Переход на отечественное ПО. Методические рекомендации по разработке технического задания проекта перехода на отечественное по органов государственной власти
 Скачать 1.12 Mb.
|
|
2. Внедрение тестовой инфраструктуры, приближенной к инфраструктуре Заказчика (инсталляция Лаборатории) Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 71 Отчетные документы по данному этапу: - «Описание комплекса технических средств и программного обеспечения Лаборатории»; - «Программа и методика испытаний Лаборатории»; - «Протокол испытаний Лаборатории». 5.4 Перевод, с использованием разработанных технических решений, целевого количества АРМ Заказчика на офисное программное обеспечение – отечественную ОС и отечественное офисное приложение (в том числе офисный пакет), включенные в Единый реестр российских программ 1. Перевод, с использованием разработанных технических решений, целевого количества АРМ Заказчика на офисное программное обеспечение – отечественную ОС и отечественное офисное приложение (в том числе офисный пакет), включенный в Единый реестр российских программ, Исполнитель производит перевод на основании перечня АРМ и графика миграции, предварительно согласованного обеими сторонами (Исполнитель предлагает проект перечня АРМ и графика миграции). Заказчик обеспечивает доступность АРМ для проведения миграции и передаёт АРМ Исполнителю для миграции в исправном состоянии, в конфигурации, соответствующей минимальным требованиям для установки отечественной ОС и технологическому процессу миграции. 2. Перевод АРМ, с помощью разработанных технических решений, на использование внедряемой отечественной операционной системы, включая технические решения и программное обеспечение, описанное в п. 5.1.4, и отечественное офисное приложение (в том числе офисный пакет), с передачей в Службу технической поддержки; 3. Должна быть обеспечена работоспособность программного обеспечения, описанного в Таблице №3, подраздела 3.2, раздела 3 части 1 данных методических рекомендаций, на отечественной ОС. Работы проводятся в 1 этап: перевод, с помощью разработанных технических решений, пилотных АРМ на использование внедряемой отечественной операционной системы с передачей в Службу технической поддержки не менее … АРМ в исполнительных органах государственной власти субъекта Российской Федерации (Таблица № , раздел 3, части 1 данных методических рекомендаций). Отчетные документы по данному этапу: Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 72 - «Паспорта перехода организации»; - «Паспорта миграции АРМ» (в электронном виде)»; - «Методика перехода на использование внедряемой отечественной операционной системы и типовой план ввода технических решений в инфраструктуру Заказчика»; - Акт выполненных работ. 6. Раздел «Требования к системе и базовой инфраструктуре» Требования к КТР согласуются Заказчиком и Исполнителем в рамках разработки ЧТЗ на 1 этапе (таблица 4, раздел 4, часть 1 данных методических рекомендаций). 6.1 Состав КТР КТР перехода исполнительных органов государственной власти субъекта Российской Федерации на отечественную операционную систему состоит из следующих компонентов, предусматривающих стационарный и мобильный вариант размещения - для перевода исполнительных органов государственной власти субъекта Российской Федерации, не обеспеченных необходимыми каналами связи, с необходимостью временного создания на территории (в локальной вычислительной сети) исполнительных органов государственной власти субъекта Российской Федерации временной инфраструктуры КТР. Детальный состав КТР согласуется Заказчиком и Исполнителем в рамках разработки ЧТЗ на 1 этапе (таблица 4, раздел 4, часть 1 данных методических рекомендаций). 6.2 Требования к операционным системам, с которых осуществляется переход на отечественную ОС в автоматическом режиме Для перехода на отечественную ОС в автоматическом режиме должны быть выполнены следующие условия: - До момента установки исходной операционной системы Microsoft Windows функция UEFI SecureBoot была перманентно деактивирована; - Файловые системы локально подключенных накопителей не являются зашифрованными; - Неструктурированные пользовательские данные, подлежащие переносу, расположены на локальных физических носителях в составе АРМ, в разделах с файловыми системами NTFS, FAT, FAT32 с назначенной буквой диска; Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 73 - Ограничение на полную длину пути файлов (иерархия директорий + имя файла + расширение файла) в переносимых неструктурированных пользовательских данных составляет 4 096 (Четыре тысячи девяносто шесть) байт; - Ограничение на длину имен файлов (имя файла + расширение файла) в переносимых неструктурированных пользовательских данных составляет 255 (Двести пятьдесят пять) байт; - В случае, если длина имени файла или полного пути превышает указанные лимиты, имена директорий или файлов (объектов файловой системы) будут усечены по алгоритму, обеспечивающему уникальность имён объектов файловой системы в пределах одного иерархического уровня дерева файловой системы. Информация о переименованных объектах будет сохранена в серверной части КТР и доступна пользователям в виде отчётов. 6.3 Требования к сетевой инфраструктуре, в которой осуществляется переход на отечественную ОС Для перехода на отечественную ОС в автоматическом режиме должны быть выполнены следующие условия: - АРМ Заказчика, переводимые на отечественную ОС, объединены в один широковещательный домен, для возможности бесконфликтного функционирования базовых инфраструктурных сервисов, предоставляемых внедряемым КТР; - В случае распределения АРМ Заказчика, переводимых на отечественную ОС, по разным широковещательным доменам, стационарные или мобильные экземпляры внедряемого КТР на коммутационном оборудовании Заказчика должна быть настроена пересылка широковещательных пакетов для бесконфликтного функционирования базовых инфраструктурных сервисов, предоставляемых внедряемым КТР. 6.4 Организационные требования Для перехода на отечественную ОС в автоматическом режиме должны быть выполнены следующие условия: - Заказчик направляет перечень АРМ для перехода, удовлетворяющих требованиям п. 6.2 и п.6.3 раздела 6 части 2 данных методических рекомендаций, график перехода, перечень пользователей и график консультаций пользователей Исполнителю официальным письмом; - Заказчик обеспечивает отсутствие пользовательской активности на переводимых АРМ в согласованный с Исполнителем период на время не менее 48 часов, но не более 72 часов; Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 74 6.5 Требования к характеристикам устанавливаемой отечественной ОС и офисному программному обеспечению Отечественная операционная система и офисное программное обеспечение для перевода АРМ и серверов Заказчика должны соответствовать техническим и функциональным требованиям, указанным в разделе 4.1 части 1джанных методических рекомендаций «Требования к серверному и офисному программному обеспечению» либо ссылаться на конкретные версии отечественной ОС и отечественного офисного пакета. 6.6 Спецификация программного обеспечения Исполнитель в рамках сублицензионного(ых) договора(ов) передает неисключительные права на использование программного обеспечения в соответствии с перечнем, приведенным в Таблице № 4. Таблица № 4. Спецификация программного обеспечения № Наименование Количество 1 ОС для автоматизированных рабочих мест сертифицированная версия 2 ОС для автоматизированных рабочих мест не сертифицированная версия 3 ОС для серверов 4 Отечественное офисное приложение (в том числе офисный пакет) Неисключительные права на использование программного обеспечения передаются на весь срок действия исключительных прав Правообладателя. Стоимость неисключительных прав на использование программного обеспечения: 1. Для ОС для автоматизированных рабочих мест сертифицированная версия – не более …..рублей за 1 шт. 2. Для ОС для автоматизированных рабочих мест не сертифицированная версия – не более 1 ………….. рублей за 1 шт, 3. Для ОС для серверов - не более ……….. рублей за 1 шт. 4. Для офисного пакета - не более ……….. рублей за 1 шт. Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 75 7. Раздел «Требования к защите информации» Защита информации является важным элементом сохранения работоспособности информационных систем исполнительных органов государственной власти субъекта Российской Федерации. Необходимым условием внедрения КТР должна являться защита информации от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. Защита информации должна обеспечиваться на всех стадиях (этапах) разработки жизнедеятельности внедряемого КТР путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации. Организационные и технические меры защиты информации должны быть направлены на исключение: - Неправомерного доступа; - Неправомерных уничтожения или модифицирования информации; - Неправомерного блокирования информации. Для обеспечения защиты информации, должны быть проведены следующие мероприятия: - Формирование требований к защите информации; - Разработка системы защиты информации; - Внедрение системы защиты информации; - Обеспечение защиты информации в ходе эксплуатации информационной системы; - Обеспечение защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации. Формирование требований к защите информации должно осуществляться с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включать: - Принятие решения о необходимости защиты информации, содержащейся в информационной системе; - Классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы); - Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации; Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 76 - Определение требований к системе защиты информации информационной системы. Архитектура внедряемого КТР (логическая структура, в которой идентифицированы компоненты, их интерфейсы и концепции взаимодействия между ними) должна уточняться с учетом необходимости нейтрализации потенциальных угроз безопасности информации, которые были выявлены на этапе моделирования угроз безопасности информации. Возможная переаттестация АРМ Заказчика, расположенных в защищенном сегменте, равно как и поставка СЗИ/СКЗИ для проведения переаттестации, не описываются настоящим Техническим заданием и выходят за рамки работ, проводимых в рамках настоящего Технического задания. Коммуникации между модулями внедряемого КТР должны проходить по защищенному соединению (TLS) с обязательной проверкой входных данных: - На стороне клиента для быстрого получения обратной связи; - На стороне сервера с использованием белых списков без ввода пользовательского контента в ответ сервера. Требования по сохранности информации при авариях: - Сохранность информации и работа системы должна обеспечиваться при отключении электропитания, отказах отдельных элементов внедряемого КТР и авариях на сетях связи. Должен быть разработан перечень событий: аварий, отказов технических средств (в том числе потери электропитания) или нарушения нормальных условий функционирования КТР, при которых должна быть обеспечена сохранность информации и конкретные указания о действиях персонала, обслуживающего КТР, в объеме своих функциональных обязанностей. Требования к защите от влияния внешних воздействий. - Защита технических средств КТР от воздействия внешних электрических и магнитных полей, а также помех по цепям питания должна быть достаточной для эффективного выполнения подсистемами Комплекса функциональных задач. Для выполнения работ Заказчик предоставляет Исполнителю удалённый доступ к ИК-инфраструктуре Заказчика, посредством защищенного канала передачи данных (указать номер и другие характеристики защищенной сети). В течение 1 рабочего дня с момента заключения государственного контракта, Исполнитель предоставляет Заказчику контактную информацию о сотрудниках Исполнителя ответственных за выполнение работ по государственному контракту (ФИО, номер телефона, адрес электронной почты) для создания файлов доступа. В течение 3 рабочих дней с момента Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 77 получения вышеуказанных данных, Заказчик предоставляет Исполнителю дистрибутивы и данные для удаленного доступа. Работа в ИК-инфраструктуре Заказчика будет осуществляться с обеспечением мер по защите информации от несанкционированного доступа, утечки по техническим каналам, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) информации в процессе её обработки, передачи и хранения, а также работоспособности технических средств. Ответственность за сохранность информации при доступе к оборудованию по защищённому каналу связи в момент выполнения работ лежит на Исполнителе. Обеспечение защиты от хищения, утраты, утечки, уничтожения, искажения и подделки при выполнении работ осуществляется правовыми, организационными и техническими мерами Исполнителя. Исполнитель предпринимает меры по обеспечению безопасности передачи информации, предусматривающие: - Неразглашение сведений конфиденциального характера должностными лицами и сотрудниками Исполнителя, участвующими в выполнении работ (заключение соглашения о конфиденциальности); - Контроль выполнения соответствующих инструкций для должностных лиц и сотрудников Исполнителя (протоколирование действий Исполнителя в защищённой сети); - Предотвращение несанкционированного копирования информации с носителей и технических средств Исполнителя. 8. Раздел «Гарантийное обслуживание» КТР и передаваемое программное обеспечение включают гарантийное обслуживание (гарантийную поддержку) в течение 1 года с момента заключения государственного контракта. Параметры и условия гарантийного обслуживания и технической поддержки: 1. Общие условия Услуги по технической поддержке ОС не должны приводить к потере администраторами безопасности Заказчика управления учетными записями пользователей, их правами или вынуждать передавать аутентификационную информацию в открытом виде. Заказчик формирует экспертную группу из работников, имеющих необходимую квалификацию, достаточную для проведения работ по Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 78 администрированию серверов и рабочих станций под управлением ОС. Только данная экспертная группа Заказчика имеет полномочия работы с обращениями на линии технической поддержки. 2. Параметры работы линии технической поддержки Количество обращений – без ограничений. Прием обращений и консультации по телефону и электронной почте. Приём и обработка обращений с не позднее 9:00 до 18:00 по часовому поясу г. ….. по рабочим дням. Время реакции на зарегистрированный инцидент технической поддержки не более … часов. Доступ к репозиторию отечественной ОС. Доступ к базе знаний отечественной ОС. Предоставление обновлений отечественной ОС. Функционирование линии технической поддержки с использованием следующих средств: - по телефону; - по электронной почте. Для регистрации и обработки обращений обеспечение функционирования электронного сервиса регистрации и контроля исполнения обращений. 3. Порядок подачи обращений и их регистрации Обращение специалиста экспертной группы Заказчика должно содержать информацию, необходимую для его корректной регистрации и выполнения: - Идентификатор клиента технической поддержки; - Описание обращения; - Информация, необходимая для воспроизведения проблемы; - Классификация критичности обращения. 4. Описание работы линии технической поддержки Вне зависимости от способа приема обращения, оно регистрируется в сервисе технической поддержки, с автоматическим присвоением уникального номера обращения. Регистрацию обращения производят специалисты линии технической поддержки. В случае необходимости, специалист связывается с уполномоченным представителем Заказчика. Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 79 В рамках контроля исполнения обращений, должно быть обеспечено фиксирование в сервисе технической поддержки всех действий, связанных с их исполнением, включая описания: - Принятых решений; - Проведенных мероприятий; - Результатов выполнения мероприятий. Средствами электронной почты должно обеспечиваться информирование Заказчика о ходе исполнения обращения, с отражением регистрационного номера, статуса и содержания работ по сути обращения. После успешного исполнения, обращению присваивается статус «Завершено» в сервисе технической поддержки, с уведомлением автора обращения Заказчика электронным письмом. Обращение считается исполненным только после того, как автор обращения убедится в его выполнении и подтвердит его закрытие по электронной почте. В этом случае обращению в сервисе технической поддержки присваивается статус «Проверено». Обращение считается проверенным по истечении не более 60 дней с момента перевода его на статус «Завершено» и отсутствии в нем каких-либо изменений в этот период. Классификация обращений по уровню значимости проблемы производится с учетом следующих критериев: «Критично» – проблема блокирует выполнение основных функций структурных подразделений Заказчика при выполнении ежедневных операций, альтернативные пути выполнения функций отсутствуют или требуют существенных трудозатрат, или проблема создает угрозу информационной безопасности по компрометации привилегированного доступа (доступ пользовательских ролей к административным функциям); «Срочно» – проблема блокирует выполнение основных функций структурных подразделений Заказчика при выполнении нерегулярных операций, альтернативные пути выполнения функций требуют несущественного увеличения трудозатрат, или проблема приводит к некорректной работе функций и сервисов безопасности; «Не срочно» – проблема не блокирует выполнение основных функций структурных подразделений Заказчика и не создает угроз информационной безопасности, но приводит к увеличению трудозатрат. Возможно изменение категории обращения с уведомлением автора обращения. В случае присвоения обращению категории с меньшим уровнем значимости новая категория обращения согласовывается с автором обращения, за исключением случаев, когда присвоение автором обращения категории производилось без учета приведенных выше критериев. В соответствии с классификацией обращения, определяется плановый срок его исполнения, Таблица № 5. Плановый срок исполнения обращения может корректироваться по согласованию с автором обращения. Основание Методические рекомендации по разработке технического задания проекта перехода на отечественное ПО органов государственной власти 80 для изменения срока и информация о согласовании изменения вносятся в сервис технической поддержки. Таблица № 1. Сроки реакции на обращения Классификация обращений (уровень критичности проблемы) Плановый срок исполнения Уровень 1 Критично В течение не более … рабочих часов с момента получения запроса Уровень 2 Срочно В течение не более … рабочих часов с момента получения запроса Уровень 3 Не срочно В течение не более … рабочих часов с момента получения запроса |