Технические задание на разработку портала безопасности

  1. Термины и определения. 3
  2. Общие сведения. 3

2.1        Назначение документа. 3

2.2        Назначение и цели создания (развития) системы.. 5

  1. Характеристика объектов автоматизации.. 6

3.1 Проверка знаний пользователей по основам информационной и ядерной безопасности.. 6

3.2        Публикация дополнительной информации.. 6

4       Требования к порталу. 6

4.1 Нормативная база. 6

4.2 Функциональные требования. 12

4.2.1 Классы пользователей.. 13

4.2.2 Требования к функциональному блоку «Пользователи». 14

4.2.3 Требования к функциональному блоку «Новостей и мероприятий». 14

4.2.4 Требования к функциональному блоку «Курсы безопасности». 15

5       Состав и содержание работ по созданию портала. 16

5.2 Разработка серверной части. 17

5.3 Требования к программному обеспечению.. 18

5.4 Требования к техническому обеспечению.. 18

5.4 Требования к лингвистическому обеспечению.. 19

5.5 Требования к эргономике и технической эстетике. 19

6       Порядок контроля и приемки системы.. 19

6.1. Порядок контроля работ. 19

6.2        Требования к наполнению информацией. 21

6.1.1 Общие требования к информационному наполнению.. 21

6.3        Требования к персоналу. 22

6.3 Требование к хранению информации (данных) 22

6.4        Порядок предоставления дистрибутива. 23

7       Требования к составу и содержанию работ по подготовке. 24

7.1 Наполнение портала. 24

8       Объект автоматизации к вводу системы в действие. 24

9       Требования к документированию.. 24

10     Источники разработки. 24

1.                 Термины и определения

СКЗИ – Средство криптографической защиты информации;

ФСТЭК – Федеральная служба по техническому и экспортному контролю;

ФСБ – Федеральная служба безопасности;

Портал – «Портал корпоративной безопасности»;

ОС – Операционная система;

ИС – Информационная система;

БД – База данных ИС;

2.                 Общие сведения

2.1            Назначение документа

В настоящем документе приводится полный набор требований к разрабатываемому порталу.

Согласно направлению «Информационная безопасность» в программе «Цифровая экономика Российской Федерации 2024» от 28 июля 2017 года необходимо:

  • Обеспечить правовую защиту человека, общества и гос. интересов при взаимодействии в рамках цифровой экономики
  • Создать условия безопасного информационного взаимодействия субъектов в условиях цифровой экономики
  • Снизить технологическую и лицензионную зависимость от зарубежных производителей в отечественных отраслях цифровой экономики

Портал должен включать в себя следующие объекты (рисунок 1).

Подпись Заказчика и Исполнителя на настоящем документе подтверждает их согласие с нижеследующими фактами и условиями:

  • Исполнитель подготовил и разработал настоящий документ, именуемый Техническое Задание, который содержит перечень требований к выполняемым работам.
  • Заказчик согласен со всеми положениями настоящего Технического Задания.
  • Заказчик не вправе требовать от Исполнителя в рамках текущего Договора выполнения работ либо оказания услуг, прямо не описанных в настоящем Техническом Задании.
  • Исполнитель обязуется выполнить работы в объёме, указанном в настоящем Техническом Задании.
  • Заказчик не вправе требовать от Исполнителя соблюдения каких-либо форматов и стандартов, если это не указано в настоящем Техническом Задании.
  • Все неоднозначности, выявленные в настоящем Техническом задании после его подписания, подлежат двухстороннему согласованию между Сторонами.
  • В процессе согласования могут быть разработаны дополнительные требования.

2.2            Назначение и цели создания (развития) системы

В рамках разработки портала будет реализован следующий функционал:

  • Консолидация общедоступных материалов по безопасности (информационной и тд);
  • Мониторинг прохождения сотрудниками компании определенных тестов по безопасности, прочтение определённой новостной информации;
  • Описаны шаги настройки/получения дистрибутивов для шифрования;
  • Продемонстрированы различные металлические пособия по работе в программах для шифрования, дешифрования файлов, по работе с персональными данными и тд.
  • Продемонстрированы методические пособия и нормативные акты стран, в которых присутствует представительство;
  • Автоматизирована проверка пользователей по разделам информационной безопасности (фишинговые письма, документы с потенциальными вирусами и тд).

3.                 Характеристика объектов автоматизации

3.1 Проверка знаний пользователей по основам информационной и ядерной безопасности

В рамках разработки портала по информационной безопасности будет автоматизирован этап проверки знаний пользователей. Т.е у каждого пользователя компании будет создан свой личный кабинет, пользователь самостоятельно сможет выбрать необходимый курс (посмотреть материалы, послушать аудио записи, посмотреть видео записи), в завершении теоретического курса пользователю будет предложен тест для проверки его компетенций и проверки необходимых знаний.

3.2 Публикация дополнительной информации

В рамках обязательного прохождения курса у всех пользователей будет возможность просмотреть блок общедоступных материалов (новости, события из сферы информационной безопасности) для формирования актуальной информации и непрерывного обучения пользователей портала.

4                   Требования к порталу

4.1 Нормативная база

Разрабатываемый портал будет базироваться на следующих нормативных актах:

 

4.2 Функциональные требования

Портал безопасности будет состоять из следующих разделов: классы пользователей, блок новостей/мероприятий, блок курса безопасности, блок прохождения тестирования по курсу безопасности.

На главной странице портала должны отображаться новости, мероприятия, вход в личных кабинет пользователя (авторизация и регистрация) – для всех пользователей.

Главная страница портала должна содержать графическую часть, навигационное меню сайта (у пользователя появляются списки меню в нижней части приложения и в боковой части), а также контентную область для того, чтобы посетитель с первой страницы мог получить вводную информацию об актуальных новостях, мероприятиях по национальной, международной безопасности.

В нижней части экрана должно располагаться горизонтальное меню и включать разделы: обратная связь, ссылка на головной сайт компании.

Для авторизованных пользователей должен выводиться дополнительный блок с курсами по безопасности.

4.2.1 Классы пользователей

Гость – неавторизованный пользователь, обладает правам:

  • Раздел новости – просмотр
  • Регистрация на портале
  • Раздел мероприятий — просмотр

Авторизованный пользователь обладает правами:

  • Раздел новости – просмотр
  • Радел мероприятий – просмотр
  • Методические материалы в рамках определенного курса – просмотр
  • Возможно решить тестовое задание – выполнение
  • Обратная связь – создание письма
  • Сообщение в техническую поддержку – создание заявки
  • Подписка на рассылки и уведомления – инициация подписки

Администратор обладает следующими правами:

  • Раздел новости – просмотр, редактирование, добавление;
  • Радел мероприятий – просмотр, редактирование, добавление;
  • Методические материалы в рамках определенного курса – просмотр, редактирование, добавление;
  • Обучающий курс – создание, редактирование, архивирование;
  • Тестовое задания – создание, редактирование, проставление баллов, возможность решать
  • Обратная связь – создание письма, просмотр всех отправленных писем
  • Сообщение в техническую поддержку – создание заявки, просмотр всех писем в технические поддержки
  • Подписка на рассылки и уведомления – инициация подписки, редактирование подписки
  • Новый пользователь – регистрация

HR специалист обладает следующими правами:

  • Список сотрудников, зарегистрированных на портале – просмотр, редактирование, блокировка, регистрация
  • Результат теста – просмотр, вывод списочного результата

4.2.2 Требования к функциональному блоку «Пользователи»

Пользователи портала безопасности должны автоматически синхронизироваться с учетной системой – Active Directory Windows.

Вход на портал должен осуществляться по логину пользователя и сформированному паролю, который автоматически придет пользователю при первоначальной фиксации пользователя на портале.

4.2.3 Требования к функциональному блоку «Новостей и мероприятий»

Функциональней блок «Новости и мероприятия» должен выводить горизонтальным списком последние новости из сферы национальной/ международной безопасности.

Количество выводимых новостей на главной стране должно быть равно 4.

При переходе на раздел «Новости» или «Мероприятия» пользователю выводится страница со всеми новостями или мероприятиями. На главной странице блока должно выводиться наименование статьи, уменьшенная копия картинки, имя автора, количество статей в строке должно быть равно 4.

В боковом меню должны находится элементы поиска. Т.е любой пользователь портал сможет произвести необходимый поиск по дате, по наименованию, по дате создания новости, по тегам и другим различным данным.

4.2.4 Требования к функциональному блоку «Курсы безопасности»

У авторизованных пользователей портала (т.е после авторизации пользователей) на главной должно дополнительно появиться блок с открытыми для них курсами безопасности. Должно выводится наименование курса, уменьшенная картинка курса, количество человек, прошедших курс и тд. Количество выводимых курсов в ряду должно быть равно 4, по вертикали – неограниченно.

Открытые курсы безопасности для конкретного пользователя/группы пользователей определяет HR специалист.

После нажатия на соответствующий курс пользователю должна открыться страница выбранного курса. На данной странице должна выводиться следующая информация:

  • Информация о курсе
  • Отзыв о курсе
  • Описание курса
  • Визуальная информация
  • Время прохождения курса
  • Язык курса
  • Содержание

5                   Состав и содержание работ по созданию портала

  • Разработка формы авторизации

Для повышения класса защищённости портала безопасности на основании «Руководящего документа автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите Информации», утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г, мы осуществим разработку следующего модуля «аутентификация с помощью PAM модуля”.

Pluggable Authentication Modules (PAM, подключаемые модули аутентификации) — это набор разделяемых библиотек, которые позволяют интегрировать различные низкоуровневые методы аутентификации в виде единого высокоуровневого API.

В разрабатываемом модуле должны быть предусмотрены следующие подсистемы (для обеспечения класса защищенности 3Б):

А) Подсистема управления доступом:

  • В данной подсистеме должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно — постоянного действия, длиной не менее шести буквенно – цифровых символов.

 

Б) Подсистема регистрации и учета:

  • должна осуществляться регистрация входа (выхода) субъектов доступа в портал (из портала), либо регистрация загрузки и инициализации операционной системы и ее программного останова.
  • Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения портала.

 

В) В параметрах регистрации указываются:

  • дата и время входа (выхода) субъекта доступа в портал (из портала) или загрузки (остановки) портала;
  • должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку).

 

5.2 Разработка серверной части

В качестве разработки нашего портала будет использоваться язык программирования Python или PHP, реляционная база данных Mysql.

5.3 Разработка клиентской части

Для реализации статических страниц и шаблонов должны использоваться языки HTML 4.0 и CSS. Исходный код должен разрабатываться в соответствии со стандартами W3C (HTML 4.0). Для реализации интерактивных элементов клиентской части должны использоваться языки JavaScript и DHTML.

  • Требования к организации гиперссылок. Все ссылки в портале должны быть относительными (за исключением внешних).
  • Требования к иллюстрациям. Все рисунки и фото объемом более 1 kb (кроме элементов дизайна страницы) должны быть выполнены с замещающим текстом. Все рисунки должны быть в формате gif или jpg.
  • Требования к объему одной страницы. Объем одной стандартной загружаемой страницы сайта в среднем не должен превышать 170 kb.

5.3 Требования к программному обеспечению

Серверная часть:

  • Операционная система семейства Unix (Linux, FreeBSD и пр.)
  • Веб-сервер Apache 1.3.18 и выше
  • Nginx, модуль mod_accel для Apache
  • Набор библиотек и утилит ffmpeg
  • PHP 4.2.0 и выше (должен быть собран как модуль Apache)
  • СУБД MySQL 4.1.14 и выше (предпочтительно: поддержка формата InnoDB).
  • Модули PHP: Mcrypt, FTP, ffmpeg-php
  • Библиотеки PHP: Smarty, GeoIP
  • Возможность доступа к localhost по FTP протоколу
  • 2 пользователя БД

Желательно, чтобы PHP не был запущен в SafeMode, Python версии 2.6.6

Клиентская часть:

  • Любой из перечисленный ниже браузеров (указана минимальная версия) с включенным
  • Internet Explorer 6
  • Mozilla 1.6 (Firefox 1.0)
  • Opera 9
  • Adobe Flash Player версии 9 и выше. Сайт должен быть работоспособен (информация,
  • расположенная на нем, должна быть доступна) при отключении в браузере поддержки flash и

 5.4 Требования к техническому обеспечению

Серверная часть:

  • Компьютер с процессором Xeon 4 ядерный
  • 2 ГГц (рекомендуется от 3 ГГц)
  • Оперативная память 4 Гб
  • Место на жестком диске от 1 Гб

Точные технически характеристики сервера будут уточнены после завершения системы и обширного тестирования всех модулей

Клиентская часть:

  • Компьютер с процессором i3 ГГц (рекомендуется от 1.5ГГц)
  • Оперативная память 256 Мб (рекомендуется от 512 Мб)

 

 

5.4 Требования к лингвистическому обеспечению

Языком по умолчанию портала должен быть русский, но для пользователей, работающих на территории других стран, – язык может быть английский. Переключение языка должно происходить по выбору соответствующей иконки.

5.5 Требования к эргономике и технической эстетике

Портал должен быть адаптивный для различных браузеров (Firefox, Chrome, Edge, IE), стандартное поддерживаемое разрешение должно быть 720х1280 пикселей. Интерфейс подключаемых модулей должен быть выполнен в едином стиле с интерфейсом ядра системы и должен обеспечивать возможность прозрачного перемещения администратора между модулями системы и использование одинаковых процедур управления и навигационных элементов для выполнения однотипных операций.

6                   Порядок контроля и приемки системы

6.1. Порядок контроля работ

В следующей таблице будут приведены целевые даты реализации портала.

 

Перспектива Цель
Целевая дата
2 Стратегические вопросы Создание портала безопасности 10.05. 2019
3 Технические вопросы Разработка форм аутентификации пользователей 20.01. 2019
Разработка портала (Backend & front) 10.02. 2019
30.02. 2019
Проведение тест кейсов 15.03. 2019
Разработка диаграмм классов, User story и тд 10.01. 2019
10.01. 2019
10.01. 2019
Интеграция пользователей AD 10.03. 2019
4 Обучение и развитие Создание методических материалов 20.04.2019
Разработка тестов для сотрудников АСЕ 10.05.2019
10.05.2019
Поиск международных нормативных актов в сфере информационной и атомной безопасности 1.04.2019
Проверка знаний пользователей 28.05.2018
Создание отчетов проверка знаний 28.05.2018
28.05.2018
28.05.2018
Поиск общедоступных нормативных актов (ГОСТов, приказов ФСТЭК, ФСБ и тд) 1.04.2019
1.04.2019
1.04.2019

 

6.2            Требования к наполнению информацией

6.1.1 Общие требования к информационному наполнению

Публикуемая информация на сайте должна основываться на:

6.1.2 Общие требования к возможности наполнения

Наполнение страниц портала должно происходить с помощью обученных HR специалистов и методологов, публикуемая информация должна делиться на категории – новости, мероприятия (с публичным доступом), курсы безопасности (по доступу к ограниченному кругу лиц)

6.3            Требования к персоналу

Персонал для работы с порталом безопасности должен состоять из сотрудников компании, других заинтересованных сотрудников. HR специалисты должны быть подготовлены для работы с порталом.

Для эксплуатации веб-интерфейса сайта от администратора не должно требоваться специальных технических навыков, знания технологий или программных продуктов, за исключением общих навыков работы с персональным компьютером и стандартным веб-браузером (например, MS IE 6.0 или выше).

Администратор: уверенный пользователь сети Интернет, знание Microsoft Word.

Пользователи, HR специалист: уверенный пользователь сети Интернет.

6.3 Требование к хранению информации (данных)

Все данные сайта должны храниться в структурированном виде под управлением реляционной СУБД. Исключения составляют файлы, предназначенные для просмотра и скачивания (изображения, видео, документы и т.п.). Такие файлы сохраняются в файловой системе, а в БД размещаются ссылки на них. Наполнение различных сайтов, функционирование которых поддерживается одной и той же инсталляцией системы, должно храниться под управлением единой СУБД.

6.4 Порядок предоставления дистрибутива

По окончанию разработки Исполнитель должен предоставить Заказчику исходные коды портала в составе:

  • архив с исходными кодами всех программных модулей и разделов портала (сайта);
  • дамп базы данных с актуальной информацией.
  • Дистрибутив предоставляется на CD-диске в виде файлового архива.

 

  • Порядок переноса сайта на технические средства заказчика

После завершения сдачи-приемки сайта (портала), в рамках гарантийной поддержки Исполнителем производится однократный перенос разработанного портала на сервер Заказчика.  Перед осуществлением переноса Заказчик обеспечивает удаленный shell-доступ к веб-серверу и доступ к базе данных.

  • Дополнительные требования

Требования к производительности:

  • Работа любого скрипта не должна превышать 60 секунд.
  • При условии нагрузки на сервер не более 2000 обращений к страницам портала в сутки.

Требования к безопасности

  • Требуется защитить исходный код общей части сайта. Не должно быть возможности считать php-код скриптов, Python скриптов. Требуется разграничение доступа.
  • Пароли пользователей хранятся в зашифрованном виде. Перехват данных на уровне протокола tcp невозможен.
  • На уровне СУБД должно быть реализовано разграничение доступа к данным в БД.

Требования к надежности

  • Портал может быть недоступен не более чем 24 часа в год. Резервирование данных осуществляется Клиентом.
  • У администратора сайта должна быть возможность выгрузить и загрузить копию сайта

7                   Требования к составу и содержанию работ по подготовке

7.1 Наполнение портала

Для наполнения портала необходимо разработать методические материалы по информационной и ядерной безопасности.

В процессе разработки методических материалов будет использоваться сайт МАГАТЭ, национальные нормативные акты, международные нормативные акты

8                   Объект автоматизации к вводу системы в действие

Объектом автоматизации является регламент и механизм проверки актуальности знаний, централизованный ресурс, агрегирующий нормативную документацию, требования в области информационной и ядерной безопасности.

9                   Требования к документированию

10              Источники разработки

Читайте также:


Добавить комментарий