Приложение 1. Регламент размещения информационных систем исполнительных органов государственной власти Краснодарского края в центре обработке данных региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края. Приказ департамента информатизации и связи Краснодарского края от 02.12.2019 N 191 "Об утверждении регламентов региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края"

Приложение 1
к приказу департамента
информатизации и связи
Краснодарского края
от 02.12.2019 г. N 191

Регламент
размещения информационных систем исполнительных органов государственной власти Краснодарского края в центре обработке данных региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края

1. Термины и сокращения

Администратор PMC ОГВ	-	Уполномоченный орган исполнительной власти Краснодарского края, осуществляющий распорядительные функции по формированию и использованию РМС ОГВ, обеспечивающий эксплуатацию системы;
ВМ	-	Виртуальная машина (сервер);
Внешние пользователи РМС ОГВ	-	Иные заинтересованные органы государственной власти, органы местного самоуправления, государственные и иные организации, использующие
Внутренние пользователи РМС ОГВ	-	РМС ОГВ в пределах своей компетенции; Исполнительные органы государственной власти Краснодарского края, структурные подразделения администрации Краснодарского края, государственные учреждения, функции и полномочия учредителей которых осуществляют ИОГВ Краснодарского края;
Государственная информационная система (ГИС) Краснодарского края	-	Информационная система, созданная, приобретенная и (или) накапливаемая с привлечением средств бюджета Краснодарского края, а также иным установленным законом способом;
ГОСТ	-	Государственный стандарт;
ДИС КК	-	Департамент информатизации и связи Краснодарского края;
ИОГВ Краснодарского края	-	Исполнительные органы государственной власти Краснодарского края;
ИС	-	Информационная система;
Оператор информационной системы	-	Внутренний пользователь РМС ОГВ, осуществляющий деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (1) ;
ИМИ	-	Программа и методики испытаний;
ППО	-	Прикладное программное обеспечение;
Разработчик ИС	-	Юридическое лицо, осуществляющее на договорной основе (или иным установленным законом способом) функции по разработке и (или) сопровождению ГИС Краснодарского края;
РМС ОГВ	-	Региональная мультисервисная сеть исполнительных органов государственной власти Краснодарского края;
Служба сопровождения РМС ОГВ	-	Организация, на договорной основе (или иным установленным законом способом) осуществляющая функции технического и технологического обеспечения работоспособности и эксплуатации РМС ОГВ;
СПО	-	Системное программное обеспечение;
ФСТЭК России	-	Федеральная служба по техническому и экспортному контролю;
ПОД РМС ОГВ	-	Центр обработки данных региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края.

2. Общие положения

1. Настоящий Регламент определяет порядок размещения информационных систем (далее - ИС) исполнительных органов государственной власти Краснодарского края (далее - ИОГВ Краснодарского края), структурных подразделений администрации Краснодарского края, государственных учреждений, функции и полномочия учредителей которых осуществляют ИОГВ Краснодарского края (далее - Внутренние пользователи РМС ОГВ), в центре обработки данных региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края (далее - ЦОД РМС ОГВ).

2. Настоящий Регламент разработан в соответствии с:

Постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" (далее - Постановление Правительства РФ N 676);

Постановлением главы администрации (губернатора) Краснодарского края от 26 августа 2008 г. N 840 "О региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края";

Постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";

Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

Приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (далее - Приказ ФСТЭК России N 17);

Приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

3. Общий порядок размещения информационных систем ИОГВ Краснодарского края (их серверных сегментов) в ПОД РМС ОГВ представлен в таблице (Приложение 1 к Регламенту).

4. Размещение информационных систем ИОГВ Краснодарского края в ПОД РМС ОГВ осуществляется на некоммерческой (безвозмездной) основе.

5. В случае размещения в ЦОД РМС ОГВ серверного сегмента информационной системы ИОГВ Краснодарского края, в зону ответственности Оператора ИС входит:

обеспечение функционирования операционной системы (размещаемой на виртуальной машине (далее - ВМ), функционирующей на вычислительных мощностях ЦОД РМС ОГВ);

обеспечение функционирования прикладного программного обеспечения функциональных подсистем информационной системы;

обеспечение защиты информации, обрабатывающейся в информационной системе, а также компонентах самой информационной системы на протяжении всего жизненного цикла информационной системы.

6. Размещение информационных систем ИОГВ Краснодарского края, для которых предъявляются требования по обеспечению безопасности обрабатываемой в них защищаемой информации, установленные законодательством Российской Федерации, в ЦОД РМС ОГВ, возможно в случае, если для серверных сегментов таких информационных систем, размещаемых в ПОД РМС ОГВ, установлены следующие требования по обеспечению безопасности информации:

класс защищенности государственных информационных систем - не выше К2;

уровень защищенности персональных данных, обрабатываемых в ИС - не выше У32;

категория значимости объекта критической информационной инфраструктуры Российской Федерации (информационной системы) - не выше 3.

7. В случае размещения (переноса) ИС, ранее аттестованной по требованиям безопасности информации, в ЦОД РМС ОГВ, серверный сегмент данной ИС подлежит повторной аттестации по требованиям безопасности информации (в связи с изменением технологии обработки информации, перечня актуальных угроз безопасности информации, необходимых для реализации мер защиты информации). Размещение серверного сегмента данной ИС в ЦОД РМС ОГВ осуществляется в соответствии с настоящим регламентом.

3. Порядок размещения ИС ИОГВ Краснодарского края в ЦОД РМС ОГВ

3.1. Принятие решения о необходимости размещения ИС ИОГВ Краснодарского края в ЦОД РМС ОГВ.

3.1.1. Запрос Администратору РМС ОГВ на размещение ИС в ЦОД РМС ОГВ.

Запрос Оператора ИС на размещение в ЦОД РМС ОГВ серверного сегмента ИС, оператором которой он является, направляется в адрес ДИС КК официальным письмом на имя руководителя и включает в себя информацию, представленную в формах 1, 2.

Для каждой составной части информационной системы (виртуальной машины) Оператором ИС определяется критичность.

Под критичностью информационной системы (виртуальной машины) понимается степень возможного ущерба в случае нарушения:

конфиденциальности информации, содержащейся в информационной системе: неправомерный доступ, копирование. предоставление или распространение;

целостности информации, содержащейся в информационном ресурсе системе: неправомерное уничтожение или модифицирования;

доступности информации, содержащейся в информационном ресурсе: неправомерное блокирование.

Критичность информационных систем определяется исходя из следующих положений:

высокая критичность - если в результате нарушения одного из свойств безопасности (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор) (обладатель информации) не могут выполнять возложенные на них функции;

средняя критичность - если в результате нарушения одного из свойств безопасности (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;

низкая критичность - если в результате нарушения одного из свойств безопасности (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

3.1.2. Рассмотрение запроса на размещение ИС в ЦОД РМС ОГВ.

В течение 30 календарных дней после получения запроса ДИС КК (Администратор РМС ОГВ) определяет техническую возможность размещения серверного сегмента ИС ИОГВ Краснодарского края в ЦОД РМС ОГВ.

Под технической возможностью размещения ИС в ЦОД РМС ОГВ понимается: наличие (в настоящее время или ближайшей перспективе развития ЦОД РМС ОГВ) вычислительных мощностей, необходимых и достаточных для размещения серверного сегмента ИС, а также совместимость используемых в ИС информационных технологий (а также способов обработки информации) с технологиями, реализованными в ЦОД РМС ОГВ (в том числе с учетом реализованных методов и средств защиты информации).

По результатам рассмотрения запроса Администратор РМС ОГВ направляет ответ Оператору ИС.

В случае положительного решения о наличии технической возможности размещения серверного сегмента ИС ИОГВ Краснодарского края в ЦОД РМС ОГВ, Администратор РМС ОГВ организует проведение рабочего совещания по данному вопросу, в состав участников которого входят представители Оператора ИС, Администратора РМС ОГВ, Службы сопровождения РМС ОГВ.

3.2. Подготовка к размещению ИС ИОГВ Краснодарского края в ЦОД РМС ОГВ.

На данном этапе Оператор ИС ИОГВ Краснодарского края представляет Администратору РМС ОГВ согласованную и утвержденную установленным порядком документацию на информационную систему, в том числе:

Частную модель угроз и нарушителя безопасности информации информационной системы (далее - Частная модель угроз);

Техническое задание на создание подсистемы защиты информации (обеспечения информационной безопасности) информационной системы (далее - Техническое задание);

Эскизный (Технический проект) подсистемы защиты информации (обеспечения информационной безопасности) информационной системы (далее - Проект системы защиты).

Частная модель угроз должна быть разработана с учетом положений "Модели угроз безопасности информации информационных систем исполнительных органов государственной власти Краснодарского края" (размещена на официальном сайте ДИС КК в сети Интернет по адресу: https://dis.krasnodar.ru/teleconi/lB/MetRecom/).

При определении угроз безопасности информации в ИС, предполагаемой к размещению в ЦОД РМС ОГВ, должны учитываться угрозы безопасности информации, актуальные для ЦОД РМС ОГВ, определенные в Модели угроз безопасности информации центра обработки данных региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края (предоставляется Администратором РМС ОГВ по письменному запросу Оператора ИС).

Частная модель угроз подлежит согласованию Оператором ИС с Управлением ФСТЭК России по Южному и Северо-Кавказскому федеральным округам в соответствии с Постановлением Правительства РФ N 676.

Техническое задание:

должно разрабатываться в соответствии с требованиями п. 14.4 Приказа ФСТЭК России N 17;

подлежит согласованию Оператором ИС с Управлением ФСТЭК России по Южному и Северо-Кавказскому федеральным округам в соответствии с Постановлением Правительства РФ N 676.

Проект системы защиты разрабатывается в соответствии с требованиями п. 15.1 Приказа ФСТЭК России N 17. При разработке проекта системы защиты информации необходимо учитывать положения Технического проекта подсистемы обеспечения информационной безопасности ЦОД РМС ОГВ (перечень мер защиты информации, реализуемых системой защиты информации ЦОД РМС ОГВ. предоставляется Администратором РМС ОГВ по письменном} запросу Оператора ИС).

В Проекте системы защиты Оператором ИС должны быть в том числе определены меры защиты информации, подлежащие реализации в составе системы защиты информации ИС, а также виды и типы средств защиты информации, обеспечивающие реализацию данных мер защиты информации, с учетом необходимости обеспечения совместимости технологий, реализованных в ЦОД РМС ОГВ.

По результатам рассмотрения представленной документации Администратор РМС ОГВ принимает решение о выделении в ЦОД РМС ОГВ необходимых для размещения ИС вычислительных мощностей или о необходимости корректировки предоставленной документации.

3.3. Размещение ИС ИОГВ Краснодарского края в ЦОД РМС ОГВ.

После проведения Службой технического сопровождения РМС ОГВ всех соответствующих технических мероприятий для выделения необходимых вычислительных мощностей для размещения ИС в ЦОД РМС ОГВ и предоставления ответственным работникам Оператора ИС (и/или Разработчика ИС) доступа к информационной системе, осуществляется:

автономная наладка технических средств и программного обеспечения частей (компонентов) информационной системы;

комплексная наладка технических средств и программного обеспечения (при проведении комплексной наладки должны быть настроены защитные механизмы (в том числе посредством установки и настройки дополнительных средств защиты информации), обеспечивающих нейтрализацию актуальных угроз безопасности информации и реализующих необходимые меры защиты информации в соответствии с Проектом системы защиты).

3.4. Предварительные испытания ИС ИОГВ Краснодарского края.

На данном этапе в первую очередь должна быть разработана Программа и методики предварительных испытаний ИС (далее - ИМИ предварительных испытаний), в соответствии с которой будет осуществляться проверка ИС на работоспособность при ее размещении в ЦОД РМС ОГВ.

ПМИ предварительных испытаний разрабатываются в соответствие с ГОСТ 34.603-92. При разработке ПМИ предварительных испытаний также должна учитываться необходимость проверки функций средств защиты информации (и/или защитных механизмов СПО/ППО), обеспечивающих реализацию мер защиты информации в соответствии с Проектом системы защиты.

ПМИ предварительных испытаний подлежит согласованию с Администратором РМС ОГВ.

Предварительные испытания проводятся в соответствии с положениями ГОСТ 34.603-92 и Постановлением Правительства РФ N 676.

При проведении предварительных испытаний допускается проведение автономных испытаний компонентов ИС (в т.ч. отдельных средств защиты информации).

В случае выявлении неисправностей и недостатков (в т.ч. в составе подсистемы защиты информации) они должны быть устранены, а в проектную и рабочую документацию на ИС должны быть внесены при необходимости соответствующие изменения.

По результатам проведения предварительных испытаний оформляется протокол предварительных испытаний и, в случае успешного завершения испытаний, акт о приемке ИС в опытную эксплуатацию.

3.5. Опытная эксплуатация ИС ИОГВ Краснодарского края.

На данном этане в первую очередь может быть разработана Программа опытной эксплуатации ИС, в соответствии с которой будет осуществляться:

определение фактических значений количественных и качественных характеристик ИС, в т.ч. проверка функционирования подсистемы защиты информации ИС;

определение готовности персонала (в т.ч. пользователей и администраторов к эксплуатации средств защиты информации информационной системы) к работе в условиях функционирования ИС;

определение фактической эффективности ИС;

корректировка (при необходимости) проектной и рабочей документации на ИС.

Программа опытной эксплуатации разрабатываются и проводятся в соответствии с ГОСТ 34.603-92 и Постановлением Правительства РФ N 676. Программа опытной эксплуатации должна учитывать необходимость проверки функционирования компонентов ИС в комплексе (комплексные испытания), в том числе должна проводиться комплексная проверка подсистемы защиты информации.

Программа опытной эксплуатации и срок проведения опытной эксплуатации подлежат согласованию с Администратором РМС ОГВ.

На этапе проведения опытной эксплуатации также должен проводиться анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы в соответствии с п. 16.6 Приказа ФСТЭК России N 17. В ходе анализа уязвимостей должно быть подтверждено, что в ИС отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

В случае выявлении неисправностей и/или уязвимостей (в том числе в составе подсистемы защиты информации ИС) они должны быть устранены, а в проектную и рабочую документацию на ИС должны быть внесены соответствующие изменения.

По завершению опытной эксплуатации должны быть проведены приемочные испытания ИС. Приемочные испытания проводящиеся в соответствии с положениями ГОСТ 34.603-92 и Постановлением Правительства РФ N 676 и совмещаются с аттестационными испытаниями серверного сегмента ИС (и, при необходимости, аттестационными испытаниями типового рабочего места (типовых рабочих мест) пользовательского сегмента ИС) на соответствие требованиям безопасности информации.

Аттестационные испытания должны проводиться в соответствии с п. 17 Приказа ФСТЭК России N 17.

По завершении приемочных испытаний Оператором ИС совместно с Администратором РМС ОГВ оформляется Акт о вводе ИС в промышленную эксплуатацию.

3.6. Ввод ИС ИОГВ Краснодарского края в эксплуатацию.

Основанием для ввода ИС в эксплуатацию является правовой акт Оператора ИС, согласованный с Администратором РМС ОГВ. Ввод ИС в эксплуатацию должен осуществляется в соответствии с Постановлением Правительства РФ N 676.

Также, на данном этапе утвержденным порядком осуществляется внесение сведений об ИС в Государственный реестр информационных систем Краснодарского края (расположенный на сайте в сети Интернет: https://ris.krasnodar.ru/)

3.7. Эксплуатация и вывод из эксплуатации ИС ИОГВ Краснодарского края.

В ходе эксплуатации ИС должны выполняться требования организационно-распорядительной документации, регламентирующей порядок обработки и обеспечения безопасности информации при ее обработке в ИС, утвержденные как Оператором ИС, так и Администратором РМС ОГВ.

Мероприятия по защите информации в ходе эксплуатации ИС должны выполняться в соответствии с п. 18 Приказа ФСТЭК России N 17.

Также, для сегментов ИС должен проводиться периодический (не реже 1 раза в 2 года) контроль за обеспечением уровня защищенности информации, содержащейся в информационных системах. Ответственность за проведение контроля несет Оператор ИС.

Решение о необходимости вывода ИС из эксплуатации принимает Оператор ИС совместно с Администратором РМС ОГВ. Вывод ИС из эксплуатации должен осуществляться в соответствии с Постановлением Правительства РФ N 676, при этом должны выполняться требования п. 19 Приказа ФСТЭК России N 17.

___________________

(1) В случаях, если иное не установлено федеральным законодательством, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы

Начальник управления связи департамента информатизации и связи Краснодарского края

М.Ю. Бугрий