АИС «Управление закупками» Владимирской области

Настоящий регламент определяет требования, условия и зоны ответственности, а также устанавливает порядок подключения Пользователей к АИС. Оператором АИС является Министерство имущественных и земельных отношений Владимирской области (далее – Оператор).

Требования настоящего регламента распространяются на АРМ Пользователей, подключаемые (имеющие подключение) к АИС.

Введение

Требования настоящих технических условий устанавливают состав, содержание, порядок выполнения работ по подключению АРМ Пользователей АИС, а также состав средств защиты информации, в том числе средств криптографической защиты информации, необходимых для организации защищенного взаимодействия АРМ Пользователей с АИС.

Основные положения

1.1. Общее описание информационного обмена

Обмен информацией между АИС и АРМ Пользователей осуществляется в электронном виде через сети связи общего пользования (сети Интернет).

Для внешних пользователей АИС предъявляются требования по обеспечению третьего класса защищённости ГИС (К3) и четвертого уровня защищенности персональных данных (4УЗ) в соответствии с Приказами ФСТЭК России от 11.02.2013 № 17 и от 18.02.2013 № 21.

1.2. Общие требования по защите информации

В соответствии с нормативно-правовыми актами в сфере защиты информации в АИС «Управление закупками» и на АРМ Пользователей АИС должны быть приняты меры по защите информации.

Обмен защищаемой информацией осуществляется после принятия необходимых мер по информационной безопасности, обеспечения защиты информации от подмены, повреждения, утраты или неправомерного раскрытия, предусмотренных нормативными правовыми актами Российской Федерации в области защиты информации.

Технические требования

2.1. Требования к организации подключения

Организация подключения внешних пользователей с размещенными АРМ к АИС должна осуществляться в соответствии с:

1) требованиями нормативно-правовых актов Российской Федерации в сфере защиты информации;

2) требованиями нормативно-технических и методических документов уполномоченных органов исполнительной власти Российской Федерации в сфере обеспечения безопасности информации (ФСТЭК России, ФСБ России);

3) требованиями настоящего Регламента.

Условиями организации взаимодействия АРМ Пользователя с АИС являются определение угроз безопасности информации и реализация проектных решений по системе защиты информации для АРМ, применимых для сегмента внешних пользователей АИС.

1. Требования к реализации защищенного взаимодействия

2.2.1. Общие требования

Для организации защищенного взаимодействия ОГВ, в которой установлен АРМ Пользователя, с АИС, в организации должны быть выполнены организационные и технические мероприятия, подтверждающие соответствие системы защиты информации на АРМ требованиям безопасности информации, предъявляемым к государственным информационным системам класса защищенности К3 в соответствии с Приказом ФСТЭК России от 11.02.2013
№ 17, а именно должны обеспечиваться:

идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации;
регистрация событий безопасности;
защита машинных носителей информации;
регистрация событий безопасности;
антивирусная защита;
контроль (анализ) защищенности информации;
целостность информационной системы и информации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных.

Для обеспечения защиты информации, содержащейся в подключаемых АРМ Пользователей, должны применяться средства защиты информации, прошедшие процедуру оценки соответствия в форме сертификации на соответствие требованиям по безопасности информации, а именно:

− СЗИ не ниже 6 класса и 6 уровня доверия;

− СВТ не ниже 5 класса.

Работы по защите информации в ходе создания и эксплуатации АРМ Пользователей АИС в соответствии с законодательством Российской Федерации проводятся самостоятельно или, при необходимости, привлекаются организации, имеющие:

лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, позволяющую выполнять работы по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации, проектирования в защищенном исполнении средств и систем информатизации, установки, монтажа, средств защиты информации.
1. 1. Типовые требования к АРМ Пользователей АИС.

Для авторизации на портале АИС требуется АРМ с установленным программным обеспечением:

Операционная система: Windows 11, Astra Linux SE, Astra Linux CE, РЕД ОС не ниже 7.3, Альт рабочая станция не ниже 11, Альт 8 СП;
Средства защиты информации от несанкционированного доступа (Secret Net Studio, Dallas Lock, встроенные в сертифицированные операционные системы или др.);
Средства антивирусной защиты (Kaspersky Endpoint Security, Dr.Web Enterprise Security Suite или др.);
Средства межсетевого экранирования (ViPNet EndPoint Protection, Secret Net Studio или др.);
Средства анализа защищенности (RedCheck, Xspider, Сканер-ВС или др.);
Дополнительно для осуществления юридически значимого документооборота требуется получение усиленной квалифицированной электронной подписи (далее – УКЭП) и установки КриптоПро CSP.

Все используемые СЗИ должны быть сертифицированы ФСТЭК России, СКЗИ – ФСБ России.

2.2.3. Специальные требования

Работы по установке, монтажу, запуску и первоначальной настройке средств защиты информации и СКЗИ должны выполняться в соответствии с требованиями ТУ и ЭД на данные средства.

Эксплуатация средств защиты информации и СКЗИ должна осуществляться в соответствии с организационно-технической, организационно-распорядительной и ЭД на систему защиты информации.

Обеспечение защиты информации в ходе эксплуатации АРМ Пользователя осуществляется организацией – владельцем АРМ – в соответствии с организационно-технической, организационно-распорядительной, ЭД на систему защиты информации АРМ Пользователя АИС и нормативно-техническими документами РФ в сфере защиты информации.

Порядок подключения

Организация, в которой размещен АРМ Пользователя АИС, предпринимает необходимые организационные и технические меры по обеспечению безопасности.

Организация подаёт заявку на регистрацию учетной записи (https://zakupki.dioavo.ru/Gzw/UserRegisterEdit?ItemId=76&show_title=on). Для отправки заявки необходимо прикрепить документы, подтверждающие полномочия лица, на которого выдается учетная запись. Комплект документов зависит от должности сотрудника, на которого учетная запись регистрируется:

для руководителя организации:

заверенная копия документа, подтверждающего вступление в должность (приказ о назначении руководителя);
копия акта об установке средств защиты информации.

для специалистов:

заверенная копия документа, подтверждающего вступление в должность (руководителя);
заверенная копия внутреннего документа, подтверждающего полномочия специалиста или доверенность;
копия акта об установке средств защиты информации.

Ответственный пользователь Оператора рассматривает заявку в течение трех рабочих дней, после чего принимает решение об одобрении или отклонении заявки. Результат рассмотрения заявки направляется на e-mail, указанный при регистрации пользователя.

Контроль реализации подключения

Ответственность за соблюдение требований настоящего Регламента, обеспечение защиты информации в ходе эксплуатации АРМ Пользователя АИС, а также ответственность за соблюдение требований к эксплуатации средств защиты информации и СКЗИ возлагается на Пользователя – владельца АРМ Пользователей АИС.

В случае выявления нарушений требований настоящего Регламента Оператор немедленно производит отключение учетной записи Пользователя в АИС и блокирует выданные идентификаторы. Одновременно с этим Оператор любым доступным ему способом извещает Пользователя о произведенном отключении.

Перечень нормативно-правовых актов

Настоящий регламент разработан на основании требований следующих законодательных, нормативно-правовых и нормативных документов:

– Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006
№ 149-ФЗ;

– Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;

– Постановление Правительства Российской Федерации «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем, и дальнейшего хранения содержащейся в их базах данных информации» от 06.07.2015 № 676;

– Постановление Правительства Российской Федерации «О лицензировании деятельности по технической защите конфиденциальной информации» от 03.02.2012 № 79;

– Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

– Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».