Досье на проект

В соответствии с частью 5 статьи 12 Федерального закона от 1 июля 2011 г. N 170-ФЗ "О техническом осмотре транспортных средств и о внесении изменений в отдельные законодательные акты Российской Федерации"*(1) и с пунктом 3 постановления Правительства Российской Федерации от 23 декабря 2011 г. N 1115 "О единой автоматизированной информационной системе технического осмотра транспортных средств"*(2) -

приказываю:

Утвердить прилагаемые Технические требования, обеспечивающие подключение информационных систем операторов технического осмотра к единой автоматизированной информационной системе технического осмотра транспортных средств.

Приложение
к приказу МВД России
от 2018 N

ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ,
обеспечивающие подключение информационных систем операторов технического осмотра к единой автоматизированной информационной системе технического осмотра транспортных средств

I. Общие сведения

1. Настоящие Технические требования, обеспечивающие подключение информационных систем операторов технического осмотра к единой автоматизированной информационной системе технического осмотра транспортных средств*(3), определяют необходимые технические условия обеспечения информационного взаимодействия систем операторов технического осмотра*(4) с единой автоматизированной информационной системой технического осмотра транспортных средств*(5) посредством использования Web-сервиса.

2. Документированный способ доступа к ЕАИСТО*(6) должен быть реализован с использованием информационно-телекоммуникационной сети "Интернет"*(7) путем непосредственного обращения к Системе по адресу: https://eaisto.gibdd.ru/.

3. Программно-аппаратные средства обеспечения защищенного взаимодействия информационных систем ОТО с ЕАИСТО должны обеспечивать выполнение настоящих Требований.

Применяемые при разработке и использовании интерфейсов технологии, стандарты и спецификации должны соответствовать нормативно установленным и общепринятым стандартам и требованиям в области информационных технологий и программного обеспечения и защиты информации.

При взаимодействии автоматизированных информационных систем ОТО*(8)  с ЕАИСТО используется технология виртуальной частной сети*(9).

4. ЕАИСТО обеспечивает:

возможность круглосуточного доступа операторов, прошедших идентификацию, аутентификацию и авторизацию в Системе, к сведениям, содержащимся в ней, с обязательным применением средств усиленной квалифицированной электронной подписи в соответствии с законодательством Российской Федерации*(10);

защиту информации, обеспечивая при этом конфиденциальность, целостность и доступность персональных данных;

ведение электронных журналов учета операций с фиксацией точного времени загрузки, изменения и удаления информации в Системе;

резервное копирование информационных ресурсов и возможность восстановления сведений;

возможность бесперебойной работы Системы, а также системы защиты информации в Системе.

II. Способы подключения к ЕАИСТО

5. При подключении АИС ОТО к ЕАИСТО в зависимости от наличия технических средств операторов следует применять один из двух типов защищенного подключения (приложение к Требованиям):

тип 1 - с использованием автоматизированных рабочих мест ОТО с установленным прикладным программным обеспечением АИС ОТО*(11) и комплексом средств защиты информации;

тип 2 - с использованием автоматизированных рабочих мест ОТО и комплексом средств защиты информации.

6. Способ подключения АИС ОТО к Системе определяет оператор.

7. Информационное взаимодействие АИС ОТО с ЕАИСТО должно осуществляться посредством сообщений в формате XML*(12), соответствующих стандарту SOAP*(13), с применением средств усиленной квалифицированной электронной подписи.

8. Структура электронного сообщения включает в себя:

заголовок электронного сообщения (soap:header), содержащий сведения об аутентификации и авторизации (WS-security);

тело электронного сообщения (soap:body), содержащее блок данных с датой и временем отправки электронного сообщения, блок присоединенных документов, а также блок усиленной квалифицированной электронной подписи с одной или несколькими усиленными квалифицированными электронными подписями, фиксирующими целостность и авторство каждого из блоков присоединенных документов;

сообщение об ошибке (soap:Fault) при наличии.

9. Ответственным за содержание реквизитов электронного сообщения и легитимность использования усиленной квалифицированной электронной подписи является оператор, отправивший данное электронное сообщение, если иное не предусмотрено настоящими Требованиями, иными нормативными правовыми актами Российской Федерации.

10. Информационное взаимодействие АИС ОТО и ЕАИСТО осуществляется по инициативе ОТО, который формирует запрос через серверы Web-портала или Web-сервиса к ЕАИСТО. Результатом обработки запроса является ответ установленной структуры, который формируется Системой и передается в АИС ОТО.

11. АИС ОТО должна фиксировать события о фактах обращения к Системе, а также об ошибках взаимодействия.

Сообщение об ошибке содержит текстовое описание возникшей ошибки и ее код в информационной системе, в которой она возникла.

III. Требования к информационной безопасности

12. При подключении к ЕАИСТО операторами должны быть проведены мероприятия по:

классификации АИС ОТО по требованиям защиты информации в соответствии с приказом ФСТЭК России от 11 февраля 2013 г. N 17*(14) и определению уровня защищенности персональных данных в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119*(15);

аттестации АИС ОТО по требованиям защиты информации в соответствии с приказом ФСТЭК России от 11 февраля 2013 г. N 17 и постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

13. Безопасность персональных данных, обрабатываемых в АИС ОТО, при ее подключении к ЕАИСТО обеспечивается ОТО путем применения организационных и технических мер защиты в соответствии с законодательством Российской Федерации в области защиты информации.

14. Выполнение работ по аттестации АИС ОТО по требованиям защиты информации должно осуществляться организациями, имеющими лицензию ФСТЭК России на проведение работ по технической защите конфиденциальной информации.

15. Средства защиты информации (в том числе криптографические), применяемые в АИС ОТО, должны пройти оценку соответствия в форме сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании"*(16).

16. Для АИС ОТО необходимо обеспечить:

16.1. Режим безопасности помещений, в которых размещены информационные ресурсы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

16.2. Сохранность носителей персональных данных;

16.3. Разработку и утверждение руководителем ОТО документа, определяющего перечень лиц, доступ которых к персональным данным необходим для выполнения ими служебных (трудовых) обязанностей;

17. Для подключения к ЕАИСТО в АИС ОТО должны использоваться средства криптографической защиты информации, соответствующие требованиям ФСБ России по классу КС3.

Приложение
к Техническим требованиям, обеспечивающим подключение информационных систем
операторов технического осмотра к единой автоматизированной информационной системе
технического осмотра транспортных средств

Типы подключения АИС ОТО к ЕАИСТО

Примечание:

"+" - требуется, "-" - не требуется.

* - доступен для загрузки на Web-сайте разработчика.

-------------------------------------------

*(1) Собрание законодательства Российской Федерации, 2011, N 27, ст. 3881; N 49, ст. 7020, ст. 7040,ст. 7061; 2012, N 31, ст. 4319, ст. 4320; N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4082, ст. 4084;N 52, ст. 6985; 2014, N 23, ст. 2930; 2018, N 18, ст. 2580.

*(2) Собрание законодательства Российской Федерации, 2012, N 1, ст. 156; N 49, ст. 6881.

*(3) Далее - "Требования".

*(4) Пункт 7 статьи 1 Федерального закона от 1 июля 2011 г. N 170-ФЗ "О техническом осмотре транспортных средств и о внесении изменений в отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3881; N 49, ст. 7020,ст. 7040, ст. 7061; 2012, N 31, ст. 4319, ст. 4320; N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4082,ст. 4084; N 52, ст. 6985; 2014, N 23, ст. 2930; 2018, N 18, ст. 2580). Далее - "ОТО" или "оператор".

*(5) Далее - "ЕАИСТО" или "Система".

*(6) Далее - "интерфейс".

*(7) Далее - "сеть Интернет".

*(8) Далее - "АИС ОТО".

*(9) Далее - "VPN-сеть".

*(10) Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880; 2012, N 29, ст. 3988; 2013, N 14, ст. 1668; N 27, ст. 3463, ст. 3477; 2014, N 11, ст. 1098; N 26, ст. 3390; 2016, N 1, ст. 65; N 26, ст. 3889).

*(11) Под прикладным программным обеспечением АИС ОТО в настоящих Требованиях понимается программа, предназначенная для учета сведений о результатах проведения технического осмотра.

*(12) Расширяемый язык разметки - eXtensible Markup Language.

*(13) Протокол обмена структурированными сообщениями (Simple Object Access Protocol, SOAP).

*(14) Приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован в Минюсте России 31 мая 2013 года, регистрационный N 28608, Российская газета, 2013, N 136).

*(15) Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

*(16) Собрание законодательства Российской Федерации, 2002, N 52, ст. 5140; 2007, N 19, ст. 2293; 2011,N 49, ст. 7025.

*(17) Далее - "НСД".