Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Проект Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ "Об утверждении требований, необходимых для проведения эксперимента по переводу информационных систем и информационных ресурсов федеральных органах исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу, а также по обеспечению федеральных органов исполнительной власти и государственных внебюджетных фондов автоматизированными рабочими местами и программным обеспечением" (подготовлен Минкомсвязью России 30.09.2019)

Проект Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ "Об утверждении требований, необходимых для проведения эксперимента по переводу информационных систем и информационных ресурсов федеральных органах исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу, а также по обеспечению федеральных органов исполнительной власти и государственных внебюджетных фондов автоматизированными рабочими местами и программным обеспечением" (подготовлен Минкомсвязью России 30.09.2019)

4 октября 2019

Досье на проект

Пояснительная записка

В соответствии с подпунктом "а" пункта 10 Положения о проведении эксперимента по переводу информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу, а также по обеспечению федеральных органов исполнительной власти и государственных внебюджетных фондов автоматизированными рабочими местами и программным обеспечением, утвержденных постановлением Правительства Российской Федерации от 28 августа 2019 г. N 1114 (Собрание законодательства Российской Федерации, 2019, N 35, ст. 4979)

приказываю:

1. Утвердить по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации:

Требования к центрам обработки данных, присоединяемым в рамках эксперимента по переводу информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу, а также по обеспечению федеральных органов исполнительной власти и государственных внебюджетных фондов автоматизированными рабочими местами и программным обеспечением к государственной единой облачной платформе (далее соответственно - эксперимент, ГЕОП), согласно приложению N 1 к настоящему приказу;

Требования к обеспечению информационной безопасности в ГЕОП в рамках проведения эксперимента, согласно приложению N 2 к настоящему приказу;

Требования к оптимизации архитектуры информационных систем и информационных ресурсов участников эксперимента с целью перевода их в ГЕОП, согласно приложению N 3 к настоящему приказу;

Требования к использованию участниками эксперимента услуг поставщиков, а также к порядку и методологии подключения участников эксперимента к ГЕОП, согласно приложению N 4 к настоящему приказу;

2. Контроль за исполнением настоящего приказа возложить на заместителя Министра цифрового развития, связи и массовых коммуникаций Российской Федерации Е.Ю. Кислякова.

3. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

Министр

К.Ю. Носков

Приложение N 1
к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
от _______2019 N ________

Требования к центрам обработки данных, присоединяемым в рамках эксперимента по переводу информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу, а также по обеспечению федеральных органов исполнительной власти и государственных внебюджетных фондов автоматизированными рабочими местами и программным обеспечением к государственной единой облачной платформе

I Общие положения

Настоящие Требования к центрам обработки данных, присоединяемым в рамках эксперимента по переводу информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу, а также по обеспечению федеральных органов исполнительной власти и государственных внебюджетных фондов автоматизированными рабочими местами и программным обеспечением к государственной единой облачной платформе должны применяться к центрам обработки данных, которые предполагается использовать под размещение инфраструктуры государственной единой облачной платформы для обеспечения функционирования государственных информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов - участников эксперимента.

Центр обработки данных - структура или группа структур, предназначенных для централизованного размещения, организации взаимодействия и эксплуатации ИТ-систем, сетевого и телекоммуникационного оборудования, обеспечивающих возможность оказания услуг в области хранения, обработки и передачи данных, а также все объекты и инфраструктуры, используемые для распределения электроэнергии и контроля среды в сочетании со средствами обеспечения требуемой устойчивости и безопасности для достижения желаемого уровня доступности оказываемых услуг, в соответствии с ГОСТ Р ИСО/МЭК 30134-1- 2018 "Информационные технологии. Центры обработки данных. Ключевые показатели эффективности. Часть 1. Основные положения и общие требования", утверждённым и введённым в действие Приказом Федерального агентства по техническому регулированию и метрологии от 6 ноября 2018 г. N 927-ст.

Под государственной единой облачной платформой (далее - ГЕОП) понимается экосистема предоставления сервисных услуг инфраструктуры, федеральным органам исполнительной власти и государственным внебюджетным фондам на основании государственных контрактов, заключённых в соответствии с законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд.

Потребитель услуг - федеральный орган исполнительной власти или государственный внебюджетный фонд, использующие услуги поставщиков, ресурсы и сервисы инфраструктуры, включая облачные вычисления и программные ресурсы;

Поставщик услуг - юридическое лицо или индивидуальный предприниматель, предоставляющие ресурсы и сервисы для инфраструктуры, включая облачные вычисления и программные ресурсы, по правилам, требованиям и стандартам, утверждаемым в соответствии с Положением о проведении эксперимента по переводу информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу, а также по обеспечению федеральных органов исполнительной власти и государственных внебюджетных фондов автоматизированными рабочими местами и программным обеспечением, утвержденным постановлением Правительства Российской Федерации от 28 августа 2019 г. N 1114 (далее - постановление), и на основании государственных контрактов, заключаемых с таким юридическим лицом или индивидуальным предпринимателем в соответствии с законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд.

Инфраструктура - совокупность вычислительных и телекоммуникационных ресурсов, включая программно-аппаратные комплексы, базирующихся в распределенной системе центров обработки данных, расположенных на территории Российской Федерации, созданной в соответствии с мероприятиями федерального проекта "Информационная Инфраструктура" национальной программы "Цифровая экономика Российской Федерации".

Поставщик услуг должен предоставить технологические площадки для перевода информационных систем и информационных ресурсов участников эксперимента на инфраструктуру, обеспечивающую, в том числе, необходимый уровень защиты информации.

II Общие требования к центрам обработки данных

Требования к зданиям и помещениям центров обработки данных.

Центры обработки данных (далее - ЦОД) должны размещаться на территории Российской Федерации в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", предъявляемыми к техническим средствам информационных систем, используемых государственными органами.

Для функционирования информационных систем Потребителей услуг в ЦОД должна быть выделена зона или монтажные конструктивы, оборудованные системами контроля и управления доступом, с ограниченным доступом и отдельная физическая сеть передачи данных.

Размещение в выделенной зоне оборудования других информационных систем допускается при согласовании с Потребителем услуг.

Помещения ЦОД, в которых располагаются технические средства, должны соответствовать нормам принятыми в Российской Федерации - СН 512-78 "Инструкция по проектированию зданий и помещений для электронно-вычислительных машин" (С Изменением N 2) и, в частности, отвечать следующим требованиям:

помещения не должны размещаться в подвальных этажах здания;

трассы обычного и пожарного водоснабжения, отопления и канализации должны быть вынесены за пределы помещения, а также не находиться непосредственно над указанным помещением на верхних этажах, либо должны быть приняты дополнительные меры по исключению влияния возможных аварий на указанные помещения;

отсутствие любых транзитных коммуникаций через помещение с техническими средствами информационной системы.

герметичность стеновых конструкций помещений;

помещения должны отделяться от помещений другого назначения несгораемыми стенами (перегородками) и дверьми с пределом огнестойкости в соответствии с нормами СП 112.13330.2011 СНиП 21-01-97 "Пожарная безопасность зданий и сооружений" (приняты и введены в действие с 1 января 1998 г. постановлением Минстроя России от 13.02.97 г. N 18-7 с Изменениями N 1, 2);

не допускается совмещать помещение со вспомогательными службами здания, и использовать помещение для хранения вспомогательного инвентаря, горючих и огнеопасных материалов.

Здание ЦОД должно быть расположено с учетом обеспечения защиты от возможных негативных внешних воздействий естественного и искусственного происхождения, на достаточном удалении от жилых, промышленных и транспортных объектов, в соответствии с требованиями СП 20.13330.2016 "Нагрузки и воздействия". Актуализированная редакция СНиП 2.01.07-85* (с Изменениями N 1, 2)".

Конструкция съемного фальшпола должна обеспечивать:

свободный доступ к коммуникациям при обслуживании;

возможность выравнивания поверхностей пола с помощью регулируемых опорных элементов;

устойчивость к горизонтальным усилиям при частично и полностью снятых плитах;

взаимозаменяемость плит съемного фальшпола.

Плиты фальшпола должны соответствовать требованиям пожарной безопасности по НПБ 244-97 "Материалы строительные. Декоративно-отделочные и облицовочные материалы. Материалы для покрытия полов. Кровельные, гидроизоляционные и теплоизоляционные материалы. Показатели пожарной опасности". Группа воспламеняемости должна быть не ниже В2, по ГОСТ 30402-96 "Материалы строительные. Метод испытания на воспламеняемость" и не ниже РП1, группы распространения пламени по ГОСТ Р 51032-97 "Материалы строительные. Метод испытания на распространение пламени", класс огнестойкости не ниже R30 ГОСТ 30247.0-94 "Конструкции строительные. Методы испытаний на огнестойкость. Общие требования".

В случае расположения серверного помещения выше первого этажа должен быть предусмотрен грузовой подъемник грузоподъемностью не менее 1 тонны. В составе ЦОД должно быть предусмотрено отдельное помещение для распаковки и термостатирования устанавливаемого оборудования.

Для ввоза в помещения ЦОД крупногабаритного оборудования должно быть предусмотрено наличие не менее одной разгрузочной площадки с прилегающими подъездными путями.

Требования к инфраструктуре центров обработки данных.

Инфраструктура ЦОД должна функционировать в непрерывном режиме 24 (двадцать четыре) часа в сутки 7 (семь) дней в неделю 365 (366) (триста шестьдесят пять (триста шестьдесят шесть)) дней в году.

Все виды сервисного, технического и иных видов обслуживания должны производиться без остановки систем и снижения основных технологических параметров.

Уровень надежности и отказоустойчивости инфраструктуры ЦОД должен гарантировать доступность к информационным системам Потребителей услуг на уровне отношения суммарного времени простоя за год к длительности года не ниже 99,982%.

Сеть передачи данных должна обеспечивать необходимую Потребителю услуг пропускную способность каналов связи, функционировать с учетом требований, установленных:

Приказом Министерства информационных технологий и связи Российской федерации от 9.01.2008 г. N1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации";

Правилами применения кроссового оборудования, утвержденные Приказом Министерства информационных технологий и связи Российской Федерации от 24 апреля 2006 г. N 52 (с изменениями на 23 апреля 2013 года);

Правилами применения оптических кабелей связи, пассивных оптических устройств и устройств для сварки оптических волокон, утвержденные Приказом Министерства информационных технологий и связи Российской Федерации от 19 апреля 2006 г. N 47;

Правилами применения муфт для монтажа кабелей связи, утвержденные Приказом Министерства информационных технологий и связи Российской Федерации от 10 апреля 2006 г. N 40.

Инфраструктура ЦОД должна обеспечивать бесперебойное функционирование информационных систем участников эксперимента, в том числе в следующих аварийных ситуациях:

единичный отказ любого компонента ЦОД;

пропадание электропитания по основному и (или) резервному вводу (приемному концу) линии электроснабжения ЦОД;

отклонение напряжения от заданного значения, включая кратковременные значительные понижения и повышения напряжения, вызываемые резким изменением нагрузки в электрической сети, в том числе отключением (подключением) энергоемких потребителей, близостью грозового разряда, включением напряжения после аварии и в соответствии с требованиями ГОСТ Р 50571.4.44-2019 (МЭК 60364-4-44:2007) "Электроустановки низковольтные. Часть 4.44. Защита для обеспечения безопасности. Защита от резких отклонений напряжения и электромагнитных возмущений" (утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 9 апреля 2019 г. N 126-ст).

III Требования к инженерным системам ЦОД

В соответствии с действующими нормативными документами Р 78.36.018 - 2011 "Рекомендации по охране особо важных объектов с применением интегрированных систем безопасности" в помещениях должна быть выполнена система охранной сигнализации.

Система охранной сигнализации предназначена для своевременного оповещения службы безопасности о проникновении (попытке проникновения) во все помещения ЦОД.

Средствами охранной сигнализации должны быть оборудованы:

периметр всего комплекса зданий ЦОД;

двери и окна на открывание и разбитие;

объёмы всех помещений ЦОД.

Для осуществления взаимодействия (интеграции) с системой телевизионного наблюдения и системой контроля и управления доступом должна быть предусмотрена функциональная возможность интеграции на программном или ином уровне в данных системах.

Система контроля и управления доступом (далее - СКУД) должна быть выполнена в соответствии с действующими нормативными документами ГОСТ Р 52551-2016 "Системы охраны и безопасности. Термины и определения" (утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 22 ноября 2016 г. N 1743-ст) и функционально входить в состав комплексной системы безопасности.

Технические средства системы контроля доступа должны обеспечивать:

возможность постановки под охрану любой контролируемой двери вручную и с автоматизированного рабочего места оператора (или пункта охраны);

ограничение доступа сотрудников и посетителей в охраняемые зоны и помещения;

фиксацию доступа сотрудников и посетителей в охраняемой зоне;

фиксацию времени прихода и ухода каждого посетителя;

выдачу графической информации о попытках несанкционированного проникновения в помещения, оборудованные системой контроля доступа;

хранение информации не менее 90 дней;

переход на ручное управление отдельных элементов СКУД (по согласованию с Потребителем услуг).

приём сигнала "Пожар" от систем пожарной сигнализации и пожаротушения.

Оборудование СКУД должно быть обеспечено бесперебойным электропитанием.

Должно быть предусмотрено защитное заземление оборудования в соответствии нормативами ГОСТ Р 50571.22-2000 (МЭК 60364-7-707-84) "Электроустановки зданий. Часть 7. Требования к специальным электроустановкам. Раздел 707. Заземление оборудования обработки информации" (принят и введен в действие Постановлением Госстандарта России от 18 декабря 2000 г. N 376-ст) и технической документацией предприятий-изготовителей на оборудование.

Система телевизионного наблюдения должна обеспечить отображение видеоинформации в цветном изображении.

При работе системы видеонаблюдения в серверном помещении не должно быть недоступных зон для просмотра.

Все видеокамеры должны быть цифровыми, высокого разрешения, в соотвествии с ГОСТ Р 51558-2014 "Средства и системы охранные телевизионные. Классификация. Общие технические требования. Методы испытаний" (утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 22 октября 2014 г. N 1371-ст).

Информация от всех видеокамер должна собираться на сервере для хранения видеоинформации, который устанавливается в защищеном помещении (или серверном помещении ЦОД). Видеозапись на сервере хранения должна вестись непрерывно, возможно с пониженной частотой кадра и по детекции движения. Время хранения видеоинформации на сервере должно составлять не менее 90 дней.

По всем серверным помещениям над рядами стоек должны быть установлены металлические сетчатые лотки (или специализированные пластиковые лотки) для прокладки информационных медных и оптических линий.

Расположение лотков должно быть согласовано с размещением коридоров между стойками, в которые подается воздух от оборудования системы кондиционирования и не препятствовать потокам воздуха.

Структурированная кабельная система ЦОД должна отвечать требованиям ГОСТ Р 53246-2008 "Информационные технологии. Системы кабельные структурированные. Проектирование основных узлов системы. Общие требования" (утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 25 декабря 2008 г. N 786-ст). Применямое оборудование должно быть сертифицировано для построения огнестойкой кабельной линии и совместимо с применяемой кабельной продукцией.

Электроснабжение ЦОД должно осуществляться не менее, чем от двух вводов сети электроснабжения. При этом вводы должны быть подключены к независимым трансформаторным подстанциям (ТП).

В нормальном (не аварийном) режиме работы все кабельные линии в составе взаимно резервирующих пар должны находиться под рабочим напряжением и расчетной токовой нагрузкой для нормального режима.

Сопротивление заземляющего устройства (ЗУ) должно быть не более 0,5 Ом в самые неблагоприятные периоды года (наибольшее сопротивление грунта).

В ЦОД в серверных помещениях должны быть установлены локальные шины заземления, выполненные из меди в соответствии с ГОСТ Р 50571.5.54-2013/МЭК 60364-5-54:2011 "Электроустановки низковольтные. Часть 5-54. Заземляющие устройства, защитные проводники и защитные проводники уравнивания потенциалов" (утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 6 сентября 2013 г. N 976-ст).

Оборудование и материалы системы основного и аварийного электрического освещения должны соответствовать требованиям технических регламентов Таможенного союза "О безопасности низковольтного оборудования" (ТР ТС 004/2011) и "Электромагнитная совместимость технических средств" (ТР ТС 020/2011).

В качестве источников света должны использоваться светодиодные или люминисцентные светильники.

Освещенность серверного помещения должна отвечать требованиям СП 52.13330.2016 "Естественное и искусственное освещение. Актуализированная редакция СНиП 23-05-95*" и быть не менее 500 лк на высоте 0,8 м от уровня фальшпола при показателе дискомфорта не более 40 и коэффициенте пульсации не более 10%. Коэффициент запаса для светильников принять равным 1,4.

Электропитание основного (общего) освещения серверного помещения должно быть предусмотрено от щитов системы гарантированного электроснабжения.

Система аварийного освещения, согласно Постановление Правительства Российской федерации от 25 апреля 2012 года N 390 "О противопожарном режиме" с изменениями на 7 марта 2019 года, должна включать в себя систему дежурного и в случае необходимости эвакуационного освещений.

Система аварийного освещения предназначена для освещения серверного помещения при отказе основной системы электропитания.

Электропитание системы аварийного освещения должно осуществляться от распределительных щитов в составе системы бесперебойного электропитания или от системы СГЭ.

Система эвакуационного освещения должна быть построена на базе светильников с автономными источниками питания (аккумуляторами) с временем автономной работы не менее 60 минут или запитана от системы гарантированного электроснабжения (далее - СГЭ).

Электропитание системы эвакуационного освещения должно осуществляться от щитов системы бесперебойного электропитания (далее - СБЭ).

Должно быть предусмотрено наружное освещение комплекса зданий ЦОД.

Должно быть обеспечено локальное освещением в серверных помещениях и общих зонах (коридоры).

Система электроснабжения служит для организации электропитания нагрузок ЦОД и включает в себя две системы - СБЭ и СГЭ.

Система СБЭ должна обеспечивать критичные системы и оборудование ЦОД (оборудование для которого перерывы в электроснбжении недопустимы) электроэнергией с заданными параметрами при отклонениях от требований ГОСТ 32144-2013 "Электрическая энергия. Совместимость технических средств электромагнитная. Нормы качества электрической энергии в системах электроснабжения общего назначения" (принят Приказом Федерального агентства по техническому регулированию и метрологии от 22 июля 2013 г. N 400-ст межгосударственный стандарт ГОСТ 32144-2013 введен в действие в качестве национального стандарта Российской Федерации с 1 июля 2014 г.

), а также при полном пропадании напряжения в питающей сети без перерыва в электроснабжении (особая группа первой категории надежности электроснабжения).

Система СГЭ должна обеспечивать системы и оборудование ЦОД электроэнергией с заданными параметрами при отклонениях от требований ГОСТ 32144-2013 "Электрическая энергия. Совместимость технических средств электромагнитная. Нормы качества электрической энергии в системах электроснабжения общего назначения" (принят Приказом Федерального агентства по техническому регулированию и метрологии от 22 июля 2013 г. N 400-ст межгосударственный стандарт ГОСТ 32144-2013 введен в действие в качестве национального стандарта Российской Федерации с 1 июля 2014 г.), а также при полном пропадании напряжения в питающей сети с кратким (не более 60 секунд, без учета выдержек времени релейной защиты и автоматики) перерывом в электроснабжении (первая категории надежности электроснабжения).

Система электроснабжения должна строиться на основе сертифицированного электротехнического оборудования и иметь в своём составе резервный источник электроснабжения, обеспечивающий длительное электроснабжение ЦОД при авариях внешнего электроснабжения, а также при выполнении регламентных работ на электроустановках ЦОД.

Во всех помещениях ЦОД должна быть установлена пожарная сигнализация, соотвествующая "Техническому регламенту о требованиях пожарной безопасности", утвержденному Федеральным законом N 123-ФЗ от 22 июля 2008 г.

Тревожные извещения о возникновении пожара и задымлении в помещениях ЦОД должны поступать на приемно-контрольные панели рабочего места оператора и центральный пункт охраны.

Автоматической установкой пожаротушения должны быть защищены все серверные помещения, помещения систем СБЭ и СГЭ.

Состав помещений, оснащаемых системами автоматического пожаротушения, а также способ тушения (огнетушашещее вещество) должны соответствовать действующим нормам пожарной безопасности.

Применяемые газовые огнетушащие вещества (далее ГОТВ), должны соответсвовать ГОСТ Р 50969-96. "Установки газового пожаротушения автоматические. Общие технические требования. Методы испытаний" (принят и введен в действие Постановлением Госстандарта России от 13 ноября 1996 г. N 619) и должны быть безопасны для защищаемых материальных ценностей и для окружающей среды.

Автоматические установки пожаротушения должны выполнять одновременно и функции автоматической пожарной сигнализации и полностью взаимодействовать с системой пожарной сигнализации, установленной в здании.

В серверных помещениях, должна быть предусмотрена система газо-дымоудаления для обеспечения удаления газообразных ГОТВ после ликвидации пожара.

Система кондиционирования в целом должна отвечать нормам СП 60.13330.2016 "Отопление, вентиляция и кондиционирование воздуха. Актуализированная редакция СНиП 41-01-2003 (с Изменением N 1)" и обеспечивать штатную работоспособность в режиме эксплуатации 24 (двадцать четыре) часа в сутки 7 (семь) дней в неделю 365 (366) (триста шестьдесят пять (триста шестьдесят шесть)) дней в году в широком диапазоне внешних температур (в зависимости от региона расположения) и относительной влажности до 95%.

Резервирование холодильных машин должно быть предусмотрено по схеме не хуже N+1. Очистка циркулируемого воздуха должна осуществляться по классу не ниже G4 по ГОСТ Р 51251-99 "Фильтры очистки воздуха. Классификация. Маркировка" (принят и введен в действие Постановлением Госстандарта России от 3 марта 1999 г. N 59).

Должна быть обеспечена работоспособность системы при выходе из строя любого из элементов системы, а также поддержание высокого уровня доступности сервиса вне зависимости от различного рода обстоятельств.

Должна быть предусмотрена система вентиляции во всех технологических помещениях.

Для обеспечения избыточного давления в серверных помещениях должна быть предусмотрена приточная система вентиляции. Очистка приточного воздуха должна осуществляться по классу не ниже G4 по ГОСТ Р 51251-99 "Фильтры очистки воздуха. Классификация. Маркировка" (принят и введен в действие Постановлением Госстандарта России от 3 марта 1999 г. N 59).

Предельно допустимые уровни содержания загрязняющих веществ в воздухе серверного помещения не должны превышать показателей, приведенных в ГОСТ Р 58242-2018 "Слаботочные системы. Кабельные системы. Телекоммуникационные пространства и помещения. Общие положения" (утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2018 г. N 795-ст).

Система топливоснабжения должна обеспечивать хранение, подачу и слив дизельного топлива и состоять из независимых контуров, состоящих из резервных топливных хранилищ, топливопроводов, расходных топливных баков и топливных насосов. В системе закачки топлива в расходные баки должна быть предусмотрена автоматическая и ручная дозакачки топлива до верхнего уровня.

Должна быть предусмотрена молниезащита технологического оборудования, обустроенная в соответствии с РД 34.21.122-87 "Инструкция по устройству молниезащиты зданий и сооружений", расположенного на кровле зданий (если применимо), оборудования приточно-вытяжной вентиляции, холодильных машин, конденсаторных блоков, дымовых и дыхательных трубопроводов, а также топливозаправочной площадки.

Система молниезащиты должна защитить все выступающие конструктивные части здания и оборудования, расположенного на кровле.

Автоматизированная система диспетчеризации и управления (далее - АСДУ) предназначена для автоматизации работы диспетчерской службы организации, специалистов служб поддержки и эксплуатации инженерных систем объектов, должна обеспечивать возможность контроля работы оборудования основных инженерных систем, систем жизнеобеспечения, режимов их работы, возникновения аварийных ситуаций, температурно-влажностные режимы технологических помещений, факты возникновения аварийных ситуаций. Также должен осуществляться сбор информации и отображение текущего состояния инженерных систем ЦОД в режиме реального времени, хранение данных, возможности их отображения и анализа (отчеты, графики, тренды) на Автоматизированном рабочем месте (АРМ) диспетчера.

В АСДУ должна быть предусмотрена возможность введения пороговых значений для отслеживаемых параметров инженерных систем ЦОД.

Должна быть предусмотрена функция рассылки оповещений об аварийной ситуации (или о достижении отслеживаемыми характеристиками инженерных систем ЦОД пороговых значений) по электронной почте.

АСДУ должна обеспечивать функцию ведения журнала событий и текущих состояний и значений параметров (логов) работы контролируемых систем ЦОД.

Технические средства, используемые в АСДУ, должны быть сертифицированны в Российской Федерации, произведены ведущими мировыми производителями, обеспечены документацией, технической поддержкой, а также должны быть обеспечены резервными и запасными частями, расходными материалами.

АСДУ должна представлять собой отказоустойчивый кластер "основной-резервный" с разделёнными подсистемами хранения данных.

АСДУ должна иметь модульную схему построения, иметь возможность дальнейшего расширения.

Необходим подвод 2-х независимых кабельных канализаций связи на участке, прилегающем к территории ЦОД с противоположных сторон здания.

Кабельная канализация должна быть не менее чем 4-х трубной с диаметром трубы не менее 100 мм. и должна быть оборудована телефонными колодцами. В колодцах в обязательном порядке должны быть установлены консоли для складирования запасов кабеля и нижняя запираемая крышка.

В случае, если колодцы городской кабельной канализации не имеют прямую связь между собой, должна быть предусмотрена перемычка, между альтернативными вводами, на территории, прилегающей к ЦОД.

Предусмотреть систему водоснабжения для обеспечения ЦОД необходимым объемом и качеством воды с требуемыми технологическими системами параметрами. Основная задача системы водоснабжения ЦОД - обеспечение технологических нужд.

Система канализации ЦОД должна обеспечивать удаление технологических стоков от пароувлажнителей и конденсата, образующегося в системе кондиционирования.

Система единого времени и часофикации (далее - СЕВиЧ) предназначена для индикации на объекте точного времени, с автоматическим переходом на летнее/зимнее время, а также для выдачи сигналов точного времени для технологического оборудования ЦОД, системы АСДУ.

СЕВиЧ должна принимать сигналы точного времени от систем ГЛОНАСС/GPS или атомного эталона времени Уровня 0 и обеспечивать выполнение функций сервера NTP (Network Time Protocol) 1-го уровня. (Stratum 1) в сетях IP.

IV Требования к ЦОД по организации технической поддержки

Поставщик услуг ЦОД должен обеспечить квалифицированную и достаточную инженерно-техническую поддержку.

Техническая поддержка должна оказываться круглосуточно 7 (семь) дней в неделю 365 (366) (триста шестьдесят пять (триста шестьдесят шесть)) дней в году в соответствии с согласованным регламентом взаимодействия Поставщика услуг ЦОД и Потребителя услуг по вопросам технической поддержки. Данный регламент должен быть разработан Поставщиком услуг и заранее согласован с Потребителем услуг.

Приложение N 2
к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
от _______2019 N ________

Требования к обеспечению информационной безопасности в ГЕОП в рамках проведения эксперимента

I Общие положения

Настоящие требования определяют цели, задачи, принципы, основополагающие требования на период эксперимента к обеспечению безопасности информации в ГЕОП в целом, а также на различных уровнях ГЕОП.

Настоящие требования не распространяются на вопросы обработки сведений, составляющих государственную тайну.

Основными принципами обеспечения безопасности информации в ГЕОП являются:

законность - предполагает обеспечение безопасности информации должно осуществляться в соответствии с законодательством и стандартами Российской Федерации;

комплексность - предполагает реализацию взаимосвязанного состава организационно-технических мер защиты информации на каждом уровне ГЕОП, а также использование компонентов ГЕОП в защищенном исполнении;

эшелонированность защиты - предполагает реализацию нескольких рубежей защиты информации на каждом уровне ГЕОП, каждый из которых последовательно усиливает степень защищенности ГЕОП. Преодоление нарушителем защиты на одном уровне ГЕОП не должно приводить к компрометации системы защиты ГЕОП на других уровнях;

непрерывность защиты - предполагает обеспечение должного уровня защиты на всех этапах жизненного цикла ГЕОП и информационных систем Потребителей услуг, размещенных в ГЕОП;

устойчивость защиты - предполагает обеспечение отказоустойчивости и катастрофоустойчивости систем защиты ГЕОП. Полная потеря какого-либо Поставщика услуг ГЕОП или уровня ГЕОП (к примеру, в результате вывода из строя) не должна приводить к отказу системы защиты ГЕОП в целом. Не допускается централизация управления и мониторинга систем защиты ГЕОП у одного Поставщика услуг или в одной географической точке;

территориальная распределённость - предполагает рациональное территориальное разнесение инфраструктуры систем защиты и мониторинга информационной безопасности ГЕОП;

распределение ответственности и согласованность действий - предполагает, что инфраструктура и процессы защиты информации в ГЕОП должны быть реализованы таким образом, чтобы на каждом уровне ГЕОП обеспечивалась вся полнота ответственности должностных лиц за вопросы безопасности информации на данном уровне ГЕОП, при этом должна быть обеспечена согласованность действий различных Поставщиков услуг ГЕОП в вопросах защиты информации, в том числе в процессе отражения компьютерных атак на критическую информационную инфраструктуру;

эффективность защиты - предполагает с одной стороны выполнение всего состава мер защиты информации на каждом уровне ГЕОП, определенных в моделях угроз и нарушителя безопасности информации, согласованных ФСБ России и ФСТЭК России, с другой - готовность к отражению современных компьютерных атак, в том числе неизвестных на момент утверждения моделей угроз и нарушителя безопасности информации.

Если на момент создания систем защиты информации в ГЕОП будут выпущены новые или скорректированы существующие законодательные или нормативно-методические документы по вопросам защиты информации, следует использовать документы в действующей редакции.

II Цели обеспечения ИБ в ГЕОП в целом

Целями обеспечения информационной безопасности (далее - ИБ) в ГЕОП в целом являются:

обеспечение должного уровня безопасности информации в соответствии с законодательными и нормативно-методическими требованиями Российской Федерации на всех уровнях ГЕОП;

предотвращение (минимизация) ущерба информации, ИТ-инфраструктуре и информационным системам в результате противоправных действий, приводящих к разглашению, уничтожению, искажению, блокированию или противоправному использованию информации, а также к отказу функционирования ИТ-инфраструктуры ГЕОП, информационных систем или систем защиты;

своевременное выявление, предотвращение и устранение последствий компьютерных атак, в том числе на критическую информационную инфраструктуру Российской Федерации;

обеспечение устойчивого функционирования ГЕОП в защищенном режиме, в том числе в случае длительных компьютерных атак на ГЕОП и информационные системы в ГЕОП.

III Задачи обеспечения ИБ в ГЕОП в целом

Для достижения целей обеспечения ИБ в ГЕОП должны быть решены следующие задачи:

определение актуальных угроз безопасности информации, обрабатываемой в ГЕОП и определение класса защищённости ГЕОП, включая разработку модели угроз и нарушителя безопасности информации (при этом в качестве исходных данных об угрозах безопасности информации и их характеристиках должны использоваться: Банк данных угроз безопасности информации ФСТЭК России размещенный по адресу https://bdu.fstec.ru, иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном обеспечении);

определение технологических процессов поставщиков ГЕОП на всех технологических уровнях ГЕОП;

формирование актуальных обоснованных меры по обеспечению информационной безопасности на всех технологических уровнях ГЕОП;

разработка и построение комплексных систем обеспечения информационной безопасности (далее - КСОИБ) ГЕОП на всех уровнях;

обеспечение бесперебойного функционирования процессов обеспечения информационной безопасности на всех технологических уровнях ГЕОП;

проведение аттестации объектов информатизации, входящих в ГЕОП, на соответствие требованиям безопасности информации;

обеспечение информационно-технологического взаимодействия с с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

IV Требования к уровням обеспечения ИБ в ГЕОП

В рамках ГЕОП информационная безопасность должна обеспечиваться на следующих технологических уровнях:

физический уровень. На данном уровне должно обеспечиваться физическое ограничение доступа к техническим средствам ГЕОП. Безопасность должна обеспечиваться каждым из Поставщиков услуг ГЕОП своими силами и средствами, в том числе с привлечением специализированных организаций;

уровень сети передачи данных;

уровень виртуальной вычислительной инфраструктуры и инфраструктуры хранения информации Поставщиков услуг ГЕОП;

уровень инфраструктуры предоставления доступа к контенту информационных систем, размещенных в ГЕОП. Должна обеспечиваться безопасность на уровне виртуальных рабочих столов или терминальных сессий;

уровень автоматизированного рабочего места конечных пользователей;

уровень общесистемных ИТ-сервисов;

уровень систем обеспечения информационной безопасности;

уровень прикладных информационных систем, размещенных в ГЕОП.

V Требования к процессам обеспечения ИБ в целом

Для соответствия требованиям Приказа ФСТЭК от 11.02.2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" опубликованный на сайте https://fstec.ru/normotvorcheskaya/akty/53-prikazy/702, Приказа ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", опубликованный на сайте по адресу https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-r ossii-ot-25-dekabrya-2017-g-n-239, а также для создания условий принятия стратегических решений по информационной безопасности и эффективного управления процессами разработки, внедрения, поддержки и постоянного улучшения КСОИБ, должны быть реализованы правила и процедуры, выражающиеся в разработке процессов обеспечения безопасности, с назначением ответственных подразделений и лиц.

В связи с этим для ГЕОП в целом должны обеспечиваться создание и функционирование ключевых процессов (правил и процедур) обеспечения информационной безопасности.

Функционирование процессов должно обеспечиваться на всех уровнях ГЕОП всеми участниками ГЕОП.

VI Функциональные требования по обеспечению ИБ

Для реализации защиты информации должна быть создана комплексная система обеспечения информационной безопасности Поставщиков услуг ГЕОП. КСОИБ должна включать в свой состав необходимый набор организационных и технических мер.

В составе технических мер защиты информации в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и Приказа ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", размещенных на сайте https://fstec.ru, необходимо обеспечить реализацию следующих мер защиты информации:

идентификация и аутентификация;

ограничение программной среды;

защита машинных носителей;

обеспечение целостности;

управление доступом;

регистрация событий безопасности;

антивирусная защита;

обнаружение вторжений;

контроль (анализ) защищенности;

обеспечение доступности;

защита среды виртуализации;

защита систем связи и передачи данных.

Меры защиты информации должны быть реализованы подсистемами КСОИБ, которые должны включать следующие функции:

межсетевое экранирование;

криптографическая защита

обнаружение вторжений;

защита от несанкционированного доступа;

антивирусная защита;

защита среды виртуализации от несанкционированного доступа;

защита среды виртуализации от вирусных атак;

контроль защищенности ИТ-инфраструктуры Поставщика услуг ГЕОП и приложений, размещенных на площадке Поставщика услуг ГЕОП;

управление доступом;

защита web-приложений, размещенных на объектах информатизации Поставщика услуг ГЕОП, от целевых атак;

выявление аномалий ИБ в сетевом трафике поставщиков услуг;

мониторинг событий ИБ и расследование инцидентов;

контроль и противодействие утечкам информации.

VII Требования к процессам ИБ

Поставщики услуг ГЕОП должны документировать и реализовать следующие процессы обеспечения и управления информационной безопасностью:

управление доступом;

управление конфигурацией системы защиты;

обеспечение поддержки функционирования систем защиты информации;

управление персоналом;

выявление инцидентов информационной безопасности и реагирование;

контроль уровня защищенности объектов информатизации Поставщика услуг ГЕОП.

VIII Требования к наличию аттестатов по ИБ

До начала использования сервисов Поставщика услуг ГЕОП Потребитель услуг ГЕОП должен убедиться, что инфраструктура Поставщика услуг ГЕОП создана с учётом требований по информационной безопасности, что должно подтверждаться наличием у Поставщика услуг ГЕОП действующего аттестата соответствия требованиям безопасности информации, позволяющего размещать в своей инфраструктуре сторонние информационные системы.

IX Функциональные требования по обеспечению ИБ в ФГИСУ ГЕОП

В ФГИСУ ГЕОП должна быть обеспечена реализация следующих функций:

функции межсетевого экранирования включающие:

изоляцию ИТ-инфраструктуры контролирующего органа и ФГИСУ ГЕОП от сети интернет;

изоляцию ИТ-инфраструктуры контролирующего органа и ФГИСУ ГЕОП от ИТ-инфраструктуры Поставщиков услуг;

обнаружение вторжений;

функции криптографической защиты должны быть реализованы:

при предоставлении доступа внешним пользователям системы;

при подключении к ИТ-инфраструктуре поставщиков услуг;

функции по защите от несанкционированного доступа включая:

защиту серверов системы;

защиту автоматизированного рабочего места пользователей контролирующего органа;

функции по антивирусной защите должны обеспечивать:

защиту серверов системы;

защиту автоматизированного рабочего места пользователей контролирующего органа;

защиту среды виртуализации от вирусных атак;

функции по управлению доступом в систему должны обеспечивать:

защиту среды виртуализации от несанкционированного доступа;

контроль защищенности ИТ-инфраструктуры и приложений системы;

защиту web-приложений системы от целевых атак;

выявление нетипичной активности в сетевом трафике Потребителей услуг;

функции по мониторингу событий ИБ и расследования инцидентов должны взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и быть реализованы:

на уровне системы;

на уровне объектов управления - Поставщиков услуг.

X Требования к аттестации в ФГИСУ ГЕОП по требованиям безопасности информации

ФГИСУ ГЕОП до размещения в ней продуктивных данных должна быть аттестована по требованиям безопасности информации по 1-му классу как государственная информационная система.

Используемое в ФГИСУ ГЕОП программное обеспечение, реализующее механизмы защиты до проведения аттестационных мероприятий, должно быть сертифицировано в системе сертификации ФСТЭК России.

XI Требования к обеспечению ИБ на этапах жизненного цикла ГЕОП

Для обеспечения защиты информации, содержащейся в ГЕОП, необходимо применять средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании".

Организационные и технические меры защиты информации, реализуемые в рамках создания и эксплуатации системы защиты информации ГЕОП, в зависимости от информации, содержащейся в ГЕОП, целей создания ГЕОП и задач, решаемых ГЕОП, должны быть направлены на исключение:

неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

неправомерного уничтожения или модифицирования информации (обеспечение целостности информации);

неправомерного блокирования информации (обеспечение доступности информации).

XII Требования к обеспечению ИБ на этапе создания инфраструктуры ГЕОП

В процессе создания комплекса вычислительных ресурсов (далее - Инфраструктура) ГЕОП, такая Инфраструктура должна создаваться с учётом требований по информационной безопасности, предъявляемым к государственным информационным системам и значимым объектам критической информационной инфраструктуры соответствующих классов и категорий.

Информационная безопасность на уровне Инфраструктуры должна достигаться, в том числе, за счёт:

выделенной серверной инфраструктуры;

защиты от несанкционированного доступа к оборудованию (пропускной системы, круглосуточного видеонаблюдения, круглосуточной охраны, возможности физической изоляции оборудования);

использования отказоустойчивых инфраструктурных решений.

XIII Требования к обеспечению ИБ на этапах миграции ИС Потребителей услуг в ГЕОП

До начала миграции в ГЕОП Потребитель услуг должен убедиться, что инфраструктура Поставщика услуг ГЕОП создана с учётом требований по информационной безопасности, что должно подтверждаться наличием у Поставщика услуг ГЕОП действующего аттестата соответствия требованиям безопасности информации, позволяющего размещать в своей инфраструктуре информационные системы участников эксперимента.

XIV Требования к обеспечению ИБ на этапах эксплуатации ГЕОП

Обеспечение защиты информации в ходе эксплуатации должно осуществляться в соответствии с эксплуатационной документацией на КСОИБ и организационно-распорядительными документами по защите информации, и включать следующие инструкции:

по управлению (администрированием) системой защиты информации;

по выявлению инцидентов и реагированию на них;

по управлению конфигурацией КСОИБ ГЕОП;

по контролю (мониторингу) за обеспечением уровня защищенности информации, содержащейся в ГЕОП.

На стадии эксплуатации должны выполняться работы по сопровождению КСОИБ ГЕОП, в том числе гарантийное и пост гарантийное обслуживание.

Приложение N 3
к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
от _______2019 N ________

Требования к оптимизации архитектуры информационных систем и информационных ресурсов участников эксперимента с целью перевода их в государственную единую облачную платформу

I Общие положения

Настоящие требования к оптимизации архитектуры информационных систем и информационных ресурсов участников эксперимента с целью перевода их в государственную единую облачную платформу (далее - Требования, ГЕОП) разработаны в целях обеспечения процесса оптимизации архитектуры информационных систем (далее - ИС) и информационных ресурсов для перевода ИС и информационных ресурсов участников эксперимента в ГЕОП.

Документ определяет требования в вопросах создания и модернизации информационно-технической инфраструктуры информационных систем федеральных органов исполнительной власти, способствующую эффективному переводу в ГЕОП и согласованию развития информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов с планами создания и развития ГЕОП.

II Нормативно-правовые документы

При разработке требований учтены положения следующих нормативно-правовых документов:

Федеральный проект "Информационная инфраструктура" национальной программы "Цифровая экономика Российской Федерации", утверждённый распоряжением Правительства Российской Федерации от 28 июля 2017 г N 1632-Р и уточнённый редакцией протокола президиума Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам от 24 декабря 2018 г N 16;

Поручение Президента Российской Федерации от 20.07.2016 N Пр-1385 "Поручение об обеспечении разработки и внесении в Госдуму федерального закона о преимущественном использовании госорганами единой инфраструктуры электронного правительства", согласно которому необходимо законодательно закрепить использование государственными органами единой инфраструктуры электронного правительства, предусмотрев при этом поэтапный переход к использованию указанной инфраструктуры при создании и эксплуатации государственных информационных систем и получению услуг предоставления программного обеспечения и оборудования по "облачным" технологиям в интересах органов исполнительной власти и органов местного самоуправления;

Распоряжение Правительства Российской Федерации N 1588-р от 26 июля 2016 года "Об утверждении плана перехода органов исполнительной власти и государственных внебюджетных фондов на использование отечественного программного обеспечения", согласно которому федеральные органы исполнительной власти и государственные внебюджетные фонды должны перейти на использование отечественного офисного программного обеспечения с использованием программ, включённых в единый реестр российских программ для электронных вычислительных машин и баз данных;

Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации N 334 от 29 июня 2017 "Об утверждении методических рекомендаций по переходу федеральных органов исполнительной власти и государственных внебюджетных фондов на использование отечественного офисного программного обеспечения, в том числе ранее закупленного офисного программного обеспечения";

Постановление Правительства РФ N 658 от 8 июня 2018 года "О централизованных закупках офисного программного обеспечения, программного обеспечения для ведения бюджетного учета, а также программного обеспечения в сфере информационной безопасности", согласно которому формирование потребности для осуществления закупок в сфере информационных технологий и информационной безопасности осуществляется по формам и в порядке, которые утверждаются Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации и Федеральным казначейством по согласованию с Министерством финансов Российской Федерации.

III Краткая характеристика информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов

Объектами применения настоящих требований являются федеральные органы исполнительной власти и государственные внебюджетные фонды, использующие в процессе своей деятельности и оказания государственных услуг населению собственные ИС и соответствующую им информационно-телекоммуникационную инфраструктуру (далее - ИТ-инфраструктура).

В большинстве случаев ИТ-инфраструктура органов исполнительной власти и государственных внебюджетных фондов базируется на разнородных импортных технических и программных средствах, что влечет за собой санкционные риски, а также повышает уязвимость ИС для внешних компьютерных атак. При этом мероприятия по импортозамещению и организации комплексной защиты информации от внешних воздействий существенно ограничиваются разнородностью используемых технологий и программно-аппаратных средств.

IV Классификация ИС органов исполнительной власти и государственных внебюджетных фондов

Анализ информации о существующих ИС органов исполнительной власти и государственных внебюджетных фондов позволяет произвести их классификацию по нижеуказанным признакам.

Функциональное назначение ИС - указывает на выполняемые ИС функции:

функциональные ИС - напрямую используемые для решения прикладных задач в рамках основных профильных функций органов исполнительной власти и государственных внебюджетных фондов и оказания ими услуг гражданам:

государственные ИС - информационные порталы Федеральных органов исполнительной власти (далее - ФОИВ) и государственных внебюджетных фондов;

обеспечивающие ИС - не используемые напрямую в рамках профильных функций ОГВ, но обеспечивающие нормальное функционирование ОГВ как организационной единицы:

бухгалтерское и кадровое программное обеспечение;

системы планирования.

инфраструктурные ИС - комплекс сервисов (приложений), обеспечивающих базовые потребности организации в информационных ресурсах:

корпоративные инфраструктурные сервисы - обеспечивающие пользователей основным функционалом, необходимым для выполнения ими своих служебных обязанностей, например, служба электронной почты, внутренний портал, файловое хранилище, служба печати и прочее;

технологические инфраструктурные сервисы - выполняющие определённые технологические функции, не используемые пользователями напрямую, но от которых может зависеть работа функциональных ИС и других инфраструктурных сервисов, например, служба каталогов, система мониторинга и управления, шина обмена данными и прочее.

критичность исполняемых функций - указывает на степень прямого или косвенного влияния ИС на деятельность органов исполнительной власти и государственных внебюджетных фондов или оказания услуг гражданам:

критичные - долговременный простой которых может привести к серьезным финансовым и репутационным потерям;

некритичные - долговременный простой которых не приведёт к серьезным потерям.

масштаб использования - указывает на масштаб использования ИС:

федеральные - функционируют на территории Российской Федерации и имеют сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях;

региональные - функционируют на территории субъекта Российской Федерации и имеют сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях;

объектовые - функционируют на объектах одного федерального органа исполнительной власти, органа исполнительной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеют сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

уровень нагруженности - указывает на степень загрузки ИС:

высоконагруженные системы - ИС с высокой нагрузкой, для которых критична обработка большого количества транзакций в онлайн режиме с малым временем отклика;

прочие (ненагруженные) системы - ИС, для которых не критична обработка большого количества транзакций в онлайн режиме с малым временим отклика.

уровень значимости данных - указывает на степень значимости данных обрабатываемых и хранящихся в ИС:

обрабатывающие значимые данные - потеря данных в таких ИС критична и может привести к серьезным финансовым и репутационным потерям;

не обрабатывающие значимые данные - потеря данных в таких ИС не приведёт к серьезным потерям.

Классификация информационных систем по требованиям информационной безопасности:

государственные информационные системы - ИС, создающиеся в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. Согласно приказу ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (далее - приказ ФСТЭК России N 17) существует 3 класса защищенности информационных систем;

информационные системы персональных данных - ИС, представляющие собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Согласно постановлению Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" существует 4 уровня защищенности персональных данных;

значимые объекты критической информационной инфраструктуры - ИС, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Согласно Постановлению Правительства Российской Федерации от 8 февраля 2018 года N 127 существует 3 категории объектов критической информационной инфраструктуры;

информационные системы общего пользования - ИС, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации. Согласно приказа ФСТЭК России от 31 августа 2010 года N 489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования".

V Требования по оптимизации архитектуры ИС

Основными критериями оптимизации архитектуры ИС федеральных органов исполнительной власти и государственных внебюджетных фондов должны быть:

унификация и стандартизации используемых подходов и решений;

общее повышение надёжности и защищённости ИС;

сокращение степени возможных рисков по переводу ИС в государственную единую облачную платформу и как следствие обеспечение такого перевода с минимальными затратами.

В качестве основы целевой архитектуры ИС ОГВ требуется использовать готовые блоки вычислительных ресурсов, предназначенные для решения типовых задач в зависимости от их функционального назначения, для которых проведено комплексное тестирование совместной работы всех компонентов:

программно-аппаратные комплексы, представляющие собой законченное комплексное решение, включающее: вычислительные ресурсы, средства телекоммуникации, системное программное обеспечение, средства защиты информации, средства мониторинга и управления, собранные в единое решение;

модульные масштабируемые решения, физический уровень которых должен преимущественно строиться по системе блоков инфраструктуры, каждый блок состоит из набора типовых модулей, каждый тип модулей стандартизирован по определенному спектру параметров с целью взаимозаменяемости и упрощения мониторинга, управления, настройки и учета.

При создании новых и модернизации существующих ИС федеральных органов исполнительной власти и государственных внебюджетных фондов в качестве системного и прикладного программного обеспечения необходимо использовать программное обеспечение, входящее в "Единый реестр российских программ для электронных вычислительных машин и баз данных" (далее - отечественное ПО) или ПО с открытым кодом, распространяемое в соответствии с моделью разработки свободного и открытого программного обеспечения (далее - ПО с открытым кодом).

Использование отечественного ПО или ПО с открытым кодом при создании и модернизации ИС федеральных органов исполнительной власти и государственных внебюджетных фондов необходимо с точки зрения устранения санкционных рисков и связанных с ними рисков нарушения непрерывности функционирования ИС и компрометации обрабатываемых данных.

Отказ от использования отечественного ПО или ПО с открытым кодом в пользу проприетарного допускается только в случае наличия обоснования необходимости использования проприетарного ПО, не имеющего аналогов в реестре отечественного ПО.

Обеспечение необходимыми лицензиями ПО для функционирования ИС федеральных органов исполнительной власти и государственных внебюджетных фондов в ГЕОП определяется видом предоставляемых услуг Потребителям услуг ГЕОП.

При создании и модернизации ИС федеральных органов исполнительной власти и государственных внебюджетных фондов требуется использовать централизованную архитектуру, предполагающую централизованное хранение и обработку данных в одном или нескольких центрах обработки данных (далее - ЦОД) Поставщиков услуг ГЕОП. При этом рекомендуется организовывать архитектуру ИС таким образом, чтобы иметь возможность в автоматизированном режиме добавлять и исключать ЦОД Поставщиков услуг ГЕОП из периметра обработки и хранения данных.

Использование централизованной архитектуры предполагает, что работа пользователей с ИС осуществляется с помощью "тонких" клиентов или виртуальных рабочих мест, серверная часть которых расположена в тех же ЦОД, что ИС. При этом хранение и обработка данных на рабочих местах пользователей не осуществляются.

"Тонкий" клиент - в зависимости от контекста использования может означать программного клиента, устанавливаемого на АРМ пользователя для работы с ИС в клиент-серверном режиме, когда основная часть задач по обработке данных производится на серверной стороне, или аппаратный компьютер, обладающий как правило низкой производительностью и используемый для подключения к терминальной ферме или к инфраструктуре виртуальных рабочих мест.

Веб-клиент - разновидность "тонкого" программного клиента, используемая для работы пользователей с ИС через веб-браузер.

Выбор централизованной архитектуры является предпочтительным по сравнению с распределённой архитектурой, когда хранение и обработка данных распределена между множеством, количественно не ограниченным, территориально распределенных площадок. Централизованная архитектура должна учитывать риски связанные с устойчивостью системы к локальным катастрофам, то есть предусматривать возможность территориально разнесённого хранения резервных копий ИС.

В процессе проектирования ИС федеральных органов исполнительной власти и государственных внебюджетных фондов требуется исходить из необходимости обеспечения гибкости и независимости ИС от аппаратной платформы и ЦОД Поставщика услуг ГЕОП. Для этого в архитектуру ИС должны быть заложены возможности поддержки различных платформ. При этом должна быть обеспечена возможность перевода компонентов ИС между ЦОД поставщиков услуг ГЕОП. Данный подход позволит обеспечить независимость функционирования ИС от того или иного Поставщика услуг ГЕОП.

В архитектуре ИС федеральных органов исполнительной власти и государственных внебюджетных фондов необходимо предусмотреть возможности масштабирования и обеспечения роста производительности ИС при росте числа пользователей и/или нагрузки. При этом предусмотреть как возможности вертикального (в рамках одного сервера) так и горизонтального масштабирования (в рамках кластера или группы серверов) вычислительной платформы ИС.

Для взаимодействия ИС федеральных органов исполнительной власти и государственных внебюджетных фондов с другими системами требуется использовать стандартные протоколы обмена данными и/или шины данных. Для взаимодействия с ИС других органов государственной власти использовать систему межведомственного электронного взаимодействия (далее - СМЭВ). Все взаимодействия ИС с другими системами должны быть детально описаны и задокументированы, что необходимо для обеспечения интеграции с другими ИС и платформами Поставщиков услуг ГЕОП, а также для упрощения процессов перевода ИС с одной платформы на другую.

При проектировании интеграции ИС федеральных органов исполнительной власти и государственных внебюджетных фондов с инфраструктурными сервисами использовать уже размещённые в ГЕОП инфраструктурные сервисы, собственные или централизованные.

Для работы госслужащих с ИС должно использоваться типовое автоматизированное рабочее место государственного служащего (ТАРМ), клиентская часть ИС федеральных органов исполнительной власти и государственных внебюджетных фондов должна быть совместима с рабочим окружением ТАРМ.

В общем случае в состав ТАРМ должен входить приведенный ниже типовой набор аппаратных и программных компонентов, а также средства информационной безопасности. Приоритетным является использование отечественных аппаратных и программных средств. Использование иностранных компонентов допустимо только в случае обоснованной необходимости использования данных компонентов в составе ТАРМ:

Типовые аппаратные средства, размещаемые на рабочем месте, должны включать в себя:

персональный компьютер (далее - ПК) (в случае использования аппаратного автоматизированного рабочего места (далее - АРМ));

"тонкий" клиент (в случае использования виртуального рабочего места);

мобильный клиент (в случае использования мобильного доступа);

монитор, клавиатура, мышь.

Операционная система, могут использоваться следующие виды ОС:

отечественная операционная система для АРМ, сертифицированная ФСТЭК РФ. ОС должна быть представлена в Едином реестре российских программ для электронных вычислительных машин и баз данных РФ;

операционные системы семейства Microsoft Windows (в случае необходимости обеспечить совместимость с приложениями, написанными под Windows);

мобильная операционная система для мобильных устройств.

Типовой пакет программного обеспечения:

текстовый редактор;

редактор электронных таблиц;

редактор презентаций;

программа для работы с PDF файлами;

почтовый клиент;

редактор изображений;

архиватор файлов, поддерживающий работу в рамках одного архиватор с защищёнными паролем архивами и многотомными архивами;

интернет-браузер;

мультимедиа проигрыватель.

VI Требования к классификации ИС федеральных органов исполнительной власти и государственных внебюджетных фондов по функциональному назначению

При создании новых и модернизации существующих ИС федеральных органов исполнительной власти и государственных внебюджетных фондов необходимо руководствоваться следующими требованиями по оптимизации их архитектуры:

в качестве клиентской части - использование "тонкого" клиента или веб-клиента, в зависимости от удобства использования того или иного типа клиента для решения конкретных задач;

клиентские части ИС должны поддерживать работу в составе ТАРМ, как на платформе традиционного аппаратного АРМ, так и на платформе виртуального рабочего места, а также в режиме терминального доступа.

В случаях, когда в отдельных регионах использование "тонкого" клиента, веб-клиента, виртуального рабочего места или терминального доступа невозможно из-за низкого качества каналов связи, для данных регионов рекомендуется разработка отдельной клиентской части и/или использование буферизации запросов на клиентской и серверной сторонах.

VII Оптимизация архитектуры обеспечивающих ИС

При наличии в составе услуг государственной единой облачной платформы готового централизованного решения, обладающего необходимым функционалом, в первую очередь необходимо рассматривать данные решения для создания новых или модернизации существующих обеспечивающих ИС.

При отсутствии готового решения в составе услуг ГЕОП необходимо применить решения из реестра отечественного ПО, обладающие требуемым функционалом.

Используемые на региональном и районном уровнях обеспечивающие ИС заменить на централизованные на уровне ФОИВ и государственных внебюджетных фондов, решения или на готовые решения из состава услуг ГЕОП. Кроме случаев, когда использовать централизованное решения не позволяет качество каналов связи.

VIII Оптимизация архитектуры корпоративных инфраструктурных сервисов

При наличии соответствующего готового централизованного корпоративного инфраструктурного сервиса в составе услуг ГЕОП в первую очередь рассмотреть использование данного сервиса.

При отсутствии готового решения в ГЕОП для создания новых или модернизации существующих корпоративных инфраструктурных сервисов применить готовые "коробочные" решения из реестра отечественного ПО.

Используемые в федеральных органах исполнительной власти и государственных внебюджетных фондах корпоративные инфраструктурные сервисы на базе зарубежного программного обеспечения планомерно вывести из эксплуатации и заменить сервисами на базе отечественного программного обеспечения.

Используемые на региональном и районном уровне корпоративные инфраструктурные сервисы заменить на централизованные на уровне ФОИВ и государственных внебюджетных фондов, сервисы или сервисы из состава ГЕОП. Кроме случаев, когда использование централизованных сервисов ограничено качеством каналов связи.

IX Оптимизация архитектуры технологических инфраструктурных сервисов

При выборе решения в процессе проектирования нового или модернизации существующего технологического инфраструктурного сервиса в первую очередь следует руководствоваться планами развития ИС.

При проектировании технологического инфраструктурного сервиса необходимо выявить все существующие и планируемые к внедрению ИС, которые могут использовать данный технологический сервис. Определить места локации данных ИС, а также требования, предъявляемые с их стороны к функционалу и надежности технологического сервиса.

При наличии в составе ГЕОП технологического инфраструктурного сервиса, отвечающего указанным выше требованиям к функционалу и надежности сервиса, необходимо использовать технологический инфраструктурный сервис из состава ГЕОП.

При отсутствии в составе ГЕОП технологического инфраструктурного сервиса, отвечающего указанным выше требованиям к его функционалу и надежности, и необходимости проектирования собственного технологического инфраструктурного сервиса учитывать необходимость и возможность интеграции данного сервиса с технологическими инфраструктурными сервисами из состава ГЕОП.

X Требования с точки зрения критичности ИС

При оптимизации архитектуры ИС с точки зрения критичности предварительно провести анализ прямого или косвенного влияния сбоев и отказов ИС на деятельность федеральных органов исполнительной власти и государственных внебюджетных фондов и оказание услуг населению. На основании данных, полученных в ходе анализа, отнести ИС к одному из следующих или аналогичных классов критичности:

критичные - выход из строя этих систем влечет за собой значительные финансовые и репутационные потери для органов государственной власти;

некритичные - выход из строя данных систем не приводит к существенным с точки зрения органа власти финансовым и репутационным потерям. Это обычные обеспечивающие и офисные системы, не критичные с точки зрения государственного управления.

Далее для каждой из приведенных выше категорий ИС требуется определить следующие параметры надежности:

требуемая доступность ИС - в общем случае представляет собой процент времени в год, в которое система работоспособна и доступна пользователям;

допустимое время простоя (далее - RTO) - допустимое время единовременного простоя ИС в случае сбоя;

требования к сохранности данных ИС - количество и методы сохранности резервных копий данных;

допустимая потеря данных (далее - RPO) - допустимый временной промежуток, за который могут быть потеряны данные в случае сбоя.

Меры по оптимизации архитектуры ИС с точки зрения критичности применять исходя из класса критичности и параметров надёжности ИС.

XI Оптимизация архитектуры критичных ИС

Проектирование критичных ИС должно вестись с тем расчётом, чтобы ни один критичный компонент ИС не имел единой точки отказа. Все критичные компоненты ИС должны быть дублированы. Сбои смежных ИС, с которыми интегрируются критичные ИС, не должны приводить к отказу последних.

При выборе решений при проектировании критичных ИС следует руководствоваться балансом между доступностью, производительностью и стоимостью.

Для наиболее критичных компонентов критичных ИС использовать решения кластеризации, обеспечивающие высокую доступность ИС в случае сбоя или выхода из строя аппаратных средств или системного программного обеспечения. Конкретное решение кластеризации выбирать исходя из требуемой доступности ИС.

В зависимости от архитектуры для обеспечения надежности компонентов ИС возможно использовать как кластерные решения с балансировкой нагрузки между узлами, так и отказоустойчивые решения, обеспечивающие переключения активной копии критичного компонента ИС между узлами. При этом должна быть обеспечена отказоустойчивость ИС на уровне технических средств. При принятии решения о необходимости обеспечения отказоустойчивости ИС на уровне прикладного программного обеспечения следует руководствоваться балансом между надежностью ИС и стоимостью решения.

В общем случае для критичных ИС предусмотреть использование решений по обеспечению катастрофоустойчивости ИС между ЦОД различных Поставщиков услуг ГЕОП. Данное решение должно обеспечивать комплекс мер по репликации данных и резервному копированию данных ИС как минимум между основным и резервным ЦОД и обеспечивать возможность запуска ИС из резервной копии в резервном ЦОД в случае отказа основного ЦОД. Конкретные решения по обеспечению катастрофоустойчивости должны быть выбраны с учетом использования возможного вида репликации (синхронная или асинхронная), с учетом требований к RTO и RPO, а также стоимости решения.

Для размещения критичных ИС выбирать ЦОД Поставщиков услуг ГЕОП с гарантированным уровнем доступности инженерной инфраструктуры ЦОД не ниже 99,982 %.

Для критичных ИС необходимо обеспечить резервное копирование и восстановление наиболее важных прикладных данных. Решение для резервного копирования и восстановления данных выбирать исходя из требуемых параметров RTO и RPO. Решение должно обеспечивать частоту резервного копирования не менее требуемой RPO, а также скорость восстановления данных с учетом необходимости обеспечить требуемое время восстановления не более RTO с учетом всех прочих технических процедур и организационных мероприятий. Требуется обеспечить хранение резервных копий и возможность восстановления данных как в основном ЦОД, так и в резервном ЦОД.

Обеспечить мониторинг наиболее важных компонентов критичных ИС, а также смежных компонентов и систем, от которых зависит работа данных компонентов.

Для критичных ИС разработать план аварийного восстановления. Данный план должен включать в себя все необходимые для восстановления действия, контактную информацию специалистов, задействованных в процессе аварийного восстановления, и перечень всех необходимых для аварийного восстановления ресурсов. План аварийного восстановления должен регулярно тестироваться и пересматриваться при необходимости.

XII Оптимизация архитектуры некритичных ИС

Проектирование некритичных ИС должно вестись с тем расчётом, чтобы их сбои или отказы не оказывали влияние на другие ИС.

При проектировании некритичных ИС руководствоваться в первую очередь стоимостью решения при приемлемом уровне производительности и надежности.

Решение для обеспечения отказоустойчивости некритичных ИС выбирать исходя из стоимости с учётом необходимости обеспечения требуемой доступности ИС. В общем случае рекомендуется использовать решения с избыточностью узлов по схеме N+1, когда при выходе из строя одного узла работающие ИС перезапускаются на других узлах.

Для размещения некритичных ИС выбирать ЦОД поставщиков услуг ГЕОП с гарантированным уровнем доступности инженерной инфраструктуры ЦОД не ниже 99,749 %.

Решение по резервному копированию и восстановлению некритичных ИС выбирать исходя из требований к RPO и RTO.

XIII Оптимизация архитектуры федеральных ИС

Федеральные ИС рассматривать в качестве первоочередных кандидатов на перевод их в ГЕОП. При их проектировании и модернизации как целевую платформу размещения следует рассматривать ГЕОП.

При проектировании федеральных ИС в первую очередь следует учитывать большое количество пользователей системы и широкую географию их размещения. С учетом большого количества пользователей федеральной ИС использовать возможности горизонтального масштабирования, что позволяет наращивать производительность ИС добавлением к ней новых узлов.

При создании федеральных ИС использовать централизованную архитектуру с размещением в одном или нескольких, количественно ограниченных, ЦОД поставщиков услуг ГЕОП. При этом с учетом широкой географии использования для высоконагруженных федеральных ИС рассмотреть распределение компонентов ИС по нескольким ЦОД, разнесенным по разным регионам страны.

Клиентскую часть федеральных ИС разрабатывать в виде "тонких" или веб-клиентов, способных обеспечить работу с высоким допустимым временем задержки обработки запросов пользователей.

XIV Оптимизация архитектуры региональных ИС

Региональные ИС рассматривать в качестве кандидатов второй очереди на перевод в ГЕОП. При их проектировании и модернизации рассмотреть два варианта:

использование вычислительных ресурсов ГЕОП для развертывания региональной ИС;

возможность отказа от региональной ИС и использовании вместо нее соответствующей федеральной ИС.

При создании региональных ИС использовать централизованную архитектуру с использованием "тонких" или веб-клиентов. Использование локальных частей ИС возможно в отдельных районах, в которых отсутствуют каналы связи необходимого качества.

Размещать региональные ИС необходимо в ЦОД поставщиков услуг ГЕОП, расположенных в данном регионе, либо в ближайших к нему регионах.

XV Оптимизация архитектуры объектовых ИС

Должна быть рассмотрена возможность отказа от использования объектовых ИС и перевод их функционала в региональные или федеральные ИС.

XVI Оптимизация архитектуры высоконагруженных ИС

При создании высоконагруженных ИС в первую очередь требуется обеспечить высокую производительность ИС при приемлемой сложности решения и стоимости владения ИС.

Для создания высоконагруженных ИС использовать типовые архитектурные решения, предусматривающие разделение высоконагруженной ИС на разнородные по типу нагрузки компоненты с распределением их по разным узлам сети (серверам).

Для компонентов, логика работы которых позволяет производить параллельную обработку данных, например, веб-серверов и серверов приложений, использовать горизонтально масштабируемые решения.

Для компонентов, логика работы которых не позволяет производить параллельную обработку данных, например, серверы СУБД, предусмотреть возможности вертикального масштабирования и наращивания производительности в рамках одного узла.

При планировании перевода высоконагруженных ИС в государственную единую облачную платформу следует достоверно определить потребности каждой ИС в вычислительных мощностях с учетом возможной специфики профиля нагрузки ИС.

XVII Оптимизация архитектуры прочих (ненагруженных) ИС

При создании ненагруженных ИС в первую очередь придерживаться принципа максимального упрощения решения и сокращения стоимости владения ИС, сохраняя при этом приемлемую производительность.

При создании ненагруженных ИС по возможности сокращать число узлов сети, на которых размещаются компоненты ИС.

При планировании перевода ненагруженных ИС в государственную единую облачную платформу потребности данных в вычислительных мощностях следует определить на групповой основе, сразу для группы, отобранных по тому или иному принципу ИС.

XVIII Оптимизация архитектуры высоконагруженных ИС

При создании ИС хранящих и обрабатывающих значимые данные в первую очередь требуется обеспечить высокую сохранность данных ИС при приемлемой сложности решения и стоимости владения ИС.

Для создания ИС хранящих и обрабатывающих значимые данные использовать типовые архитектурные решения, предусматривающие многоуровневое хранение резервных копий, а также позволяющие создавать резервные копии данных на отчуждаемых носителях. Хранение отчуждаемых резервных копий должно осуществляться за пределами серверных помещений.

Для создания ИС хранящих и обрабатывающих значимые данные использовать архитектурные решения, позволяющие создание и хранение дополнительной копии данных в другом, географически отдаленном ЦОД.

При создании ИС хранящих и обрабатывающих значимые данные целесообразно разделить данные по значимости и для каждого типа определить свои показатели RPO, RTO, а также сроки хранения резервных копий.

XIX Оптимизация архитектуры прочих (ненагруженных) ИС

При создании ИС не хранящих и обрабатывающих значимые данные в первую очередь необходимо придерживаться принципа максимального упрощения решения и сокращения стоимости владения ИС, сохраняя при этом приемлемый уровень сохранности данных.

При создании ИС не хранящих и обрабатывающих значимые данные целесообразно ограничить количество резервных копий данных и сроки хранения этих резервных копий.

XX Рекомендации по обеспечению информационной безопасности ИС

Для обеспечения защиты информации, содержащейся в ИС, необходимо применять средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации, изложенными в статье 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании".

Организационные и технические меры защиты информации, реализуемые в рамках создания и эксплуатации системы защиты информации ИС, в зависимости от информации, содержащейся в ИС, целей создания ИС и задач, решаемых этой ИС, должны быть направлены на исключение:

неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

неправомерного блокирования информации (обеспечение доступности информации).

XXI Формирование требований к защите информации, содержащейся в ИС

Формирование требований к защите информации, содержащейся в ИС включает в себя:

принятие решения о необходимости защиты информации, содержащейся в ИС;

классификацию ИС по требованиям защиты информации;

определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, и разработку на их основе модели угроз безопасности информации (далее - Модель угроз);

определение требований к системе защиты информации ИС.

При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:

анализ целей создания ИС и задач, решаемых этой ИС;

определение информации, подлежащей обработке в ИС;

анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИС;

принятие решения о необходимости создания системы защиты информации ИС, а также определение целей и задач защиты информации в ИС, основных этапов создания системы защиты информации ИС и функций по обеспечению защиты информации, содержащейся в ИС, обладателя информации (Заказчика), оператора и уполномоченных лиц.

Классификация ИС проводится в соответствии с требованиями настоящего документа. Результаты классификации ИС оформляются актом классификации.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей ИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

Требования к системе защиты информации ИС определяются в зависимости от класса защищенности ИС и угроз безопасности информации, включенных в Модель угроз безопасности информации. Требования к системе защиты информации ИС включаются в техническое задание на создание ИС и (или) техническое задание (частное техническое задание) на создание системы защиты информации ИС разрабатываемые с учетом ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - , ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" и ГОСТ Р 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения", и должны в том числе содержать:

цель и задачи обеспечения защиты информации в ИС;

класс защищенности ИС;

перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИС;

перечень объектов защиты ИС;

требования к мерам и средствам защиты информации, применяемым в ИС;

стадии (этапы работ) создания системы защиты ИС;

требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;

функции Заказчика и оператора по обеспечению защиты информации в ИС;

требования к защите средств и систем, обеспечивающих функционирование ИС (обеспечивающей инфраструктуре);

требования к защите информации при информационном взаимодействии с иными ИС и информационно-телекоммуникационными сетями, в том числе с ИС уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

При определении требований к системе защиты информации ИС учитываются положения политик обеспечения информационной безопасности обладателя информации (Заказчика), а также политик обеспечения информационной безопасности оператора и уполномоченного лица в части, не противоречащей политикам обладателя информации (Заказчика).

Создание системы осуществляется в соответствии с техническим заданием с учетом Модели угроз безопасности информации, предусмотренной подпунктом "г" пункта 12 постановления Правительства Российской Федерации от 6 июля 2015 года N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" (далее - постановление Правительства Российской Федерации N 676).

XXII Требования по моделированию угроз безопасности информации

Для определения угроз безопасности информации и разработки Модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России.

Допускается разработка типовой модели угроз безопасности информации и формирование частных моделей ИС, на базе типовой модели угроз безопасности информации.

При определении угроз безопасности информации учитываются структурно-функциональные характеристики ИС, включающие структуру и ИС, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных сегментах, а также иные характеристики ИС, применяемые информационные технологии и особенности ее функционирования.

По результатам определения угроз безопасности информации при необходимости разрабатываются решения по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Модель угроз безопасности информации должна содержать:

описание ИС и ее структурно-функциональных характеристик;

описание угроз безопасности информации, включающее описание возможностей нарушителей (далее - Модель нарушителя);

возможные уязвимости ИС;

способы реализации угроз безопасности информации;

последствия от нарушения свойств безопасности информации.

Модель угроз и Модель нарушителя безопасности информации согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.

XXIII Проектирование системы защиты

При проектировании системы защиты необходимо определить типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа).

Необходимо определить методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в ИС.

Выбрать меры защиты информации, подлежащие реализации в системе защиты информации ИС.

Определить виды и типы средств защиты информации, обеспечивающих реализацию технических мер защиты информации.

Определить структуру системы защиты информации ИС, включая состав (количество) и места размещения ее элементов.

Осуществить выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности ИС.

Определить требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающим реализацию мер защиты информации, а также устранение возможных уязвимостей в ИС, приводящих к возникновению угроз безопасности информации.

Определить меры защиты информации при информационном взаимодействии с иными ИС.

XXIV Внедрение системы защиты

Внедрение системы защиты информации ИС должно осуществляться в соответствии с проектной и эксплуатационной документацией на систему защиты информации ИС и включать:

установку и настройку средств защиты информации в ИС;

разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации;

внедрение организационных мер защиты информации;

предварительные испытания системы защиты информации ИС;

опытную эксплуатацию системы защиты информации ИС;

анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;

приемочные испытания системы защиты информации ИС.

Установку и настройку средств защиты информации необходимо осуществлять в строгом соответствии с документацией на систему защиты ИС и документацией на конкретные средства защиты.

При внедрении или модернизации ИС необходимо разработать (актуализировать) организационно-распорядительные документы по защите информации, определяющие:

порядок управления (администрирования) системой защиты информации ИС;

процесс выявления инцидентов информационной безопасности, которые могут привести к сбоям или нарушению функционирования ИС и (или) к возникновению угроз безопасности информации, и реагирования на них;

порядок управления конфигурацией аттестованной ИС и системы защиты информации ИС;

процесс контроля (мониторинга) за обеспечением уровня защищенности (класса защиты) информации, содержащейся в ИС;

порядок защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации.

После внедрения системы защиты информации необходимо проведение предварительных испытаний системы защиты информации ИС. Предварительные испытания проводить в соответствии с требованиями ГОСТ 34.603 "Информационная технология. Виды испытаний автоматизированных систем".

В течение всего периода функционирования ИС и системы защиты необходимо проводить анализ уязвимостей средств защиты информации, технических средств и программного обеспечения ИС. По результатам анализа уязвимостей должно быть подтверждено, что в ИС отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

XXV Аттестация государственной информационной системы

Аттестация ИС организуется обладателем информации (Заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям Приказа ФСТЭК России N 17.

В качестве исходных данных, необходимых для аттестации ИС, используются:

модель угроз безопасности информации;

акт классификации ИС;

техническое задание на создание ИС и (или) техническое задание (частное техническое задание) на создание системы защиты информации ИС;

проектная и эксплуатационная документация на систему защиты информации ИС;

организационно-распорядительные документы по защите информации;

результаты анализа уязвимостей ИС;

материалы предварительных и приемочных испытаний системы защиты информации ИС;

иные документы, разрабатываемые в соответствии требованиями Приказа ФСТЭК России N 17.

Аттестация ИС проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в ИС.

По результатам аттестационных испытаний оформляются:

протоколы аттестационных испытаний;

заключение о соответствии ИС требованиям о защите информации;

аттестат соответствия в случае положительных результатов аттестационных испытаний.

При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):

экспертно-документальный метод;

анализ уязвимостей ИС;

испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к ИС в обход ее системы защиты информации.

Допускается аттестация ИС на основе результатов аттестационных испытаний выделенного набора сегментов ИС, реализующих полную технологию обработки информации. В этом случае распространение аттестата соответствия на другие сегменты ИС осуществляется при условии их соответствия сегментам ИС, прошедшим аттестационные испытания.

Ввод в действие ИС осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, с учетом ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" и при наличии аттестата соответствия.

ИС, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.

XXVI Описание подхода к процессу оптимизации архитектуры ИС

Подход к процессу оптимизации архитектуры ИС ОГВ зависит от их классификации и стадии жизненного цикла ИС, включая:

новые проектируемые ИС,

вводимые в эксплуатацию ИС,

находящиеся в эксплуатации ИС,

модернизируемые ИС,

выводимые из эксплуатации ИС.

Провести анализ и классификацию находящихся на всех стадиях жизненного цикла ИС ОГВ.

В зависимости от функционального назначения ИС предпринять следующие мероприятия:

для функциональных ИС в зависимости от стадии их жизненного цикла:

для новых проектируемых ИС требуется рассматривать ГЕОП как целевую платформу для размещения ИС;

для вводимых и находящихся в эксплуатации ИС необходимо оценить соответствие архитектуры ИС настоящим требованиям и при необходимости запланировать их оптимизацию и последующий перевод ИС в ГЕОП;

для модернизируемых ИС рассмотреть возможность оптимизации архитектуры ИС в соответствии с настоящими требованиями и при ее наличии провести оптимизацию архитектур ИС и перевести их в ГЕОП;

для выводимых или запланированных к выводу из эксплуатации ИС продолжить сопровождение и остаточное использование ИС без ее изменения до полного вывода ИС из эксплуатации.

для обеспечивающих ИС в зависимости от стадии их жизненного цикла:

для новых проектируемых ИС в первую очередь рассмотреть возможность использования вместо них соответствующих централизованных решений из состава услуг ГЕОП, при их наличии, в противном случае рассматривать ГЕОП как целевую платформу для размещения новых обеспечивающих ИС;

для вводимых и находящихся в эксплуатации обеспечивающих ИС необходимо оценить соответствие архитектуры ИС данным требованиям и запланировать оптимизацию и последующий перевод обеспечивающих ИС в ГЕОП или замену их на централизованное решение из состава услуг ГЕОП;

для модернизируемых ИС в первую очередь рассмотреть возможность замены обеспечивающих ИС на централизованное решение из состава услуг ГЕОП, при их наличии, в противном случае провести оптимизацию архитектур ИС в соответствии с настоящими требованиями и перевести их в ГЕОП;

для выводимых или запланированных к выводу из эксплуатации ИС не предпринимать никаких действий.

для инфраструктурных сервисов в зависимости от стадии их жизненного цикла:

при проектировании новых инфраструктурных сервисов в первую очередь рассмотреть возможность использования готовых сервисов из состава ГЕОП; развертывать собственные инфраструктурные сервисы следует только в случае, если данные сервисы отсутствуют в ГЕОП или не соответствуют предъявляемым к ним требованиям;

для вводимых и находящихся в эксплуатации инфраструктурных сервисов рассмотреть возможность использования вместо них готовых сервисов из состава ГЕОП и запланировать переход на их использование;

для модернизируемых инфраструктурных сервисов в первую очередь рассмотреть возможность их замены на сервисы из состава ГЕОП;

для выводимых или запланированных к выводу из эксплуатации инфраструктурных сервисов не предпринимать никаких действий.

В зависимости от критичности ИС предпринять следующие мероприятия:

для критичных ИС:

для проектируемых и модернизируемых ИС рассмотреть возможность их размещения в ГЕОП с точки зрения выполнения требований по обеспечению надежности ИС и при наличии возможности рассматривать ГЕОП как целевую платформу для размещения ИС;

для вводимых и находящихся в эксплуатации ИС рассмотреть возможность перевода ИС в ГЕОП с точки зрения рисков влияния перевода ИС на ее надежность, предусмотреть меры по снижению рисков по переводу, и в случае если риски миграции приемлемы, запланировать перевод ИС в государственную единую облачную платформу;

для выводимых или запланированных к выводу из эксплуатации ИС рекомендуется не предпринимать никаких действий.

для некритичных ИС:

для проектируемых и модернизируемых ИС рассматривать ГЕОП как целевую платформу для размещения ИС;

для вводимых, находящихся в эксплуатации и модернизируемых ИС запланировать их перевод в ГЕОП;

для выводимых или запланированных к выводу из эксплуатации ИС не предпринимать никаких действий.

В зависимости от масштаба использования ИС предпринять следующие действия:

для федеральных ИС в зависимости от стадии их жизненного цикла:

для новых проектируемых ИС сразу рассматривать ГЕОП как целевую платформу для размещения ИС;

для вводимых и находящихся в эксплуатации ИС оценить соответствие архитектуры этих ИС данным требованиям и при необходимости запланировать их оптимизацию и последующий перевод ИС в ГЕОП;

для модернизируемых ИС рассмотреть возможность оптимизации архитектуры ИС в соответствии с настоящими требованиями, провести оптимизацию их архитектуры и перевести их в ГЕОП;

для выводимых или запланированных к выводу из эксплуатации ИС не предпринимать никаких действий.

для региональных ИС в зависимости от стадии их жизненного цикла:

для новых проектируемых региональных ИС рассмотреть возможность отказа от данных ИС в пользу использования федеральных ИС с аналогичным функционалом, при их наличии, в противном случае следует рассматривать ГЕОП как целевую платформу для размещения новых региональных ИС;

для вводимых и находящихся в эксплуатации региональных ИС рассмотреть возможность отказа от их использования в пользу использования федеральных ИС с аналогичным функционалом, в противном случае оценить соответствие архитектуры региональных ИС данным требованиям и при необходимости запланировать их оптимизацию и последующий перевод в ГЕОП;

для модернизируемых региональных ИС в первую очередь рассмотреть отказ от использования региональных ИС в пользу использования федеральных ИС с аналогичным функционалом, в противном случае рекомендуется провести модернизацию архитектуры ИС и последующий перевод ее в ГЕОП;

для выводимых или запланированных к выводу из эксплуатации ИС не предпринимать никаких действий.

От использования объектовых ИС следуют отказываться и запланировать перевод их функционала в региональные или федеральные ИС.

В зависимости от нагруженности ИС предпринять следующие действия:

для высоконагруженных ИС:

для новых проектируемых ИС определить потребности ИС в вычислительных ресурсах с учетом прогнозов роста нагрузки, выполнить проектирование комплекса технических средств (далее - КТС) и, основываясь на результатах проектирования, запросить необходимые для развертывания ИС вычислительные ресурсы в ГЕОП;

для вводимых и находящихся в эксплуатации ИС оценить текущую нагрузку ИС и прогнозы ее роста, определить соответствие текущего КТС полученным оценкам и в случае необходимости модернизации КТС запросить выделения соответствующих вычислительных ресурсов в ГЕОП и запланировать перевод ИС в ГЕОП;

для модернизируемых ИС в случае необходимости модернизации КТС запросить выделение соответствующих вычислительных ресурсов в ГЕОП и запланировать перевод ИС в ГЕОП;

для выводимых или запланированных к выводу из эксплуатации ИС не предпринимать никаких действий.

для прочих (ненагруженных) ИС:

для новых проектируемых ИС запросить необходимые для развертывания ИС вычислительные ресурсы в ГЕОП;

для вводимых, находящихся в эксплуатации и модернизируемых ИС запланировать их перевод в ГЕОП и запросить в ГЕОП необходимые для перевода вычислительные ресурсы;

для выводимых или запланированных к выводу из эксплуатации ИС не предпринимать никаких действий.

Приложение N 4
к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
от _______2019 N ________

Требования к использованию участниками эксперимента услуг поставщиков, а также к порядку и методологии подключения участников эксперимента к государственной единой облачной платформе

1.1 I Общие положения

Настоящие требования к использованию участниками эксперимента услуг поставщиков, а также к порядку и методологии подключения участников эксперимента к государственной единой облачной платформе (далее соответственно - Требования, ГЕОП) разработаны в целях обеспечения процесса перевода информационных систем (далее - ИС) участников эксперимента в ГЕОП.

Требования применяются к ИС федеральных органов исполнительной власти и государственных внебюджетных фондов - участников эксперимента по переводу информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу.

1.2 II Требования к использованию участниками эксперимента услуг поставщиков

Поставщики услуг выполняют следующие функции:

предоставление ресурсов (услуг) с поддержанием качества на уровне, зафиксированном в каталоге таких ресурсов (услуг);

обеспечение информационной безопасности предоставляемых ресурсов (услуг).

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации, как регулятор ГЕОП в сфере организации и эксплуатации ГЕОП выполняет следующие функции:

согласование требований для включения в каталог Поставщиков ресурсов (услуг) ГЕОП;

утверждение технических условий присоединения к ГЕОП для Потребителей и Поставщиков ресурсов (услуг) ГЕОП;

утверждение предельных тарифов.

Организация, привлекаемая для реализации полномочий Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации в соответствии с постановлением на выполнение задач по оперативному контролю качества предоставления ресурсов (услуг) облачных вычислений в ГЕОП, использует следующие элементы ГЕОП:

ФГИСУ - информационная система мониторинга функционирования инфраструктуры государственной единой облачной платформы и управления уровнем предоставления услуг, создаваемая для решения комплекса задач по контролю качества предоставления вычислительных ресурсов (услуг) и программных ресурсов (услуг), методологии деятельности Поставщиков ресурсов (услуг), оптимизации, планирования, а также обеспечения функционирования ситуационного центра контроля и поддержки принятия решений ГЕОП;

Моделирующий стенд государственной единой облачной платформы, предназначенный для экспериментальной отработки программных и технических решений, узлов и подсистем инфраструктуры ГЕОП, комплексов технических средств, апробации построения типовых элементов ИС Потребителей услуг с целью выбора оптимального варианта их создания.

1.3 III Требования к услугам, оказываемым Поставщиками

Требования к услуге, оказываемой поставщиками включают в себя общесистемные требования, в частности:

доступность услуги - услуга должна быть доступна в течение установленного промежутка времени любому пользователю услуг, удовлетворяющему требованиям, при наличии договора на предоставления услуг и выполнении указанных в договоре технических условий.

измеряемость услуги - услуга должна иметь количественную единицу измерения объема результата предоставления услуги и в любой момент предоставления услуги может быть определена однозначная мера (количественная оценка) уже оказанного объема услуги.

реализуемость услуги - означает, что должен существовать и быть известным однозначный и детально описанный механизм (способ, алгоритм) реализации данной услуги, соответствующий возможностям Поставщика услуги.

эффективность услуги - услуга должна иметь механизм реализации, обеспечивающий приемлемую ресурсоемкость и (или) стоимость предоставления услуги, как для Поставщика услуги, так и для Пользователя услуги.

безопасность услуги - реализуемая при предоставлении услуги деятельность и результат предоставления услуги не должны нарушать принятых норм информационной безопасности при всех допустимых ситуациях, т.е. обеспечивать сохранение конфиденциальности, целостности и возможности доступа к информации.

стабильность услуги - условия предоставления услуги, реализуемая деятельность и результат предоставления услуги, а также механизм реализации услуги должны быть стабильными или предсказуемыми в широком диапазоне внешних условий предоставления.

1.4 IV Общие требования к Поставщикам

Поставщик должен обеспечить:

предоставление технологической площадки для перевода государственных ИС на инфраструктуру Поставщика услуг;

предоставление информационно-технических средств и вычислительных ресурсов в соответствии с установленными требованиями;

сопровождение процесса перевода ИС Потребителей услуг в ГЕОП, включая, при необходимости, разработку рабочей документации;

консультирование и выполнение настроек технических средств в рамках процесса предоставления услуги;

предоставление доступа ИС, размещенных в ГЕОП, к информационно-телекоммуникационной сети "Интернет";

предоставление доступа ИС к системе межведомственного электронного взаимодействия;

обеспечение должного уровня информационной безопасности государственных информационных систем в течение всего периода оказания услуг в соответствии с законодательными и нормативно-методическими документами;

предоставление резервируемого доступа к информационно-телекоммуникационной сети "Интернет" с пропускной способностью достаточной для обеспечения доступа пользователей ИС Потребителя услуг;

организацию защиты каналов связи между площадками Поставщика и площадкой, где размещается ИС Потребителя услуг, с помощью сертифицированных средств криптографической защиты информации и других технических средств защиты каналов связи;

развертывание на технологической площадке Поставщика услуг системы мониторинга, обеспечивающей отправку метрик мониторинга в систему ФГИСУ, в соответствии с требованиями системы ФГИСУ.

Технологические площадки должны обеспечивать должный уровень безопасности информации, подтверждаемый аттестатом соответствия по требованиям безопасности информации по классу не ниже класса защиты переводимых государственных ИС.

Инфраструктура, предоставляемая Поставщиком услуг, должна позволять проводить ремонтно-профилактические работы без остановки функционирования, обеспечивая возможность одновременной эксплуатации и технического обслуживания центра обработки данных (далее - ЦОД) вплоть до замены компонентов системы, добавления и удаления вышедшего из строя оборудования.

Предоставляемая Поставщиком услуг инфраструктура должна формироваться с учетом государственной политики в области импортозамещения.

В целях обеспечения устойчивости, безопасности и экономической эффективности функционирования ГЕОП и бесперебойного функционирования ИС и информационных ресурсов участников эксперимента на ГЕОП после окончания эксперимента инфраструктура Поставщика в перспективе развития должна удовлетворять требованиям системы сертификации ЦОД, создание которой предусмотрено Федеральным проектом "Информационная инфраструктура" национальной программы "Цифровая экономика Российской Федерации".

Система сертификации ЦОД включает:

разработку отечественной модели классификации ЦОД;

разработку и утверждение национального стандарта классификации ЦОД, а также методики сертификации ЦОД на соответствие требованиям, предъявляемых к уровню качества предоставляемых сервисов ЦОД и требований к инфраструктуре ЦОД;

принятие нормативных правовых актов об использовании федеральными органами исполнительной власти и подведомственными им учреждениями услуг ЦОД, сертифицированных на соответствие требованиям, предъявляемым к уровню качества предоставляемых сервисов ЦОД, и требованиям к инфраструктуре ЦОД.

1.5 V Требования к Поставщику услуг по обеспечению информационной безопасности

Поставщики услуг должны обеспечить выполнение следующих требований:

размещение на ресурсах Поставщика услуг ИС Потребителей услуг, класс (уровень защищенности) которых не выше уровня (класса защищенности) инфраструктуры данного Поставщика услуг;

разработка для каждого объекта информатизации Поставщика услуг модели угроз и нарушителя безопасности информации, которая должна быть согласована со ФСТЭК России и ФСБ России;

наличие у Поставщика услуг собственного штата квалифицированных специалистов по защите информации или наличие хозяйственного договора на аутсорсинг услуг информационной безопасности с подрядной организацией, обладающей лицензиями ФСТЭК России и ФСБ России, необходимыми для оказания услуг по информационной безопасности;

наличие у Поставщика услуг утвержденной организационно-распорядительной документации по вопросам обеспечения безопасности информации, а также документированных и введенных в действие процессов обеспечения безопасности информации;

возможность развертывания в ИТ-инфраструктуре Поставщика услуг средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

1.6 VI Порядок подключения участников эксперимента к ГЕОП

Перечень участников эксперимента, а также порядок привлечения иных органов государственной власти к эксперименту определён постановлением.

Взаимодействие участников эксперимента и Поставщиков осуществляется в рамках государственных контрактов, заключаемых в соответствии с законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд.

Государственным заказчиком товаров и работ (услуг), связанных с переводом ИС и информационных ресурсов в ГЕОП, формируемую в процессе эксперимента, арендой вычислительной инфраструктуры и организацией связи, а также обеспечением автоматизированными рабочими местами и программным обеспечением выступают участники эксперимента.

В случае заключения между Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации и участником эксперимента соглашения о взаимодействии при проведении эксперимента по переводу информационных систем и информационных ресурсов федеральных органов исполнительной власти и государственных внебюджетных фондов в государственную единую облачную платформу, а также по обеспечению федеральных органов исполнительной власти и государственных внебюджетных фондов автоматизированными рабочими местами и программным обеспечением в качестве государственного заказчика выступает Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.

К участию в эксперименте могут привлекаться иные федеральные органы исполнительной власти и государственные внебюджетные фонды по согласованию с ними и решению президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации при необходимости обеспечивает подготовку и представление предложений в Правительство Российской Федерации о продлении сроков проведения эксперимента.

1.7 VII Правила присоединения участников эксперимента к ГЕОП

Должен быть произведен анализ текущей модели эксплуатации ИС или отдельных сервисов ИС. В случае, если ИС эксплуатируется на собственной ИТ инфраструктуре, оценивается готовность ИС для перевода в ГЕОП и принимается решение о переводе ИС или отдельных сервисов ИС в ГЕОП.

Если ИС или отдельные сервисы ИС функционируют на арендованной ИТ инфраструктуре по облачной модели, то выполняются следующие действия:

проверяется соответствие услуг организации, предоставляющей ИТ инфраструктуру в аренду, требованиям, предъявляемым к Поставщикам услуг ГЕОП;

проверяется соответствие ЦОД организации, предоставляющей ИТ инфраструктуру в аренду, требованиям, предъявляемым к ЦОД Поставщиков услуг ГЕОП;

выполняется интеграция системы мониторинга организации, предоставляющей ИТ инфраструктуру в аренду, с системой ФГИСУ, для обеспечения отправки метрик мониторинга в систему ФГИСУ, в соответствии с требованиями системы ФГИСУ.

В случае, если все вышеперечисленные условия и шаги успешно выполнены, то формируется заключение о включении ИС, или отдельных сервисов ИС в ГЕОП, а организация, предоставляющая ИТ инфраструктуру в аренду, становится Поставщиком услуг ГЕОП.

1.8 VIII Порядок финансирования

Источником финансирования для государственных контрактов, в рамках которых реализуются закупка товаров, работ (услуг), связанных с переводом ИС и информационных ресурсов участников эксперимента в ГЕОП, арендой вычислительной инфраструктуры и организацией связи, доработкой (адаптацией) ИС Пользователя услуг, обеспечением работоспособности ГЕОП и инфраструктуры автоматизированных рабочих мест, организацией обеспечения защиты информации в соответствии с уровнями и классами, установленными Пользователем услуг (владельцем) ИС, размещенных в ГЕОП, а также обеспечением автоматизированными рабочими местами и программным обеспечением является федеральный бюджет Российской Федерации.

При этом реализация эксперимента финансируется счет средств, доведенных Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации на соответствующие цели в рамках федерального проекта "Информационная инфраструктура" национальной программы "Цифровая экономика Российской Федерации", (мероприятие 04.02.002.004. "Реализация плана перевода информационных систем и информационных ресурсов органов государственной власти, государственных внебюджетных фондов и местного самоуправления в государственную единую облачную платформу по сервисной модели", которое включает в себя мероприятие 04.02.002.004.003 "Миграция информационных систем (и соответствующих информационных ресурсов) федеральных органов исполнительной власти, а также отдельных органов местного самоуправления в государственную единую облачную платформу с переходом на сервисную модель потребления облачных ресурсов") и федерального проекта "Цифровое Государственное Управление" национальной программы "Цифровая экономика Российской Федерации" (мероприятие 06.01.005.001 "В органах государственной власти внедрено типовое автоматизированное рабочее место государственного служащего на базе отечественного ПО") или бюджетные ассигнования доведенные до других участников эксперимента.

1.9 IX Услуги предоставляемые ГЕОП

В рамках ГЕОП предоставляются следующие виды услуг.

Инфраструктурные услуги - услуги, предусматривающие предоставление Потребителям инфраструктуру ЦОД, в состав которых входят:

предоставление Поставщиком ресурсов и инфраструктуры для размещения и эксплуатации оборудования Потребителя - аренда стойко-места;

предоставление Поставщиком программно-аппаратных комплексов для работы программного обеспечения Потребителя - аренда вычислительной инфраструктуры;

предоставление Поставщиком программного обеспечения - аренда программного обеспечения;

предоставление Поставщиком защищенных каналов передачи данных, и магистрального аппаратного обеспечения, соединяющие Поставщиков услуг друг с другом и с Потребителями услуг ГЕОП;

предоставление Поставщиком инфраструктуры и сервисов информационной безопасности для ГЕОП - безопасность как сервис, которая включает в себя создание подсистемы защиты информации, предназначенной для обеспечения защиты информации на уровне информационно-телекоммуникационной инфраструктуры ЦОД, в котором планируется размещение ИС Потребителя услуг.

Облачные услуги - услуги, предусматривающие предоставление Потребителям виртуальных ресурсов ЦОД, в состав которых входят:

предоставление Поставщиком виртуальных вычислительных ресурсов и ресурсов хранения - аренда виртуальных серверов;

предоставление Поставщиком виртуальных вычислительных ресурсов и ресурсов хранения в комплекте с предустановленным на виртуальный сервер программным обеспечением - аренда виртуальных программно-аппаратных комплексов.

Сервисные услуги - услуги, предусматривающие предоставление Потребителям сервисных услуг, в состав которых входят:

проектирование процесса перевода ИС Потребителей услуг в ГЕОП;

проектирование целевого состояния и доработка ИС Потребителей услуг с точки зрения обеспечения готовности ИС к переводу в ГЕОП;

осуществление процесса перевода ИС Потребителей услуг в ГЕОП;

сопровождение процесса перевода ИС Потребителей услуг в ГЕОП;

опытная эксплуатация ИС Потребителей услуг в рамках функционирования их в ГЕОП;

аттестация ИС в соответствии с требованиями безопасности информации;

подготовка отчетной и исполнительной документации, связанной с функционированием ИС Потребителей услуг в ГЕОП.

1.10 X Осуществление перевода участников эксперимента в ГЕОП

Перевод участников эксперимента в ГЕОП осуществляется поэтапно.

На подготовительном этапе, целью которого является оценка степени готовности ИС к переводу, планирование мероприятий по организации перевода ИС в ГЕОП, а также определение архитектурно-технического решения, которое разрабатывается исходя из специфики функционального назначения, критичности обрабатываемой информации, архитектуры решения и масштаба использования ИС участников эксперимента, должны быть выполнены следующие работы:

анализ эксплуатационно-технической документации ИС Потребителей услуг, запланированных к переводу на сервисную модель потребления облачных ресурсов;

разработка рекомендаций по внесению изменений в комплект эксплуатационной документации по ИС, запланированных к переводу на сервисную модель потребления облачных ресурсов;

По результатам анализа эксплуатационно-технической документации ИС должны быть определены:

степень готовности ИС к переводу в ГЕОП;

механизм, как ИС переводится в ГЕОП: ИС целиком, отдельные сервисы ИС; только копия данных ИС, которую необходимо хранить удаленно для повышения надежности хранения информации;

необходимые доработки и оптимизация ИС для перевода в ГЕОП.

В рамках проведения подготовительных работ Поставщик услуг должен разработать:

техническое решение по созданию отказоустойчивого программно-аппаратного комплекса (далее - ПАК), в соответствии с временным стандартом типовых технических решений для программных услуг и услуг облачных вычислений, оказываемых поставщиками;

технологические карты по переводу ИС Потребителя услуг на сервисную модель потребления облачных ресурсов;

регламент технической поддержки и SLA;

программу и методику приемочных испытаний.

В рамках проработки мероприятий по переводу ИС в ГЕОП, должно быть учтено текущее размещение ИС. Если ИС эксплуатируется на арендованной инфраструктуре, то требуется оценить соответствие текущего Поставщика услуг требованиям к Поставщикам услуг ГЕОП. Если поставщик соответствует требованиям ГЕОП и ИС готова к эксплуатации в рамках ГЕОП, то по результатам эксперимента принимается решение о включении ИС Потребителя в ГЕОП.

В случае неготовности ИС для перевода в ГЕОП, проводятся необходимые доработки и оптимизация ИС для перевода в ГЕОП. В рамках эксперимента допускается перевод отдельных сервисов ИС в ГЕОП до приведения данных сервисов ИС к целевому состоянию.

На этапе развертывания вычислительной инфраструктуры, Поставщик услуг должен предоставить ПАК, созданный в соответствии с разработанным техническим решением, предназначенный для размещения и обеспечения функционирования ИС Потребителя услуг. Вычислительные ресурсы и ресурсы хранения должны быть организованы таким образом, чтобы их архитектура, технические и функциональные характеристики позволяли произвести размещение и надежное функционирование ИС Потребителя услуг.

В рамках оказания услуги, Поставщик услуг выполняет резервное копирование и хранение резервных копий виртуальных машин (при необходимости).

Работы этапа могут быть разбиты на несколько подэтапов в зависимости от результатов обследования и готовности ИС к переводу в ГЕОП. По результатам перевода ИС в ГЕОП Поставщик услуг должен обеспечить возможность интеграции собственной системы мониторинга и системы управления с системой ФГИСУ, в соответствии с требованиями системы ФГИСУ, что позволяет контролировать следующие параметры предоставления услуг:

качество предоставления услуг;

количественные показатели предоставляемых услуг;

информацию о возникших инцидентах и запросах.

В результате проведения развертывания вычислительной инфраструктуры должны быть сформированы следующие документы:

отчет о развертывании инфраструктуры;

отчет о переводе информационных систем в соответствии с Планом перевода информационных систем участника эксперимента;

протокол комплексного тестирования вычислительной инфраструктуры;

отчет об инцидентах;

аттестат соответствия требованиям безопасности для объекта информатизации (ЦОД) Поставщика услуг соответствующий классу защищенности, переводимой ИС Потребителя услуг;

На этапе (этапах) сопровождения процесса перевода ИС и информационных ресурсов участника эксперимента с предоставлением вычислительной инфраструктуры и организация связи, Поставщик услуг должен обеспечить квалифицированную и достаточную для всех видов и объемов оказываемой услуги инженерно-техническую поддержку.

Ответственность при оказании услуги в ЦОД Поставщика услуг за соблюдением норм и правил по технике безопасности и пожарной безопасности возлагается на Поставщика услуг.

Оказание услуги должно осуществляться с соблюдением законодательства Российской Федерации по охране труда, а также иных нормативных правовых актов.

При оказании услуги Поставщик услуг гарантирует отсутствие нарушения прав третьих лиц.

По результатам завершения указанного этапа, должны быть сформированы следующие документы:

отчет о переводе ИС в ГЕОП;

отчет об инцидентах;

рекомендации по развитию архитектуры и импортозамещению;

доработанные проекты документов по обеспечению информационной безопасности (при необходимости).

Обзор документа

С 30 августа 2019 г. по 30 декабря 2020 г. проведут эксперимент:

- по переводу информационных систем и ресурсов федеральных органов власти и ГВБФ в единую облачную платформу;

- по обеспечению федеральных органов власти и ГВБФ автоматизированными рабочими местами и ПО.

Предложены требования к центрам обработки данных, присоединяемым к платформе, к обеспечению информбезопасности, к оптимизации систем и ресурсов участников эксперимента, к использованию ими услуг поставщиков, а также к порядку и методологии подключения участников к платформе.

Платформа должна быть сформирована до 30 декабря 2019 г.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Перепечатка