Новые информационные технологии и программное обеспечение
  RSS    

20231229 200x300 0d249f2d3676e05c1a28a375dff09c2a



Приложение 1: Инструкция о порядке эксплуатации Единой автоматизированной информационной системы технического осмотра

 

 

Приложение № 1

к приказу МВД России

от __.__.2012 г. № _____

 

Инструкция

о порядке эксплуатации Единой автоматизированной информационной системы технического осмотра

 

 

  1. I.Общие положения

 

Инструкция о порядке эксплуатации Единой автоматизированной информационной системы технического осмотра[1] определяет порядок организации и эксплуатации Единой автоматизированной информационной системы технического осмотра[2].

ЕАИСТО представляет собой распределенную, многопользовательскую, с разными правами доступа субъектов доступа информационную систему, обрабатывающую персональные данные[3], осуществляющую автоматизированную обработку сведений о результатах технического осмотра[4], полученных по сетям связи общего пользования[5] от операторов технического осмотра[6] посредством специализированных интерфейсов, обеспечивающих целостность и доступность персональных данных[7] при их обработке, и предназначена для сбора, хранения и использования информации о результатах ТО.

ЕАИСТО размещается на территории Российской Федерации, оператором которой является Главное управление по обеспечению безопасности дорожного движения Министерства внутренних дел Российской Федерации[8].

ЕАИСТО представляет собой ИСПДн по классу «специальная – К4».

Описание взаимодействия ЕАИСТО с другими информационными системами представлено в приложении № 1 к Инструкции.

В настоящей Инструкции используются следующие основные понятия:

а)    ЕАИСТО – вычислительная инфраструктура, бесперебойно функционирующая на всех объектах информатизации;

б)    пользователь ЕАИСТО[9] – субъект доступа, участвующий в функционировании ЕАИСТО и использующий результаты ее функционирования, осуществляющий при этом обработку информации в соответствии с наделенными ему правами;

в)системный администратор, администратор баз данных ЕАИСТО[10] – субъект доступа, ответственный за эксплуатацию ЕАИСТО, поддержку ее в работоспособном состоянии, а также обеспечивающий резервирование, архивирование и восстановление данных;

г)администратор безопасности ЕАИСТО[11] – субъект доступа, ответственный за защиту ЕАИСТО от несанкционированного доступа[12] к информации, обеспечивающий настройку, эксплуатацию средств защиты информации[13], в том числе средств криптографической защиты информации[14], входящих в состав ЕАИСТО;

д)    дежурный администратор - назначается из числа системных администраторов, в случае круглосуточного дежурства. Выполняет функции системного администратора;

е)оператор ­– физическое или юридическое лицо, аккредитованное на проведение технического осмотра транспортных средств;

ж)   эксперт – сотрудник пункта технического осмотра, который непосредственно проводит технический осмотр транспортного средства.

 

  1. II.Порядок эксплуатации ЕАИСТО

 

Ввод в эксплуатацию ЕАИСТО осуществляется после завершения приемочных испытаний. 

Допуск к эксплуатации пользователей и администраторов ЕАИСТО осуществляется после изучения ими эксплуатационной документации по работе с ЕАИСТО (руководство пользователя и администратора, содержащее разделы по безопасности[15]).

Перечень мероприятий по обеспечению эксплуатации ЕАИСТО включает: плановые работы[16], консультационные услуги, системное обслуживание и администрирование, доработку и обновление специального программного обеспечения[17]. Кроме того, по результатам эксплуатации с целью устранения выявленных недостатков и расширения функций ЕАИСТО проводятся внеплановые
(ремонтно-восстановительные[18]) работы.

2.1.              Мероприятия, выполняемые в целях обслуживания и эксплуатации ЕАИСТО.

2.1.1.         Системный администратор выполняет следующие работы:

а)         ежедневный контроль функционирования ЕАИСТО в рабочее время;

б)         ведение рабочего журнала эксплуатации[19], форма журнала представлена в приложении № 2 к Инструкции;

в)         анализ системных журналов общего ПО (раз в месяц);

г)          мониторинг работоспособности ЕАИСТО (раз в месяц);

д)         иные мероприятия по обеспечению эксплуатации ЕАИСТО в рамках своих функциональных обязанностей.

В Рабочий журнал заносят сведения: об отказах и сбоях оборудования, изменениях параметров объекта информатизации, проводимых корректировках эксплуатационной документации, замене технических средств, а также сведения об исполнителе работ. Сведения фиксируются с указанием даты и данных лица, ответственного за эксплуатацию ЕАИСТО, которыми являются администраторы ЕАИСТО, в рамках своих полномочий.

Анализ системных журналов общего ПО позволяет получить сведения о состоянии:

а)         операционной системы «Debian»[20];

б)         Web – сервера «Apache»;

в)          базы данных «My SQL»[21].

В ходе мониторинга работоспособности ЕАИСТО, который проводится один раз в месяц, рассматриваются:

а)         сервер ЕАИСТО, включая сбор данных о функционировании элементов системы;

б)         локальная вычислительная сеть, включая осуществление контроля работоспособности, доступности и производительности сетевого оборудования путём приема и распознавания сигналов
(SNMP-прерываний) от сетевого оборудования.

При возникновении внештатной ситуации должна происходить отправка сообщения электронной почты и SMS системному (дежурному) администратору.

2.1.2.         Администратор безопасности осуществляет:

а)         контроль за соблюдением требований по информационной безопасности пользователями (раз в месяц);

б)         контроль соблюдения порядка работы с криптографическими ключами в установленном порядке (раз в месяц);

в)          иные мероприятия по обеспечению эксплуатации ЕАИСТО в рамках своих функциональных обязанностей.

Ежемесячно системным администратором и администратором безопасности осуществляется анализ накопленной истории мониторинга для принятия обоснованных решений по изменению (исправлению):

а)         аппаратного обеспечения;

б)         ПО ЕАИСТО;

в)          СЗИ, в том числе СКЗИ.

2.2.              Функции пользователей при работе с ЕАИСТО.

В должностные инструкции пользователей, системных администраторов и администраторов безопасности должны быть включены обязанности по эксплуатации ЕАИСТО, а также пункты, предусматривающие персональную ответственность за их неисполнение.

2.2.1.              Сотрудник подразделения ГИБДД по региону Российской Федерации осуществляет:

а)         активацию и деактивация учетных записей ОТО;

б)         создание отчетов о количестве введенных результатов ТО;

в)          создание и выдачу уполномоченным лицам[22] ОТО ключей шифрования.

2.2.2.              Уполномоченное лицо ОТО осуществляет:

а)         заполнение сведений об ОТО, пунктах ТО;

б)         добавление или удаление информации о пунктах ТО и экспертах.

2.2.3.              Эксперт осуществляет:

а)         ввод результатов первичного и вторичного ТО, а также результатов выдачи дубликатов диагностической карты;

б)         получение сведений о результатах ТО;

в)          соблюдение требований по информационной безопасности.

 

  1. III.Основные цели, задачи и функции ЕАИСТО

 

3.1.              Основной целью создания ЕАИСТО является автоматизированная обработка сведений о результатах ТО, полученных по сети Интернет от ОТО посредством специализированных интерфейсов.

3.2.              Основными задачами ЕАИСТО являются:

а)         обеспечение органов внутренних дел информацией о техническом состоянии транспортных средств при разборе и расследовании дорожно-транспортных происшествий, надзоре за движением;

б)         обеспечение страховых компаний информацией о прохождении транспортным средством ТО;

в)          обеспечение формирования и ввода информации о результатах ТО ОТО;

г)          обеспечение предоставления на портале государственных и муниципальных услуг и исполнение государственных функций в электронном виде по предоставлению услуг по ТО транспортных средств;

д)         обеспечение защиты информации при информационном взаимодействии.

3.3.              К основным функциям ЕАИСТО относятся:

а)         безопасное хранение и обработка информации о ТО;

б)         защищенный информационный обмен с реестром ОТО;

в)          защищенное информационное взаимодействие с ОТО через открытые каналы сети Интернет.

Состав информации, используемой в ЕАИСТО, приведен в приложении № 3 к Инструкции.

 

  1. IV.Мероприятия по обеспечению безопасности ЕАИСТО, порядок организации доступа к ЕАИСТО

 

4.1. Система защиты информации ЕАИСТО, в соответствии с классом, моделью угроз и нарушителя ЕАИСТО, требованиями Положения о методах и способах защиты информации в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 23 декабря 2011 г. № 1115 «О единой автоматизированной информационной системе технического осмотра транспортных средств»[23] и приказом ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»[24] и, строится на сертифицированных по требованиям ФСТЭК и ФСБ России программных и (или) программно-аппаратных СЗИ, в том числе СКЗИ, и включает в себя следующие подсистемы:

а) управления доступом;

б) регистрации и учета;

в) обеспечения целостности;

г) антивирусной защиты;

д) межсетевого экранирования;

е) криптографической защиты;

ж) обнаружения вторжений;

з) анализа защищенности.

4.2.              Описание подсистем, входящих в состав системы защиты информации ЕАИСТО.

4.2.1.        Подсистема управления доступом на автоматизированных рабочих местах[25] пользователей обеспечивает:

а)         идентификацию и усиленную (двухфакторную) аутентификацию пользователей с использованием персональных идентификаторов;

б)         блокировку загрузки ОС со съемных носителей.

4.2.2.        Подсистема управления доступом на серверах БД обеспечивает:

а)         идентификацию и усиленную (двухфакторную) аутентификацию пользователей с использованием персональных идентификаторов;

б)         проверку подлинности отправителя (пользователя) данных;

в)          идентификацию программ, томов, каталогов, файлов, записей, полей записей по именам;

г)          контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

4.2.3.        Подсистема регистрации и учета обеспечивает:

4.2.3.1.             Регистрацию попыток доступа субъектов доступа в систему, при этом в параметрах регистрации указываются:

а) факт входа пользователя и имя пользователя;

б) предъявление незарегистрированного идентификатора пользователя;

в) введение неправильного пароля;

г) превышение числа попыток входа в систему;

д) дата и время входа.

4.2.3.2.             Регистрацию запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов, при этом в параметрах регистрации указываются:

а) дата и время запуска;

б) имя (идентификатор) программы (процесса, задания);

в) идентификатор субъекта доступа, запросившего программу (процесс, задание);

г) результат запуска (успешный, неуспешный – несанкционированный).

4.2.3.3.             Регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам, при этом в параметрах регистрации указываются:

а) дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная – несанкционированная;

б) идентификатор субъекта доступа;

в) спецификация защищаемого файла.

4.2.4.         Подсистема обеспечения целостности осуществляет:

4.2.4.1               Контроль целостности программной среды СЗИ НСД, обрабатываемой информации, а также неизменность программной среды ОС. Одновременно происходит вычисление контрольных значений проверяемых объектов и сопоставление их с ранее рассчитанными для каждого из этих объектов эталонными значениями.  Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора выполняется при помощи программы управления шаблонами контроля целостности.

4.2.4.2               Контроль целостности передаваемой информации.

4.2.5.        Подсистема антивирусной защиты осуществляет защиту АРМ пользователей и серверного оборудования от вредоносных программ (программно-математических воздействий), которые могут быть внесены в процессе эксплуатации ПО с внешних носителей информации или по сети Интернет.

Антивирусные средства защиты устанавливаются на всех АРМ и серверном оборудовании ЕАИСТО.

Обновление антивирусных баз антивирусных средств защиты осуществляется в соответствии с документацией разработчика на данное средство.

4.2.6.        Подсистема межсетевого экранирования предназначена для защиты от несанкционированного удаленного доступа со стороны внешнего нарушителя, осуществляющего атаки по сети Интернет в операционную среду средств вычислительной техники[26].

Подсистема межсетевого экранирования строится на межсетевом экранировании[27], которое реализовано на криптошлюзах и  персональных сетевых экранах[28], входящих в состав АРМ пользователей.

МЭ и ПСЭ, используемые при защищенном информационном взаимодействии, осуществляют защиту сетевых узлов[29] посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения.

МЭ обеспечивают:

а)         фильтрацию, анализ и регистрацию IP-трафика;

б)         маршрутизацию обрабатываемой и управляющей информации между СУ;

в)          регистрацию и предоставление информации о текущих
IP–адресах и способах подключения СУ;

г)          поддержку виртуальных IP-адресов;

д)         динамическую и статическую трансляцию (NAT) открытых сетевых адресов;

е)          оповещение СУ о состоянии других СУ, связанных с ним.

ПСЭ обеспечивают:

а)         фильтрацию входящего трафика с целью предотвращения НСД;

б)         фильтрацию входящего и исходящего трафика с целью обнаружения вредоносного ПО;

в)          прозрачную работу через устройства статической и динамической NAT/PAT маршрутизации при любых способах подключения к VPN-сети;

г)          поддержку виртуальных IP-адресов;

д)         контроль активности сетевых приложений, установленных на СУ, что способствует своевременному обнаружению и блокировке активности несанкционированно установленного ПО.

4.2.7.        Подсистема криптографической защиты информации предназначена для обеспечения защиты информации передаваемой по каналам связи при информационном взаимодействии развернута
VPN-сеть.

4.2.7.1.             СКЗИ, входящие в состав подсистемы криптографической защиты информации обеспечивают:

а)         шифрование и расшифрование файлов, электронных документов, сетевых пакетов и сетевого трафика;

б)         проверку целостности программного и информационного обеспечения;

в)          создание криптографических туннелей для защиты информации при передаче по каналам связи;

г)          туннелирование пакетов в защищенное соединение от заданных адресов незащищенных СВТ;

д)         подключение в единую VPN-сеть пользователей различных ОТО, имеющих одинаковые IP-адреса.

4.2.7.2.             СКЗИ реализуют следующие отечественные криптографические алгоритмы:

а)         алгоритм выработки значения хэш-функции в соответствии с ГОСТ Р 34.11–94 [30]«Информационные технологии. Криптографическая защита информации. Функции хэширования».

б)         алгоритм формирования и проверки электронной цифровой подписи в соответствии с ГОСТ Р 34.10–2001[31] «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

в)          алгоритм шифрования и расшифрования в соответствии с ГОСТ 28147–89[32] «Системы обработки информации. Защита криптографическая».

4.2.7.3.             Средства управления СКЗИ применяются на АРМ администратора безопасности VPN-сети и включают в себя:

а)         средства централизованного управления, в состав которых входит Центр управления VPN-сетью и Центр управления ключевой информацией;

б)         средства локального управления криптошлюзами и СКЗИ на АРМ пользователей.

Администрирование VPN-сети осуществляется централизованно с возможностью вынесения отдельных функций непосредственно на СУ VPN-сети.

4.2.7.4.             Средства централизованного управления VPN-сетью обеспечивают:

а)         регистрацию СУ и пользователей VPN-сети;

б)         установку полномочий и связей пользователей VPN-сети;

в)          задание IP-адресов туннелирования и других сетевых параметров;

г)          формирование справочников СУ и пользователей для центра управления ключевой информацией;

д)         централизованную рассылку на СУ обновлений справочников, ключевой информации и ПО;

е)          централизованное управление и контроль за структурой
VPN–сети.

4.2.7.5.             Средства централизованного управления ключевой информацией VPN–сети обеспечивают:

а)         генерацию закрытого ключа подписи УЛ;

б)         издание, сопровождение сертификатов пользователей (выпуск, приостановку действия, отзыв, распространение информации о статусе);

в)          издание сертификатов открытых ключей пользователей и УЛ;

г)          формирование списка отозванных сертификатов[33];

д)         формирование данных, необходимых для выработки сертификатов пользователей;

е)          вычисление и проверку электронной подписи[34];

ж)        создание и обновление ключевых дисков и ключевых наборов для пользователей;

з)          создание парольной информации;

и)         формирование ключей электронной подписи по обращениям пользователей с записью их на ключевой носитель;

к)          подтверждение подлинности ЭП в документах, представленных в электронной форме, по обращениям пользователей;

л)         распространение ЭП по обращениям пользователей;

м)         кросс–сертификацию со сторонними удостоверяющими центрами[35], соответствующими техническим требованиям;

н)         возможность издания сертификатов пользователей по запросам от Центра регистрации[36];

о)         возможность взаимодействия с ЦР (не менее чем с двумя);

п)         возможность защищенного взаимодействия с ЦР;

р)         двустороннюю аутентификацию соединений УЦ и ЦР;

с)          возможность ведения журнала работы УЦ;

т)          публикация актуального СОС в точках публикации.

4.2.7.6.             Средства локального управления криптошлюзами и СКЗИ, установленных на АРМ пользователей, обеспечивают:

а)         задание тонкой настройки работы СУ;

б)         настройку СУ, при которой невозможен отказ от загрузки ПО;

в)          постоянный мониторинг работоспособности СУ с целью оперативного реагирования на возможные неисправности.

4.2.8.        Подсистема обнаружения вторжений обеспечивает возможность выявить и блокировать сетевые атаки в информационных системах.

4.2.9.        Подсистема анализа защищенности обеспечивает проверку АРМ, серверного оборудования и сервисов в информационной системе на предмет обнаружения уязвимостей.

4.3.              Помещения ЕАИСТО для размещения СКЗИ, должны удовлетворять требованиям, указанным в правилах пользования СКЗИ. [37]

Для обеспечения безопасности ЕАИСТО также должны выполняться следующие мероприятия:

а)       физическая охрана АРМ, серверного оборудования, СЗИ, в том числе СКЗИ, которая предусматривает контроль доступа в помещения ЕАИСТО посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в данные помещения, особенно в нерабочее время;

б)       своевременное обеспечение средствами восстановления СЗИ НСД и обрабатываемой информации, в том числе БД, которые предусматривают ведение двух копий, их периодическое обновление и контроль работоспособности;

в)       периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест–программ, имитирующих попытки несанкционированного доступа;

г)        организация разрешительной системы допуска пользователей и обслуживающего персонала к программно–техническим средствам, в том числе СЗИ, и помещения ЕАИСТО;

д)       учет и хранение носителей информации, исключающие хищение, подмену и уничтожение;

е)        размещение в пределах контролируемой зоны[38] технических средств, в том числе СЗИ и СКЗИ, осуществляющих обработку персональных данных;

ж)     учет лиц, ответственных за эксплуатацию информационных систем.

На всех объектах ЕАИСТО организационная документация готовится в соответствии с требованиями, указанными в настоящей Инструкции и нормативных правовых актах по информационной безопасности указанных в приложении № 4 к Инструкции.

 

 

 

Приложение № 1

к Инструкции о порядке эксплуатации Единой автоматизированной информационной системы технического осмотра

 

Описание взаимодействия ЕАИСТО

с другими информационными системами

 

 

  1. 1.Структура и логическая схема ЕАИСТО

 

Логическая схема ЕАИСТО представлена на Рисунке 1.

 

логическая схема ЕАИСТО 

Рисунок 1. Логическая схема ЕАИСТО

 

1.1.              Информационный обмен между ЕАИСТО и автоматизированной информационной системой профессионального объединения страховщиков (Российский Союз Автостраховщиков)[39], ЕАИСТО и АИС ОТО осуществляется с использованием защищенных каналов связи телекоммуникационной инфраструктуры Министерства связи и массовых коммуникаций Российской Федерации и защищенной корпоративной сети передачи данных[40], организатором и оператором которой является ГУОБДД МВД России, в формате обмена данными, указанном в Технических требованиях подключения информационных систем операторов технического осмотра к ЕАИСТО.

1.2.              ЗКСПД предназначена для обеспечения защищенного телекоммуникационного взаимодействия ЕАИСТО и АИС ОТО, которая включает в себя:

1.2.1.         ЦОД ЕАИСТО, который включает в себя:

1.2.1.1.             Серверы БД.

1.2.1.2.             Web-сервера (Web-сервис и Web-портал).

1.2.1.3.             Автоматизированные рабочие места[41], следующих типов:

а)         АРМ администратора безопасности;

б)         АРМ пользователей;

в)          АРМ разбора конфликтных ситуаций;

г)          АРМ мониторинга;

д)         АРМ Сервиса Публикаций.

1.2.1.4.             Криптошлюз 1.

1.2.1.5.             Криптошлюз 2.

1.2.1.6.             SOAP шлюз 1.

1.2.1.7.             SOAP шлюз 2.

1.2.2.         Для обеспечения защиты информации, а также программных и программно–технических средств в ЦОД ЕАИСТО используются СЗИ, в том числе СКЗИ, следующих типов:

1.2.2.1.             Сертифицированные средства защиты от НСД, которые установлены на АРМ и серверном оборудовании, в том числе
аппаратно-программные модули доверенной загрузки[42].

1.2.2.2.             Средства антивирусной защиты, которые установлены на АРМ и серверном оборудовании.

1.2.2.3.             Криптошлюз 1 и Криптошлюз 2 с функциями МЭ на базе программно-аппаратных комплексов[43] ViPNet Coordinator HW1000 или HW 2000.

1.2.2.4.             SOAP шлюз 1 и SOAP шлюз 2.

1.2.2.5.             ПК ViPNet Client, с функциями ПСЭ, которые установлены на АРМ.

1.2.2.6.             Средство обнаружения компьютерных атак.

1.2.2.7.             Средство анализа защищенности.

1.2.2.8.             Средство управления СКЗИ, реализованное на базе ПО ViPNet Administrator.

1.2.2.9.             Система мониторинга, реализованная на базе ПО ViPNet StateWatcher.

1.2.3.         ОТО включают в себя локальные автоматизированные информационные системы[44], развернутые на базе единственного АРМ, и распределенные АИС, обрабатывающие ПДн о результатах ТО и передаче их в ЕАИСТО.

Безопасность передачи данных, обрабатываемых в ЗКСПД, по сети Интернет обеспечивается посредством организации защищенного подключения АИС ОТО с ЕАИСТО.

Для обеспечения безопасности ПДн до выполнения работ по подключению АИС ОТО к ЦОД ЕАИСТО оператором ТО выбирается один из трех типов защищенного подключения:

1.2.3.1.                      АИС ОТО (Тип 1).

АРМ оператора и АРМ эксперта (см. Рисунок 1) должны удовлетворять следующим требованиям:

1.2.3.1.1.                      ПЭВМ с доступом к сети Интернет со скоростью не менее 512 Кбит/сек с конфигурацией не ниже:

а)         32–разрядный (x86) или 64–разрядный (x64) процессор с тактовой частотой 1 гигагерц (ГГц) или выше;

б)         1 гигабайт (ГБ) (для 32-разрядной системы) или 2 ГБ
(для 64-разрядной системы) оперативной памяти[45];

в)          20 гигабайт (ГБ) (для 32-разрядной системы) или 30 ГБ
(для 64-разрядной системы) пространства на жестком диске;

г)          сетевая карта или модем (в зависимости от используемого способа подключения к сети Интернет);

д)         наличие USB-порта не ниже версии 2.0.

1.2.3.1.2.                      Клавиатура и мышь.

На ПЭВМ устанавливается следующее программное обеспечение и оборудование:

а)         лицензионная ОС MicrosoftWindows версии не ниже XPSP3;

б)         прикладное ПО, реализующее протокол взаимодействия с
Web-сервисами ЕАИСТО;

в)          антивирус Касперского или DrWeb;

г)          АПМДЗ;

д)         ПК ViPNet Client.

1.2.3.1.3.                      Криптошлюз с функцией МЭ – ПАК ViPNet Coordinator HW100, который устанавливается вне зависимости от выбора АРМ (АРМ оператора и АРМ эксперта или Терминального АРМ оператора и Терминального АРМ эксперта).

СКЗИ эксплуатируются в соответствии с  правилами пользования[46] ими. В случае изменения условий использования СКЗИ, указанных в правилах пользования ими, необходимо руководствоваться Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ–2005)[47]. В соответствии с требованиями Положения ПКЗ–2005, все изменения условий эксплуатации СКЗИ, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.

Таким образом, при встраивании СКЗИ, в том числе функций ЭП, в прикладное ПО, которое реализует протокол взаимодействия с
Web-сервисами ЕАИСТО, требуется проведение контроля встраивания.

1.2.3.2.                      АИС ОТО (Тип 2).

В случае использования в АИС ОТО – АРМ оператора и АРМ эксперта (см. Рисунок 1), данные АРМ должны удовлетворять требованиям:

1.2.3.2.1.                      ПЭВМ с доступом к сети Интернет со скоростью не менее 512 Кбит/сек с конфигурацией не ниже:

а)         32-разрядный (x86) или 64-разрядный (x64) процессор с тактовой частотой 1 гигагерц (ГГц) или выше;

б)         1 гигабайт (ГБ) (для 32-разрядной системы) или 2 ГБ
(для 64-разрядной системы) оперативной памяти (ОЗУ);

в)          20 гигабайт (ГБ) (для 32-разрядной системы) или 30 ГБ
(для 64-разрядной системы) пространства на жестком диске;

г)          сетевая карта или модем (в зависимости от используемого способа подключения к Интернет);

д)         наличие USB-порта не ниже версии 2.0.

1.2.3.2.2.                      Клавиатура и мышь;

На ПЭВМ устанавливаются:

а)         лицензионная ОС MicrosoftWindows версии не ниже XPSP3;

б)         Web–браузер InternetExplorer версии не ниже 8.0 или MozillaFirefox версии не ниже 8.0;

в)          антивирус Касперского или DrWeb;

г)          АПМДЗ;

д)         ПК ViPNet Client.

В случае использования в АИС ОТО Терминального
АРМ оператора и Терминального АРМ эксперта используются:

а)         терминальный клиент ViPNetTerminal с предустановленным
Web-браузером (InternetExplorer версии не ниже 8.0 или MozillaFirefox версии не ниже 8.0);

б)         монитор не ниже 15”;

в)          клавиатура и мышь.

1.2.3.3.                      АИС ОТО (Тип 3).

В случае использования в АИС ОТО – АРМ оператора и АРМ эксперта (см. Рисунок 1), данные АРМ должны удовлетворять требованиям:

1.2.3.3.1.                      ПЭВМ с доступом к сети Интернет со скоростью не менее 512 Кбит/сек с конфигурацией не ниже:

а)         32-разрядный (x86) или 64-разрядный (x64) процессор с тактовой частотой 1 гигагерц (ГГц) или выше;

б)         1 гигабайт (ГБ) (для 32-разрядной системы) или 2 ГБ
(для 64-разрядной системы) оперативной памяти (ОЗУ);

в)          20 гигабайт (ГБ) (для 32-разрядной системы) или 30 ГБ
(для 64-разрядной системы) пространства на жестком диске;

г)          сетевая карта или модем (в зависимости от используемого способа подключения к сети Интернет);

д)         наличие USB-порта не ниже версии 2.0.

1.2.3.3.2.                      Клавиатура и мышь;

1.2.3.3.3.                      Принтер[48].

На ПЭВМ устанавливаются:

а)         лицензионная ОС MicrosoftWindows версии не ниже XPSP3;

б)         web–браузер InternetExplorer версии не ниже 8.0 или MozillaFirefox версии не ниже 8.0;

в)          антивирус Касперского или DrWeb;

г)          АПМДЗ;

д)         ПК ViPNet Client.

В случае использования в АИС ОТО Терминального АРМ оператора и Терминального АРМ эксперта используются:

а)         терминальный клиент ViPNetTerminal с предустановленным
Web-браузером;

б)         монитор не ниже 15”;

в)          клавиатура и мышь;

г)          принтер.

1.2.4.         ЦОД УЛ представляет собой ИСПДн и предназначен для сбора, хранения и использования информации о результатах проведения ТО, поступающей от ОТО, которые осуществляют получение и использование информации и сведений, содержащихся в ЕАИСТО через УЛ.

Защита ПДн при взаимодействии ЦОД УЛ с ЦОД ЕАИСТО и АИС ОТО обеспечивается путем использования технологии построения
VPN-сети[49], организатором и оператором которой является ЦОД УЛ.

WEB-сервисы и WEB-портал развернуты на кластере из двух серверов, каждый из которых должен иметь конфигурацию не ниже:

а)         процессор: 2 x Six - Core AMD Opteron(tm) Processor 2435;

б)         ОЗУ: 32 Гб;

в)          ПЗУ: 12 000 Гб.

1.2.4.1.             В состав ЦОД УЛ входят:

а)         АПМДЗ, сертифицированная СУБД;

б)         КриптошлюзПАК ViPNet Coordinator HW1000 или HW 2000;

в)          ПК ViPNet Client;

г)          SOAP шлюз;

д)         Средство обнаружения компьютерных атак;

е)          Средство анализа защищенности;

ж)        Антивирус Касперского или DrWeb.

1.2.4.2.             Взаимодействие между ЦОД УЛ и ЦОД ЕАИСТО организовано посредством защищенного межсетевого взаимодействия.

1.2.4.3.             Ведение реестра ЦОД УЛ, с которым взаимодействует ЦОД ЕАИСТО, осуществляется соответствующим структурным подразделением МВД России.

1.2.4.4.             SOAP шлюз 1 и SOAP шлюз 2 обеспечивает:

а) реализацию ЭП и её проверку, в том числе подпись технологическим сертификатом ведомства запросов, проходящих через данные ПАК;

б) реализацию стандартов WS-Security (XML-подпись и
XML-шифрование);

в) маршрутизацию SOAP-запросов в соответствии с правилами маршрутизации;

д) логгирование.

 

  1. 2.Описание информационного взаимодействия между ЕАИСТО и АИС РСА, ЕАИСТО и АИС ОТО

 

2.1.              Для организации информационного взаимодействия применяются  web-сервисы, использующие XML, как язык описания информации и спецификацию SOAP, определяющую формат и структуру сообщения. Для описания программных интерфейсов предоставляемых Web–сервисов используется язык описания  WSDL (Web Services Description Language).

Описание программных интерфейсов включает следующую информацию:

а)         протокол;

б)         адрес сервера;

в)          список доступных операций;

г)          структуру запроса;

д)         структуру ответа.

Информационное взаимодействие между ЕАИСТО, АИС РСА и АИС ОТО должно осуществляться посредством XML–сообщений, соответствующих стандарту SOAP 1.1.

Сервис ЕАИСТО должен соответствовать требованиям к клиенту сервиса, описанного в виде WSDL описания, включающего в себя
XSD-схему сервиса.

2.2.              Описание информационного взаимодействия для получения ЕАИСТО сведений об ОТО из АИС ПОС (РСА).

Информационное взаимодействие производится по инициативе ЕАИСТО.

Для инициации информационного взаимодействия используется механизм запросов и ответов. Запрос формируется ЕАИСТО. Результатом информационного взаимодействия является ответ установленной структуры. Ответ формируется системой АИС ПОС (РСА).

Процесс информационного взаимодействия ЕАИСТО с системой АИС ПОС (РСА) представлен на Рисунке 2 и включает в свой состав:

а)         формирование запроса ЕАИСТО;

б)         вызов АИС ПОС (РСА);

в)          формирование АИС ПОС (РСА) ответа в соответствии с данными запроса;

г)          передачу ответа ЕАИСТО.

 

 

shema1 

Рисунок 2. Процесс информационного взаимодействия ЕАИСТО
с системой АИС ПОС (РСА)

 

ЕАИСТО запрашивает информацию, а АИС ПОС (РСА) формирует ответ в соответствии с частью 5 и пунктом а) части 2 Правил сбора, обработки, хранения, передачи, использования информации, содержащейся в единой автоматизированной информационной системе технического осмотра транспортных средств, а также обеспечения доступа к этой информации, утвержденных постановлением Правительства Российской Федерации  от 23 декабря 2011 г. № 1115 «О единой автоматизированной информационной системе технического осмотра транспортных средств».

Для получения сведений об ОТО ЕАИСТО направляет в АИС ПОС (РСА) запрос.

Этот запрос ЕАИСТО содержит время внесения сведений об операторах технического осмотра в реестр операторов.

В ответе АИС ПОС (РСА) на данный запрос ЕАИСТО содержится следующая информация:

а)         полное и сокращенное наименование оператора технического осмотра – юридического лица, место его нахождения;

б)         фамилия, имя и в случае, если имеется, отчество оператора технического осмотра – индивидуального предпринимателя, место его жительства;

в)          номера контактных телефонов, почтовый адрес, адреса электронной почты;

г)          фамилия, имя и в случае, если имеется, отчество руководителя оператора технического осмотра – юридического лица;

д)         информация об аккредитации (информация о решении выдачи аттестата аккредитации, расширении или сокращении области аккредитации, переоформлении аттестата аккредитации, приостановлении действия аттестата аккредитации или возобновлении его действия, об аннулировании аттестата аккредитации) и о нарушениях требований аккредитации, правил проведения технического осмотра, требований соблюдения предельного размера платы за проведение технического осмотра;

е)          количество пунктов технического осмотра и их адреса;

ж)        фамилии, имена и в случае, если имеются, отчества экспертов, сведения об их образовании, подготовке, переподготовке и повышении квалификации в соответствии с квалификационными требованиями, а также адреса пунктов технического осмотра, в которых они осуществляют техническое диагностирование.

2.3.              Описание информационного взаимодействия получения
АИС ПОС (РСА) сведений о результатах ТО из ЕАИСТО.

Для использования Web-сервисов ЕАИСТО на стороне
АИС ПОС (РСА) должно быть реализовано прикладное ПО, соответствующий данным техническим требованиям.

Информационное взаимодействие производится по инициативе АИС ПОС (РСА).

Для инициации информационного взаимодействия используется запрос. Запрос формируется АИС ПОС (РСА). Результатом информационного взаимодействия является ответ установленной структуры. Ответ формируется системой ЕАИСТО.

2.3.1.         Процесс информационного взаимодействия АИС ПОС (РСА) с системой ЕАИСТО представлен на Рисунке 3 и включает в свой состав:

а)         формирование запроса АИС ПОС (РСА);

б)         вызов ЕАИСТО;

в)          формирование ЕАИСТО ответа в соответствии с данными запроса;

г)         


передачу ответа АИС ПОС (РСА).

shema2 

Рисунок 3. Процесс информационного взаимодействия АИС ПОС (РСА) с системой ЕАИСТО

 

2.3.2.         АИС ПОС (РСА) направляет в ЕАИСТО один запрос, который содержит:

а)         идентификационный номер транспортного средства (VIN);

б)         государственный регистрационный знак автотранспортного средства.

2.3.3.         ЕАИСТО передает в АИС ПОС (РСА) в качестве ответа следующие сведения:

а)         марку и модель транспортного средства, в отношении которого проведен технический осмотр, год его выпуска, сведения, позволяющие идентифицировать это транспортное средство (идентификационный номер транспортного средства (VIN), номер кузова);

б)         фамилию, имя и в случае, если имеется, отчество, лица, представившего транспортное средство для проведения технического осмотра;

в)          адрес пункта технического осмотра, в котором был проведен технический осмотр;

г)          номер, дату выдачи, срок действия диагностической карты в форме электронного документа;

д)         фамилию, имя и в случае, если имеется, отчество эксперта, принявшего решение о выдаче диагностической карты.

 

3. Информационное взаимодействие между АИС ОТО и ЕАИСТО производится в соответствии с Техническими требованиями подключения АИС ОТО к ЕАИСТО[50].

 

 

Приложение № 2

к Инструкции о порядке эксплуатации Единой автоматизированной информационной системы технического осмотра

 

Рабочий журнал эксплуатации

программно-технического комплекса объекта ЕАИСТО

 

 

№ п/п

Дата

Отказ оборудования

Сбой в работе оборудования

программного обеспечения

Изменение параметров системы

Корректировка документации

Обновление программного обеспечения

Замена технических средств

Ответственное лицо

Исполнитель работ

1

2

3

4

5

6

7

8

9

10

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Примечания:

  1. 1.В графе 3 указывается наименование отказавшего оборудования, и если возможно установить, то причина, вызвавшая отказ.
  2. 2.В графе 4 указываются оборудование, вызывающее сбой в работе Системы, название программного обеспечения и код сообщения об ошибке, если код сообщения отсутствует, то описывается характер сбоя.
  3. 3.В графе 5 указываются оборудование, на котором произведены изменения параметров Системы, характер произведенных изменений (изменение аппаратной части системы, либо изменения в программном обеспечении), если изменения касаются программного обеспечения, то необходимо указать наименование конфигурационного файла и изменяемые параметры в нем.
  4. 4.В графе 6 необходимо указать документ, который был откорректирован, и основание для корректировки.
  5. 5.В графе 7 указываются дата произведенного обновления, название программного обеспечения и текущая версия.
  6. 6.В графе 8 указываются наименование заменяемого оборудования и его серийный номер.

 

 

Приложение № 3

к Инструкции о порядке эксплуатации Единой автоматизированной информационной системы технического осмотра

 

Состав информации, используемой в ЕАИСТО

 

 

В Единой автоматизированной информационной системе технического осмотра содержится следующая информация:

  1. 1.Полное и сокращенное наименование оператора технического осмотра – юридического лица, место его нахождения.
  2. 2.Фамилия, имя и в случае, если имеется, отчество оператора технического осмотра – индивидуального предпринимателя, место его жительства.
  3. 3.Номера контактных телефонов, почтовый адрес, адреса электронной почты.
  4. 4.Фамилия, имя и в случае, если имеется, отчество руководителя оператора технического осмотра – юридического лица.
  5. 5.Информация об аккредитации (информация о решении  выдачи аттестата аккредитации, расширении или сокращении области аккредитации, переоформлении аттестата аккредитации, приостановлении действия аттестата аккредитации или возобновлении его действия, об аннулировании аттестата аккредитации) и о нарушениях требований аккредитации, правил проведения технического осмотра, требований соблюдения предельного размера платы за проведение технического осмотра.
  6. 6.Фамилии, имена и в случае, если имеются, отчества экспертов, сведения об их образовании, подготовке, переподготовке и повышении квалификации в соответствии с квалификационными требованиями, а также адреса пунктов технического осмотра, в которых они осуществляют техническое диагностирование.
  7. 7.Сведения о количестве выданных оператором технического осмотра диагностических карт с указанием номеров таких документов.
  8. 8.Марка и модель транспортного средства, в отношении которого проведен технический осмотр, год его выпуска, сведения, позволяющие идентифицировать это транспортное средство (идентификационный номер транспортного средства (VIN), номер кузова).
  9. 9.Фамилия, имя и в случае, если имеется, отчество лица, представившего транспортное средство для проведения технического осмотра.

10.Адрес пункта технического осмотра, в котором был проведен технический осмотр.

11.Диагностическая карта в форме электронного документа.

12.Фамилия, имя и в случае, если имеется, отчество эксперта, принявшего решение о выдаче диагностической карты, содержащей сведения о соответствии транспортного средства обязательным требованиям безопасности транспортных средств.

 

 

Приложение № 4

к Инструкции о порядке эксплуатации Единой автоматизированной информационной системы технического осмотра

 

Перечень нормативных правовых актов, регламентирующих вопросы информационной безопасности при эксплуатации ЕАИСТО

 

 

  1. 1.Федеральный закон от 27 июля 2006 г. № 149–ФЗ «Об информации, информационных технологиях и о защите информации»[51].
  2. 2.Федеральный закон от 27 июля 2006 г. № 152–ФЗ «О персональных данных»[52].
  3. 3.Федеральный закон от 6 апреля 2011 г. № 63–ФЗ «Об электронной подписи»[53].
  4. 4.Федеральный закон Российской Федерации от 1 июля 2011 г.
    № 170–ФЗ «О техническом осмотре транспортных средств и о внесении изменений в отдельные законодательные акты Российской Федерации»[54].
  5. 5.Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»[55].
  6. 6.Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»[56].
  7. 7.Постановление Правительства Российской Федерации от 23 декабря 2011 г. № 1115 «О единой автоматизированной информационной системе технического осмотра транспортных средств».
  8. 8.Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»[57].
  9. 9.Приказ ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ–2005)»[58].

10.Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»[59].

11.Приказ ФСТЭК России от 5 февраля 2010 № 58 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»[60].

12.Специальные требования и рекомендации по технической защите конфиденциальной информации.

  


[1] Далее – «Инструкция».

[2] Далее – «ЕАИСТО».

[3] Далее – «ИСПДн».

[4] Далее – «ТО».

[5] Далее – «сеть Интернет».

[6] Далее – «ОТО».

[7] Далее – «ПДн».

[8] Далее – «ГУОБДД МВД России».

[9] Далее – «Пользователь».

[10] Далее – «Системный администратор».

[11] Далее – «Администратор безопасности».

[12] Далее – «НСД».

[13] Далее – «СЗИ».

[14] Далее – «СКЗИ».

[15]Данные документы утверждаются на стадии создания ЕАИСТО.

[16]Перечень плановых работ утверждаются на стадии создания ЕАИСТО.

[17] Далее – «ПО».

[18]Перечень ремонтно-восстановительных работ утверждаются на стадии создания ЕАИСТО.

[19] Далее – «Рабочий журнал».

[20] Далее – «ОС».

[21] Далее – «БД».

[22] Далее – «УЛ».

[23] Собрание законодательства Российской Федерации, 2012, № 1, ст. 156.

[24] Зарегистрирован в Минюсте России 19.02.2010 № 16456.

[25] Далее – «АРМ».

[26] Далее – «СВТ».

[27] Далее – «МЭ».

[28] Далее – «ПСЭ».

[29] Далее – «СУ».

[30] Утвержден постановлением Госстандарта России от 23.05.1994 № 154.

[31] Утвержден постановлением Госстандарта России от 12.09.2001 № 380-ст.

[32] Утвержден постановлением Государственного комитета СССР по стандартам от 02.06.89 № 1409.

[33] Далее – «СОС».

[34] Далее – «ЭП».

[35] Далее – «УЦ».

[36] Далее – «ЦР».

[37]Данные правила устанавливаются производителями СКЗИ.

[38] Далее – «КЗ».

[39] Далее – «ПОС (РСА)».

[40] Далее – «ЗКСПД».

[41] Далее – «АРМ».

[42] Далее – «АПМДЗ».

[43] Далее – «ПАК».

[44] Далее – «АИС».

[45] Далее – «ОЗУ».

[46]Правила пользования СКЗИ разрабатываются производителями СКЗИ.

[47] Утверждено приказом ФСБ РФ от 09.02.2005 № 66 (ред. от 12.04.2010) «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

[48] Используется по решению ОТО.

[49] Далее – «VPN-сеть № 2».

[50]Технические требования подключения АИС ОТО к ЕАИСТО изложены в приложении № 2 к настоящему приказу.

[51]Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038.

[52]Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; .2010, № 27, ст. 3407; № 31, ст. 4173; № 31, ст. 4196; № 49, ст. 6409; № 52, ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701.

[53]Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880.

[54]Собрание законодательства Российской Федерации, 2011, № 27, ст. 3881; № 49, ст. 7020, ст. 7040, ст. 7061.

[55]Собрание законодательства Российской Федерации, 1997, № 10, ст. 1127; 2005, № 39, ст. 3925.

[56]Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001.

[57] Зарегистрирован в Минюсте России 06.08.2001, регистрационный № 2848.

[58] Зарегистрирован в Минюсте России 03.03.2005, регистрационный № 6382.

[59] Зарегистрирован в Минюсте России 03.04.2008, регистрационный № 11462.

[60] Зарегистрирован в Минюсте России 19.02.2010, регистрационный № 16456.

 

 

Оставьте свой комментарий!

Добавить комментарий


 

Самое читаемое:

Быстрый поиск

Инструкции к программам

Инструкции к программам

Сайт "Новые Информационные Технологии" содержит лишь справочные данные из открытых источников. Мы НЕ Рекламируем и НЕ Рекомендуем покупать или использовать ВСЕ упомянутые на сайте программы, оборудование и технологии