении оператора ИС (при наличии);

- сведения о контактных лицах со стороны ИС, ответственных за размещение ИС в ГИС "ЦОД";

- акт классификации ИС;

- модель нарушителя и модель угроз ИС;

- перечень средств защиты с параметрами настройки;

- документы определяющие организационные меры обеспечения информационной безопасности;

- общее описание ИС.

Перечисленные выше документы прикладываются к заявке также в электронном виде (на CD-диске).

3.3. Техническая документация на ИС, прикладываемая к заявке, должна быть выполнена в соответствии со следующими требованиями:

ГОСТ 34.602-89 "Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", утвержденный Постановлением Госстандарта СССР от 24.03.1989 N 661;

ГОСТ 34.201-89 "Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем", утвержденный Постановлением Госстандарта СССР от 24.03.1989 N 664;

РД 50-34.698-90 "Методические указания. Информационная технология. Автоматизированные системы. Требования к содержанию документов", утвержденные Постановлением Госстандарта СССР от 27.12.1990 N 3380;

ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем", утвержденный Постановлением Госстандарта СССР от 17.02.1992 N 161;

4. Порядок рассмотрения заявки

4.1. Департамент рассматривает заявку Абонента в течение 3 рабочих дней со дня поступления в комиссионном порядке. Состав комиссии утверждается директором департамента.

4.2. В случае если заявка оформлена ненадлежащим образом, либо приложенный к заявке комплект документов не соответствует требованиям пункта 3.2 настоящего Регламента, Департамент письменно уведомляет Абонента о несоответствии заявки требованиями настоящего Регламента. Заявка и комплект представленных документов возвращаются Абоненту на доработку.

4.3. В случае соответствия заявки требованиям раздела 3 настоящего Регламента, Департамент проводит экспертизу документации.

5. Проведение экспертизы документации

5.1. Экспертиза документации осуществляется Департаментом в срок, не превышающий 25 рабочих дней с даты поступления заявки.

5.2. Департамент проводит экспертизу заявки на соответствие системы защиты информации ИС требованиям, предъявляемым к типовым сегментам ГИС "ЦОД" и системе защиты государственных информационных систем.

5.3. По итогам проведения экспертизы документации Департамент подготавливает и направляет Абоненту Заключение о проведении экспертизы документации ИС (далее - Заключение) по форме в соответствии с приложением N 2 к настоящему Регламенту, а также возвращает Абоненту комплект представленных документов.

5.4. Если в результате проведения экспертизы документации выявлены несоответствия требованиям информационной безопасности, Абоненту необходимо выполнить следующие мероприятия:

- на основании рекомендаций, приведенных в Заключении, произвести доработку системы защиты информации;

- направить в Департамент заявку на проведение повторной экспертизы документации на соответствие требованиям информационной безопасности.

5.5. При повторном направлении заявки Департамент осуществляет действия, предусмотренные разделами 4 и 5 настоящего Регламента, в срок не более чем 20 рабочих дней с даты поступления заявки.

6. Размещение ИС в ГИС "ЦОД"

6.1. Размещение ИС в ГИС "ЦОД" осуществляется в срок не более 15 рабочих дней со дня оформления Заключения с положительным решением о размещении ИС в ГИС ЦОД.

6.2. Департамент осуществляет регистрацию изменений в Аттестате соответствия безопасности информации, обрабатываемой в ГИС "ЦОД", составляет Акт соответствия сегмента государственной информационной системы "ЦОД" условиям распространения аттестата соответствия ГИС "ЦОД", согласно приложению N 3 к настоящему Регламенту.

6.3. После завершения мероприятий, предусмотренных пунктами 6.1. и 6.2. настоящего Регламента, Абонент составляет Акт о размещении ИС в ГИС "ЦОД" согласно приложению N 4 к настоящему Регламенту, обеспечивает его подписание уполномоченным должностным лицом и направляет в Департамент.

6.4. Департамент по получении Акта о размещении ИС в ГИС "ЦОД" обеспечивает его подписание уполномоченным должностным лицом, а также составляет и подписывает Акт распространения аттестата соответствия безопасности информации ГИС "ЦОД" на размещенную государственную информационную систему, согласно приложению N 5 к настоящему.

6.5. Все акты, перечисленные в разделе 6 составляться в двух экземплярах, по одному для каждого из участников процедуры взаимодействия.

ГАРАНТ:

Нумерация подразделов приводится в соответствии с источником

Добавление единичного экземпляра АРМ/сервера в размещенную государственную информационную систему.

7.1. При необходимости добавления единичного экземпляра АРМ либо сервера к государственной информационной системе (далее - ГИС), размещенной в ГИС "ЦОД", к нему предъявляются следующие требования:

- наличие лицензионного программного обеспечения;

- наличие сертифицированного средства антивирусной защиты;

- наличие организационных мер защиты информации, обеспечивающих выполнение требований к мерам защиты соответствующей ГИС.

- наличие необходимой организационно-распорядительной документации.

7.2. Добавление осуществляется силами администратора соответствующей ГИС.