2.2 Назначение и цели создания (развития) системы.. 5
3.1 Проверка знаний пользователей по основам информационной и ядерной безопасности.. 6
3.2 Публикация дополнительной информации.. 6
4.2 Функциональные требования. 12
4.2.1 Классы пользователей.. 13
4.2.2 Требования к функциональному блоку «Пользователи». 14
4.2.3 Требования к функциональному блоку «Новостей и мероприятий». 14
4.2.4 Требования к функциональному блоку «Курсы безопасности». 15
5 Состав и содержание работ по созданию портала. 16
5.2 Разработка серверной части. 17
5.3 Требования к программному обеспечению.. 18
5.4 Требования к техническому обеспечению.. 18
5.4 Требования к лингвистическому обеспечению.. 19
5.5 Требования к эргономике и технической эстетике. 19
6 Порядок контроля и приемки системы.. 19
6.1. Порядок контроля работ. 19
6.2 Требования к наполнению информацией. 21
6.1.1 Общие требования к информационному наполнению.. 21
6.3 Требования к персоналу. 22
6.3 Требование к хранению информации (данных) 22
6.4 Порядок предоставления дистрибутива. 23
7 Требования к составу и содержанию работ по подготовке. 24
8 Объект автоматизации к вводу системы в действие. 24
9 Требования к документированию.. 24
1. Термины и определения
СКЗИ – Средство криптографической защиты информации;
ФСТЭК – Федеральная служба по техническому и экспортному контролю;
ФСБ – Федеральная служба безопасности;
Портал – «Портал корпоративной безопасности»;
ОС – Операционная система;
ИС – Информационная система;
БД – База данных ИС;
2. Общие сведения
2.1 Назначение документа
В настоящем документе приводится полный набор требований к разрабатываемому порталу.
Согласно направлению «Информационная безопасность» в программе «Цифровая экономика Российской Федерации 2024» от 28 июля 2017 года необходимо:
- Обеспечить правовую защиту человека, общества и гос. интересов при взаимодействии в рамках цифровой экономики
- Создать условия безопасного информационного взаимодействия субъектов в условиях цифровой экономики
- Снизить технологическую и лицензионную зависимость от зарубежных производителей в отечественных отраслях цифровой экономики
Портал должен включать в себя следующие объекты (рисунок 1).
Подпись Заказчика и Исполнителя на настоящем документе подтверждает их согласие с нижеследующими фактами и условиями:
- Исполнитель подготовил и разработал настоящий документ, именуемый Техническое Задание, который содержит перечень требований к выполняемым работам.
- Заказчик согласен со всеми положениями настоящего Технического Задания.
- Заказчик не вправе требовать от Исполнителя в рамках текущего Договора выполнения работ либо оказания услуг, прямо не описанных в настоящем Техническом Задании.
- Исполнитель обязуется выполнить работы в объёме, указанном в настоящем Техническом Задании.
- Заказчик не вправе требовать от Исполнителя соблюдения каких-либо форматов и стандартов, если это не указано в настоящем Техническом Задании.
- Все неоднозначности, выявленные в настоящем Техническом задании после его подписания, подлежат двухстороннему согласованию между Сторонами.
- В процессе согласования могут быть разработаны дополнительные требования.
2.2 Назначение и цели создания (развития) системы
В рамках разработки портала будет реализован следующий функционал:
- Консолидация общедоступных материалов по безопасности (информационной и тд);
- Мониторинг прохождения сотрудниками компании определенных тестов по безопасности, прочтение определённой новостной информации;
- Описаны шаги настройки/получения дистрибутивов для шифрования;
- Продемонстрированы различные металлические пособия по работе в программах для шифрования, дешифрования файлов, по работе с персональными данными и тд.
- Продемонстрированы методические пособия и нормативные акты стран, в которых присутствует представительство;
- Автоматизирована проверка пользователей по разделам информационной безопасности (фишинговые письма, документы с потенциальными вирусами и тд).
3. Характеристика объектов автоматизации
3.1 Проверка знаний пользователей по основам информационной и ядерной безопасности
В рамках разработки портала по информационной безопасности будет автоматизирован этап проверки знаний пользователей. Т.е у каждого пользователя компании будет создан свой личный кабинет, пользователь самостоятельно сможет выбрать необходимый курс (посмотреть материалы, послушать аудио записи, посмотреть видео записи), в завершении теоретического курса пользователю будет предложен тест для проверки его компетенций и проверки необходимых знаний.
3.2 Публикация дополнительной информации
В рамках обязательного прохождения курса у всех пользователей будет возможность просмотреть блок общедоступных материалов (новости, события из сферы информационной безопасности) для формирования актуальной информации и непрерывного обучения пользователей портала.
4 Требования к порталу
4.1 Нормативная база
Разрабатываемый портал будет базироваться на следующих нормативных актах:
- Приказ ФСТЭК от 11 февраля 2013 г. n 17 об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах,
- Федеральный закон от 29 июня 2015 г. № 188-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статью 14 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»»
- Федеральный закон от 05 апреля 2013 г. № 44-ФЗ (ред. от 31.12.2014) «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
- Федеральный закон от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
- Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»;
- Федеральный закон от 07 июля 2003 г. № 126-ФЗ «О связи»;
- Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»;
- Трудовой кодекс РФ. Глава 14. «Защита персональных данных работника».
- Указ Президента Российской Федерации № 260 от 22 мая 2015 года «О некоторых вопросах информационной безопасности Российской Федерации».
- Указ Президента Российской Федерации № 537 от 12 мая 2009 года «О стратегии национальной безопасности Российской Федерации до 2020 года»;
- Указ Президента Российской Федерации № 351 от 17 марта 2008 года «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
- Указ Президента Российской Федерации № 1576 от 01 ноября 2008 года «О совете при Президенте Российской Федерации по развитию информационного общества в Российской Федерации»;
- Указ Президента Российской Федерации № 1085 от 16 августа 2004 года «Вопросы Федеральной Службы по техническому и экспортному контролю» (в ред. Указов Президента РФ от 22.03.2005 № 330, от 20.07.2005 № 846, от 30.11.2006 № 1321, от 23.10.2008 № 1517, от 17.11.2008 № 1625);
- Указ Президента Российской Федерации № 960 от 11 августа 2003 года «Вопросы Федеральной Службы Безопасности Российской Федерации» (в ред. Указов Президента РФ от 11.07.2004 № 870, от 31.08.2005 № 1007, от 01.12.2005 № 1383, от 12.06.2006 № 602, от 27.07.2006 № 799, от 28.12.2006 № 1476, от 28.11.2007 № 1594, от 28.12.2007 № 1765, от 01.09.2008 № 1278, от 23.10.2008 № 1517, от 17.11.2008 № 1625, от 22.04.2010 № 499, от 14.05.2010 № 589);
- Распоряжение Президента Российской Федерации № 366-рп от 10 июля 2001 года «О подписании конвенции о защите физических лиц при автоматизированной обработке персональных данных»;
- Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. № Пр-1895;
- Указ Президента Российской Федерации № 188 от 6 марта 1997 года «Об утверждении перечня сведений конфиденциального характера» (в ред. Указов Президента РФ от 23.09.2005 № 1111, от 13.07.2015 № 357);
- Указ Президента Российской Федерации № 170 от 20 января 1994 года «Об основах государственной политики в сфере информатизации» (в ред. Указов Президента РФ от 26.07.95 № 764, от 17.01.97 № 13, от 09.07.97 № 710);
- Указ Президента Российской Федерации № 2334 от 31 декабря 1993 года «О дополнительных гарантиях прав граждан на информацию» (в ред. Указов Президента РФ от 17.01.1997 № 13, от 01.09.2000 № 1606);
- Постановление Правительства Российской Федерации от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»
- Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- Постановление Правительства Российской Федерации от 03 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;
- Перечень документов, необходимых для получения лицензии на деятельность по технической защите конфиденциальной информации
- Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации
- Постановление Правительства Российской Федерации от 03 февраля 2012 г. № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»;
- Перечень документов, необходимых для получения лицензии на разработку и производство средств защиты конфиденциальной информации
- Перечень технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения видов работ, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации
- Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 21 ноября 2011 г. № 957 «Об организации лицензирования отдельных видов деятельности»;
- Постановление Правительства Российской Федерации от 06 октября 2011 г. № 826 «Об утверждении типовой формы лицензии»;
- Постановление Правительства Российской Федерации от 23 января 2006 г. № 32 «Об утверждении Правил оказания услуг связи по передаче данных»;
- Постановление Правительства Российской Федерации от 02 марта 2005 г. № 110 «Об утверждении порядка осуществления государственного надзора за деятельностью в области связи»;
- Постановление Правительства Российской Федерации от 30 июня 2004 г. № 320 «Об утверждении Положения о Федеральном агентстве связи»;
- Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»;
- Постановление Правительства Российской Федерации от 03 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
- Приказ ФСБ России, ФСТЭК России, Минкомсвязь России № 151/786/461 от 31 декабря 2013 г. «О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»».
- Приказ ФСБ России № 416, ФСТЭК № 489 от 31 августа 2010 г. «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»;
- Приказ ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических средств защиты информации (Положение ПКЗ-2005))» (в ред. Приказа ФСБ РФ от 12.04.2010 №173);
- Информационное сообщение ФСТЭК России от 6 апреля 2015 г. № 240/13/357 «О новой редакции перечней технической (технологической) документации национальных стандартов и методических документов…»;
- Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
- Информационное сообщение ФСТЭК России от 15 июля 2013 г. № 240/22/2637 «По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах…» (в связи с изданием приказов ФСТЭК России от 11 февраля 2013 г. № 17 и от 18 февраля 2013 г. № 21);
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- Информационное сообщение ФСТЭК России от 30 июля 2012 г. № 240/24/3095 «Об утверждении требований к средствам антивирусной защиты».
- Информационное сообщение ФСТЭК России от 30 мая 2012 г. № 22/2222 «По вопросу необходимости получения лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации»;
- Приказ Россвязькомнадзора № 996 от 05 сентября 2013 г. «Об утверждении требований и методов по обезличиванию персональных данных»;
- Приказ Управления Роскомнадзора по Москве и Московской области от 02.02.2010 № 013-од «Типовой регламент №26 проведения проверки по контролю (надзору) за деятельностью, связанной с обработкой персональных данных с использованием средств автоматизации или без использования таких средств».
- Приказ Россвязькомнадзора № 18 от 30 января 2010 г. «Об утверждении административного регламента федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных»;
- Приказ Россвязькомнадзора № 104 от 25 августа 2009 г. «Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»;
- Письмо Россвязькомнадзора от 13 мая 2009 г. № ДС-П11-2502 «Об осуществлении трансграничной передачи персональных данных».
- Приказ Россвязькомнадзора № 08 от 17 июля 2008 г. «Об утверждении образца формы уведомления об обработке персональных данных»;
- Перечень Государственных стандартов Российской Федерации в области защиты конфиденциальной информации и персональных данных.
- ФСТЭК России. Методический документ «Меры защиты информации в государственных информационных системах» (утв. Федеральной службой по техническому и экспортному контролю 11 февраля 2014 г.);
- Методические рекомендации по применению приказа Роскомнадзора от 05 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию персональных данных».
- ФСТЭК России. «Решение в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г.№58…» от 5 марта 2010 г.;
- ФСБ России. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ РФ 21 февраля 2008 г. №149/54-144);
- ФСБ России. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСБ РФ 21 февраля 2008 г. №149/6/6-622);
- ФСТЭК России. «Базовая Модель угроз безопасности персональных данных при обработке в информационных системах персональных данных» (выписка) (утв. Заместителем директора ФСТЭК России 15 февраля 2008 г.);
- ФСТЭК России. «Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных» (утв. Заместителем директора ФСТЭК России 14 февраля 2008 г.)
- ФСТЭК России. «Положение по аттестации объектов информатизации по требованиям безопасности информации»(утв. Председателем ГТК при Президенте РФ 25 ноября 1994 г.);
- ФСТЭК России. «Сборник руководящих документов по защите информации от несанкционированного доступа» 1992 г.;
- ФСТЭК России. Форма заявления о предоставлении лицензии юридическому лицу;
- General Data Protection Regulation, GDPR; Постановление (Европейский Союз) 2016/679;
4.2 Функциональные требования
Портал безопасности будет состоять из следующих разделов: классы пользователей, блок новостей/мероприятий, блок курса безопасности, блок прохождения тестирования по курсу безопасности.
На главной странице портала должны отображаться новости, мероприятия, вход в личных кабинет пользователя (авторизация и регистрация) – для всех пользователей.
Главная страница портала должна содержать графическую часть, навигационное меню сайта (у пользователя появляются списки меню в нижней части приложения и в боковой части), а также контентную область для того, чтобы посетитель с первой страницы мог получить вводную информацию об актуальных новостях, мероприятиях по национальной, международной безопасности.
В нижней части экрана должно располагаться горизонтальное меню и включать разделы: обратная связь, ссылка на головной сайт компании.
Для авторизованных пользователей должен выводиться дополнительный блок с курсами по безопасности.
4.2.1 Классы пользователей
Гость – неавторизованный пользователь, обладает правам:
- Раздел новости – просмотр
- Регистрация на портале
- Раздел мероприятий — просмотр
Авторизованный пользователь обладает правами:
- Раздел новости – просмотр
- Радел мероприятий – просмотр
- Методические материалы в рамках определенного курса – просмотр
- Возможно решить тестовое задание – выполнение
- Обратная связь – создание письма
- Сообщение в техническую поддержку – создание заявки
- Подписка на рассылки и уведомления – инициация подписки
Администратор обладает следующими правами:
- Раздел новости – просмотр, редактирование, добавление;
- Радел мероприятий – просмотр, редактирование, добавление;
- Методические материалы в рамках определенного курса – просмотр, редактирование, добавление;
- Обучающий курс – создание, редактирование, архивирование;
- Тестовое задания – создание, редактирование, проставление баллов, возможность решать
- Обратная связь – создание письма, просмотр всех отправленных писем
- Сообщение в техническую поддержку – создание заявки, просмотр всех писем в технические поддержки
- Подписка на рассылки и уведомления – инициация подписки, редактирование подписки
- Новый пользователь – регистрация
HR специалист обладает следующими правами:
- Список сотрудников, зарегистрированных на портале – просмотр, редактирование, блокировка, регистрация
- Результат теста – просмотр, вывод списочного результата
4.2.2 Требования к функциональному блоку «Пользователи»
Пользователи портала безопасности должны автоматически синхронизироваться с учетной системой – Active Directory Windows.
Вход на портал должен осуществляться по логину пользователя и сформированному паролю, который автоматически придет пользователю при первоначальной фиксации пользователя на портале.
4.2.3 Требования к функциональному блоку «Новостей и мероприятий»
Функциональней блок «Новости и мероприятия» должен выводить горизонтальным списком последние новости из сферы национальной/ международной безопасности.
Количество выводимых новостей на главной стране должно быть равно 4.
При переходе на раздел «Новости» или «Мероприятия» пользователю выводится страница со всеми новостями или мероприятиями. На главной странице блока должно выводиться наименование статьи, уменьшенная копия картинки, имя автора, количество статей в строке должно быть равно 4.
В боковом меню должны находится элементы поиска. Т.е любой пользователь портал сможет произвести необходимый поиск по дате, по наименованию, по дате создания новости, по тегам и другим различным данным.
4.2.4 Требования к функциональному блоку «Курсы безопасности»
У авторизованных пользователей портала (т.е после авторизации пользователей) на главной должно дополнительно появиться блок с открытыми для них курсами безопасности. Должно выводится наименование курса, уменьшенная картинка курса, количество человек, прошедших курс и тд. Количество выводимых курсов в ряду должно быть равно 4, по вертикали – неограниченно.
Открытые курсы безопасности для конкретного пользователя/группы пользователей определяет HR специалист.
После нажатия на соответствующий курс пользователю должна открыться страница выбранного курса. На данной странице должна выводиться следующая информация:
- Информация о курсе
- Отзыв о курсе
- Описание курса
- Визуальная информация
- Время прохождения курса
- Язык курса
- Содержание
5 Состав и содержание работ по созданию портала
- Разработка формы авторизации
Для повышения класса защищённости портала безопасности на основании «Руководящего документа автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите Информации», утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г, мы осуществим разработку следующего модуля «аутентификация с помощью PAM модуля”.
Pluggable Authentication Modules (PAM, подключаемые модули аутентификации) — это набор разделяемых библиотек, которые позволяют интегрировать различные низкоуровневые методы аутентификации в виде единого высокоуровневого API.
В разрабатываемом модуле должны быть предусмотрены следующие подсистемы (для обеспечения класса защищенности 3Б):
А) Подсистема управления доступом:
- В данной подсистеме должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно — постоянного действия, длиной не менее шести буквенно – цифровых символов.
Б) Подсистема регистрации и учета:
- должна осуществляться регистрация входа (выхода) субъектов доступа в портал (из портала), либо регистрация загрузки и инициализации операционной системы и ее программного останова.
- Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения портала.
В) В параметрах регистрации указываются:
- дата и время входа (выхода) субъекта доступа в портал (из портала) или загрузки (остановки) портала;
- должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку).
5.2 Разработка серверной части
В качестве разработки нашего портала будет использоваться язык программирования Python или PHP, реляционная база данных Mysql.
5.3 Разработка клиентской части
Для реализации статических страниц и шаблонов должны использоваться языки HTML 4.0 и CSS. Исходный код должен разрабатываться в соответствии со стандартами W3C (HTML 4.0). Для реализации интерактивных элементов клиентской части должны использоваться языки JavaScript и DHTML.
- Требования к организации гиперссылок. Все ссылки в портале должны быть относительными (за исключением внешних).
- Требования к иллюстрациям. Все рисунки и фото объемом более 1 kb (кроме элементов дизайна страницы) должны быть выполнены с замещающим текстом. Все рисунки должны быть в формате gif или jpg.
- Требования к объему одной страницы. Объем одной стандартной загружаемой страницы сайта в среднем не должен превышать 170 kb.
5.3 Требования к программному обеспечению
Серверная часть:
- Операционная система семейства Unix (Linux, FreeBSD и пр.)
- Веб-сервер Apache 1.3.18 и выше
- Nginx, модуль mod_accel для Apache
- Набор библиотек и утилит ffmpeg
- PHP 4.2.0 и выше (должен быть собран как модуль Apache)
- СУБД MySQL 4.1.14 и выше (предпочтительно: поддержка формата InnoDB).
- Модули PHP: Mcrypt, FTP, ffmpeg-php
- Библиотеки PHP: Smarty, GeoIP
- Возможность доступа к localhost по FTP протоколу
- 2 пользователя БД
Желательно, чтобы PHP не был запущен в SafeMode, Python версии 2.6.6
Клиентская часть:
- Любой из перечисленный ниже браузеров (указана минимальная версия) с включенным
- Internet Explorer 6
- Mozilla 1.6 (Firefox 1.0)
- Opera 9
- Adobe Flash Player версии 9 и выше. Сайт должен быть работоспособен (информация,
- расположенная на нем, должна быть доступна) при отключении в браузере поддержки flash и
5.4 Требования к техническому обеспечению
Серверная часть:
- Компьютер с процессором Xeon 4 ядерный
- 2 ГГц (рекомендуется от 3 ГГц)
- Оперативная память 4 Гб
- Место на жестком диске от 1 Гб
Точные технически характеристики сервера будут уточнены после завершения системы и обширного тестирования всех модулей
Клиентская часть:
- Компьютер с процессором i3 ГГц (рекомендуется от 1.5ГГц)
- Оперативная память 256 Мб (рекомендуется от 512 Мб)
5.4 Требования к лингвистическому обеспечению
Языком по умолчанию портала должен быть русский, но для пользователей, работающих на территории других стран, – язык может быть английский. Переключение языка должно происходить по выбору соответствующей иконки.
5.5 Требования к эргономике и технической эстетике
Портал должен быть адаптивный для различных браузеров (Firefox, Chrome, Edge, IE), стандартное поддерживаемое разрешение должно быть 720х1280 пикселей. Интерфейс подключаемых модулей должен быть выполнен в едином стиле с интерфейсом ядра системы и должен обеспечивать возможность прозрачного перемещения администратора между модулями системы и использование одинаковых процедур управления и навигационных элементов для выполнения однотипных операций.
6 Порядок контроля и приемки системы
6.1. Порядок контроля работ
В следующей таблице будут приведены целевые даты реализации портала.
| № | Перспектива | Цель | ||
| Целевая дата | ||||
| 2 | Стратегические вопросы | Создание портала безопасности | 10.05. 2019 | |
| 3 | Технические вопросы | Разработка форм аутентификации пользователей | 20.01. 2019 | |
| Разработка портала (Backend & front) | 10.02. 2019 | |||
| 30.02. 2019 | ||||
| Проведение тест кейсов | 15.03. 2019 | |||
| Разработка диаграмм классов, User story и тд | 10.01. 2019 | |||
| 10.01. 2019 | ||||
| 10.01. 2019 | ||||
| Интеграция пользователей AD | 10.03. 2019 | |||
| 4 | Обучение и развитие | Создание методических материалов | 20.04.2019 | |
| Разработка тестов для сотрудников АСЕ | 10.05.2019 | |||
| 10.05.2019 | ||||
| Поиск международных нормативных актов в сфере информационной и атомной безопасности | 1.04.2019 | |||
| Проверка знаний пользователей | 28.05.2018 | |||
| Создание отчетов проверка знаний | 28.05.2018 | |||
| 28.05.2018 | ||||
| 28.05.2018 | ||||
| Поиск общедоступных нормативных актов (ГОСТов, приказов ФСТЭК, ФСБ и тд) | 1.04.2019 | |||
| 1.04.2019 | ||||
| 1.04.2019 |
6.2 Требования к наполнению информацией
6.1.1 Общие требования к информационному наполнению
Публикуемая информация на сайте должна основываться на:
- Федеральном законе «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)
- Законе РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) «О государственной тайне»
- Приказ ФСТЭК от 11 февраля 2013 г. n 17 об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
- Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»;
- Федеральный закон от 07 июля 2003 г. № 126-ФЗ «О связи»;
- Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»;
- Трудовой кодекс РФ. Глава 14. «Защита персональных данных работника».
- Указ Президента Российской Федерации № 260 от 22 мая 2015 года «О некоторых вопросах информационной безопасности Российской Федерации».
- Указ Президента Российской Федерации № 537 от 12 мая 2009 года «О стратегии национальной безопасности Российской Федерации до 2020 года»;
- Указ Президента Российской Федерации № 351 от 17 марта 2008 года «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
- Указ Президента Российской Федерации № 1576 от 01 ноября 2008 года «О совете при Президенте Российской Федерации по развитию информационного общества в Российской Федерации»
6.1.2 Общие требования к возможности наполнения
Наполнение страниц портала должно происходить с помощью обученных HR специалистов и методологов, публикуемая информация должна делиться на категории – новости, мероприятия (с публичным доступом), курсы безопасности (по доступу к ограниченному кругу лиц)
6.3 Требования к персоналу
Персонал для работы с порталом безопасности должен состоять из сотрудников компании, других заинтересованных сотрудников. HR специалисты должны быть подготовлены для работы с порталом.
Для эксплуатации веб-интерфейса сайта от администратора не должно требоваться специальных технических навыков, знания технологий или программных продуктов, за исключением общих навыков работы с персональным компьютером и стандартным веб-браузером (например, MS IE 6.0 или выше).
Администратор: уверенный пользователь сети Интернет, знание Microsoft Word.
Пользователи, HR специалист: уверенный пользователь сети Интернет.
6.3 Требование к хранению информации (данных)
Все данные сайта должны храниться в структурированном виде под управлением реляционной СУБД. Исключения составляют файлы, предназначенные для просмотра и скачивания (изображения, видео, документы и т.п.). Такие файлы сохраняются в файловой системе, а в БД размещаются ссылки на них. Наполнение различных сайтов, функционирование которых поддерживается одной и той же инсталляцией системы, должно храниться под управлением единой СУБД.
6.4 Порядок предоставления дистрибутива
По окончанию разработки Исполнитель должен предоставить Заказчику исходные коды портала в составе:
- архив с исходными кодами всех программных модулей и разделов портала (сайта);
- дамп базы данных с актуальной информацией.
- Дистрибутив предоставляется на CD-диске в виде файлового архива.
- Порядок переноса сайта на технические средства заказчика
После завершения сдачи-приемки сайта (портала), в рамках гарантийной поддержки Исполнителем производится однократный перенос разработанного портала на сервер Заказчика. Перед осуществлением переноса Заказчик обеспечивает удаленный shell-доступ к веб-серверу и доступ к базе данных.
- Дополнительные требования
Требования к производительности:
- Работа любого скрипта не должна превышать 60 секунд.
- При условии нагрузки на сервер не более 2000 обращений к страницам портала в сутки.
Требования к безопасности
- Требуется защитить исходный код общей части сайта. Не должно быть возможности считать php-код скриптов, Python скриптов. Требуется разграничение доступа.
- Пароли пользователей хранятся в зашифрованном виде. Перехват данных на уровне протокола tcp невозможен.
- На уровне СУБД должно быть реализовано разграничение доступа к данным в БД.
Требования к надежности
- Портал может быть недоступен не более чем 24 часа в год. Резервирование данных осуществляется Клиентом.
- У администратора сайта должна быть возможность выгрузить и загрузить копию сайта
7 Требования к составу и содержанию работ по подготовке
7.1 Наполнение портала
Для наполнения портала необходимо разработать методические материалы по информационной и ядерной безопасности.
В процессе разработки методических материалов будет использоваться сайт МАГАТЭ, национальные нормативные акты, международные нормативные акты
8 Объект автоматизации к вводу системы в действие
Объектом автоматизации является регламент и механизм проверки актуальности знаний, централизованный ресурс, агрегирующий нормативную документацию, требования в области информационной и ядерной безопасности.
