fss.rufss.ru/ru/fund/procurements/opendata/TZ-6364288263… · Web viewмедицинскую реабилитацию в организациях, оказывающих санаторно-курортные

ТЕХНИЧЕСКОЕ ЗАДАНИЕна выполнение работ по модернизации подсистем ФГИС ЕИИС

«Соцстрах» в рамках перехода на целевое решение

1

Оглавление1. ОБЩИЕ СВЕДЕНИЯ................................................................................................................................... 3

2. НАЗНАЧЕНИЕ И ЦЕЛИ МОДЕРНИЗАЦИИ СИСТЕМЫ.........................................................................6

3. ХАРАКТЕРИСТИКИ ОБЪЕКТА АВТОМАТИЗАЦИИ............................................................................10

4. ТРЕБОВАНИЯ К МОДЕРНИЗИРУЕМОЙ СИСТЕМЕ............................................................................14

5. СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО МОДЕРНИЗАЦИИ СИСТЕМЫ............................................50

6. ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ..........................................................................................108

7. ЭТАПЫ ВЫПОЛНЕНИЯ РАБОТ............................................................................................................ 112

8. СРОКИ И ОБЪЕМ ПРЕДОСТАВЛЕНИЯ ГАРАНТИЙ.........................................................................117

9. ИСТОЧНИКИ РАЗРАБОТКИ.................................................................................................................. 117

2

1. ОБЩИЕ СВЕДЕНИЯ

1.1. Наименование работВыполнение работ по модернизации подсистем ФГИС ЕИИС «Соцстрах»

в рамках перехода на целевое решение.Работы по модернизации выполняются в части прикладного

программного обеспечения ФГИС ЕИИС «Соцстрах» в рамках второго этапа перехода на целевое решение.

1.2. Места выполнения работРаботы выполняются на территории центрального аппарата Фонда

(г. Москва, Орликов переулок, д.3, корп. А) и территории 3 (трёх) пилотных региональных отделений, перечень которых определяется по результатам выполнения работы по разработке частного технического задания.

1.3. Перечень сокращений

CSRF Сross Site Request Forgery (межсайтовая подделка запроса, также известен как XSRF - вид атак на посетителей web-сайтов, использующий недостатки протокола HTTP)

DDoS Distributed Denial of Service (распределённая атака типа «отказ в обслуживании»)

DMZ Демилитаризованная зонаETL Extract, Transform, Load. Извлечение, преобразование, загрузкаIDS Intrusion Detection System (система обнаружения вторжений)IPS Intrusion Prevention System (система предотвращения вторжений)NAT Network Address Translation (преобразование сетевых адресов)SQL Structured Query Language (специализированный непроцедурный

язык, позволяющий описывать данные, осуществлять выборку и обработку информации из реляционных СУБД)

VLAN Virtual Local Area Network (логическая («виртуальная») локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения)

VPN Virtual Private Network (виртуальная частная сеть)XSS Cross-Site Scripting (межсайтовый скриптинг - тип атаки на web-

системы, заключающийся во внедрении в выдаваемую web -системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с web-сервером злоумышленника)

3

АРМ Автоматизированное рабочее местоБД База данныхВНиМ Временная нетрудоспособность и материнствоГИС Государственная информационная системаГЛК Гражданин льготной категорииГосСОПКА Государственная система обнаружения, предупреждения и

ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

ГОСТ Государственный стандартЕГРИП Единый государственный реестр индивидуальных

предпринимателейЕГРЮЛ Единый государственный реестр юридических лицЕИИС Единая интегрированная информационная система «Соцстрах»ЕПГУ Единый портал государственных услугЕСИА Единая система идентификации и аутентификацииЗИП Запасные изделия прилагаемыеИАС ФСС Информационно – аналитическая система ФондаИБ Информационная безопасностьИПРА Индивидуальная программа реабилитации и абилитацииИС Информационная системаИСО Международная организация по стандартизации (ISO)ИСПДн Информационная система персональных данныхКАС АХД Комплексная автоматизированная система автоматизации

административно-хозяйственной деятельностиКСОИБ Комплексная система обеспечения информационной

безопасностиКШ КриптошлюзЛВС Локальная вычислительная сетьЛН Листок нетрудоспособностиМВГУ Подсистема предоставления государственных услуг в

электронном виде и межведомственного взаимодействияМЭ Межсетевой экранНДВ Недокументированные возможностиНПА Нормативный правовой актНС Несчастный случайНСД Несанкционированный доступНСиПЗ Несчастные случаи и профзаболеванияОС Операционная системаОСС Обязательное социальное страхованиеОТСС Основные технические средства и системыОЭ Опытная эксплуатацияПАВЗ Подсистема антивирусной защитыПАК Программно-аппаратный комплекс

4

ПДн Персональные данныеПЗ Профессиональное заболеваниеПИ Приемочные испытанияПИН Персональный информационный навигаторПКЗ Подсистема контроля защищённостиПМИ Программа и методика испытанийПМСИБ Подсистема мониторинга событий и расследования инцидентов

информационной безопасностиПМЭ Подсистема межсетевого экранированияПО Программное обеспечениеПОВ Подсистема обнаружения / предотвращения вторжений и

компьютерных атакППО Прикладное программное обеспечениеПРП Программа реабилитации пострадавшегоПСЗУ Подсистема защиты от утечек конфиденциальной информацииПСиТО Порядок сопровождения и технического обслуживанияПУД Подсистема управления доступом к информационным ресурсамПФР Пенсионный фонд РоссииПЭ Постоянная эксплуатацияПЭП Подсистема сервисов формирования и проверки электронных

подписейРД Руководящий документРЖД ОАО «Российские железные дороги»РС Родовой сертификатРУСТ Регистрация и учет страхователейРЦОД Резервный центр обработки данныхСЗИ Средства защиты информацииСистема Централизованное решение ФГИС ЕИИС «Соцстрах». В состав

Системы входит набор подсистемСКЗИ Средство криптографической защиты информацииСКЛ Санаторно-курортное лечениеСМЭВ Система межведомственного электронного взаимодействияСНИЛС Страховой номер индивидуального лицевого счётаСПД Сеть передачи данныхСУБД Система управления базами данныхСЭД Система электронного документооборота ФондаТОФ Территориальные органы Фонда социального страхования

Российской ФедерацииТСР Техническое средство реабилитацииУСВ Подсистема Управления страховыми взносамиУФК Управление Федерального казначейства

5

ФБ МСЭ Федеральное государственное бюджетное учреждение «Федеральное бюро медико-социальной экспертизы» Министерства труда и социальной защиты Российской Федерации

ФЛК Форматно-логический контрольФОИВ Федеральный орган исполнительной властиФРИ Федеральный реестр инвалидовФСБ России

Федеральная служба безопасности России

ФСС, Фонд, Заказчик

Фонд социального страхования Российской Федерации

ФСТЭК России

Федеральная служба по техническому и экспортному контролю России

ЦА Центральный аппарат Фонда социального страхования Российской Федерации

ЦОД Центр обработки данныхЦУС Центр управления сетьюЦХД Центральное хранилище данныхШлюз Шлюз приема документов с использованием электронных

подписейЭД Электронный документЭЛН Электронный листок нетрудоспособностиЭП Электронная подпись

2. НАЗНАЧЕНИЕ И ЦЕЛИ МОДЕРНИЗАЦИИ СИСТЕМЫ

2.1. Назначение СистемыМодернизируемое ППО Система предназначено для автоматизации

следующих процессов деятельности Фонда:1) в части деятельности по страхованию от несчастных случаев на

производстве и профессиональных заболеваний: оказания государственной услуги по назначению обеспечения по

ОСС от НС на производстве и ПЗ; оказания государственной услуги по установлению скидки к

страховому тарифу на ОСС от НС на производстве и ПЗ; оказания государственной услуги о принятии решения о

направлении части сумм страховых взносов на ОСС от НС на производстве и ПЗ на фиксирование предупредительных мер по сокращению производственного травматизма;

оказания государственной услуги по подтверждению ОКВЭД по ОСС от НС на производстве и ПЗ – юридического лица, а также

6

видов экономической деятельности подразделений страхователя, являющихся самостоятельными классификационными единицами, являющихся самостоятельными классификационными единицами;

управления капитализированными платежами; расследования несчастных случаев на производстве; экспертизы страхового случая; планирование показателей расходов будущих периодов;

2) в части деятельности по страхованию на случай временной нетрудоспособности и в связи с материнством:

расчёт и назначение пособия временной нетрудоспособности; расчёт и назначение пособия по беременности и родам; расчет и назначение единовременного пособия женщинам,

вставшим на учет в медицинских организациях в ранние сроки беременности;

расчет и назначение единовременного пособия при рождении ребенка;

расчет и назначение ежемесячного пособия по уходу за ребенком; расчет и назначение социального пособия на погребение;

3) в части деятельности по администрированию страховых взносов: регистрация (снятие с учета) в Фонде юридических лиц; регистрация (снятие с учета) физ. лиц и обособленных

подразделений юр. лиц; приём-передача (юр. лиц и ИП) в связи с изменением их места

нахождения (жительства); приём-передача физ. лиц и обособленных подразделений юр. лиц в

связи с изменением их места нахождения (жительства); ведение лицевых счетов Страхователей; проведение камеральных проверок проведение выездных проверок, в том числе повторных; проведение проверок банков; управления взысканиями, в части:

o принятия мер по взысканию задолженности согласно законодательству;

o предоставление отсрочки-рассрочки;o реструктуризация задолженности;o участие в процедуре банкротства;o списание безнадёжных долгов;

зачёт-возврат сумм излишне уплаченных (взысканных) страховых взносов, пеней, штрафов;

управление обжалованиями; информирование плательщиков страховых взносов;

4) в части деятельности по обеспечению социальных программ (оказанию социальных услуг):

7

Оказание государственной социальной помощи ГЛК в части оплаты СКЛ, а также проезда на междугородном транспорте к месту лечения и обратно;

Обеспечение инвалидов ТСР; Оплата по талонам РС; Оплата дополнительных выходных дней в месяц одному из

работающих родителей (опекуну, попечителю) для ухода за детьми-инвалидами;

Выплата пособий по временной нетрудоспособности отдельным категориям граждан в связи с зачётом в трудовой стаж нестраховых периодов из средств Федерального бюджета (дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

Выплата пособий по беременности и родам отдельным категориям граждан в связи с зачётом в трудовой стаж нестраховых периодов из средств Федерального бюджета (дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

Выплата пособий по уходу за ребенком до достижения им возраста полутора лет отдельным категориям граждан из числа подвергшихся радиационному воздействию из средств Федерального бюджета (дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

Выплата пособий отдельным категориям граждан из числа подвергшихся радиационному воздействию из средств Федерального бюджета (по временной нетрудоспособности, дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

Выплата пособий отдельным категориям граждан из числа подвергшихся радиационному воздействию из средств Федерального бюджета (по дородовому отпуску, превышающему установленную норму, дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

Выплата компенсации ГЛК за самостоятельное приобретение ТСР; Персонифицированный учёт Получателей социальных услуг Фонда.

5) в части информирования Получателей социальных услуг Фонда, страхователей и поставщиков:

предоставление доступа к Личному кабинету Получателя социальных услуг Фонда, включающему сведения по электронным листкам нетрудоспособности, ИПРА, несчастным случаям и другую информацию;

предоставление доступа к Личному кабинету Страхователя, включающему сведения по электронным листкам нетрудоспособности, реестрам, журналам обмена данными, списку пострадавших и другую информацию;

8

предоставление доступа к Личному кабинету Поставщика технических средств реабилитации (протезно-ортопедические предприятия), санаторно-курортного лечения (профилактории, санатории и т.д.).

2.2. Цели модернизации и развития СистемыЦелями создания централизованного решения Системы, ее модернизации

и развития являются: - создание на федеральном уровне единой централизованной системы

оперативного учета обязательств страхователей, банков, их должностных лиц перед бюджетом Фонда по обязательному страхованию на случай временной нетрудоспособности и в связи с материнством и обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний в реальном режиме времени для реализации полномочий, возложенных на Фонд действующим законодательством;

- ведение карточки/досье Страхователя для учета всех обязательств и оснований их возникновения в процессе исполнения законодательства об обязательном социальном страховании, включая обязательства его должностных лиц, а если Страхователь одновременно является банком, то и его обязательств, как банка и его должностных лиц;

- обеспечение достоверности информации по каждому Страхователю;- повышение оперативности и достоверности процессов расчета пени,

выявления недоимки по страховым взносам и задолженности по пеням и штрафам и переплаты по страховым взносам, пеням и штрафам в пакетном и индивидуальном режимах для оперативного принятия мер, установленных законодательством, по урегулированию взаимных обязательств Страхователя и Фонда;

- повышение оперативности процессов формирования всех видов документов, издаваемых (создаваемых) при реализации Фондом возложенных на него полномочий администратора доходов бюджета и органа контроля за уплатой страховых взносов, в отношении страхователей, банков, их должностных лиц как по формам, утвержденным в соответствии с законодательством Российской Федерации, так по формам, используемым в системе Фонда в рамках делового документооборота, через создание специальных журналов по каждому виду документов, в которых подлежат учету: источники информации, служащие основанием для создания Фондом соответствующих документов; установленные для них процессуальные сроки; преемственность документов, включая учет способов их вручения (рассылки) и контроль сроков их исполнения;

- обеспечение информационной поддержки процессов предоставления социальных услуг Получателям социальных услуг Фонда;

9

- создание условий для постепенного перехода к персонифицированному учету Получателей социальных услуг Фонда;

- ведение карточки/досье Получателя социальных услуг Фонда, в том числе, включающей в себя информацию о наличии фактов упоминаний о Получателе социальных услуг в СМИ и наличия жалоб в ИОВ;

- предоставления сервисов сбора, обработки данных и обмена информацией с Фондом для Получателей социальных услуг Фонда, связанных с ними Страхователей и Поставщиков Фонда;

- мониторинг эффективности предоставления социальных услуг;- контроль качества всех этапов предоставления социальных услуг

Получателям социальных услуг Фонда;- обеспечение должного уровня безопасности информации в Системе в

соответствии с требованиями ФСТЭК России и ФСБ России;- обеспечение требуемого уровня надежности и доступности Системы

для конечных пользователей.

3. ХАРАКТЕРИСТИКИ ОБЪЕКТА АВТОМАТИЗАЦИИ

3.1. Общие сведения об автоматизируемых процессах деятельности Фонда

Объектом автоматизации является Центральный аппарат Фонда, региональные отделения Фонда, филиалы Фонда.

На объекте автоматизации выполняется прием, обработка, хранение и анализ сведений о:

Застрахованных лицах:o лицах, работающих по трудовым договорам, в том числе

руководителях организаций, являющихся единственными участниками (учредителями), членами организаций, собственниками их имущества;

o государственных гражданских служащих, муниципальных служащих;

o лицах, замещающих государственные должности Российской Федерации, государственные должности субъекта Российской Федерации, а также муниципальные должности, замещаемые на постоянной основе;

o членах производственного кооператива, принимающих личное трудовое участие в его деятельности;

o священнослужителях;o лицах, осужденных к лишению свободы и привлеченные к

оплачиваемому труду; Гражданах льготной категории:

10

o лицах, признанных инвалидами (за исключением лиц, признанных инвалидами вследствие несчастных случаев на производстве и профессиональных заболеваний), и лиц в возрасте до 18 лет, которым установлена категория «ребенок-инвалид»;

o отдельных категорий граждан из числа ветеранов, не являющихся инвалидами;

Страхователях:o организациях - юридических лицах, образованных в

соответствии с законодательством Российской Федерации, а также иностранных юридических лицах, компаниях и других корпоративных образованиях, обладающих гражданской правоспособностью, созданных в соответствии с законодательством иностранных государств, международных организации, филиалов и представительств указанных иностранных лиц и международных организаций, созданных на территории Российской Федерации;

o индивидуальных предпринимателях, в том числе глав крестьянских (фермерских) хозяйств;

o адвокатах, индивидуальных предпринимателях, членах крестьянских (фермерских) хозяйств, физических лицах, не признаваемых индивидуальными предпринимателями (нотариусы, занимающиеся частной практикой, иные лица, занимающиеся в установленном законодательством Российской Федерации порядке частной практикой), членах семейных (родовых) общин коренных малочисленных народов Севера;

регистрации и снятии с регистрационного учета Страхователей в Фонде;

страховых случаях по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством;

страховых случаях - фактах повреждения здоровья застрахованного вследствие несчастного случая на производстве или профессионального заболевания;

страховых взносах по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний;

выплатах пособия по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством

выплатах пособия по временной нетрудоспособности, назначаемого в связи со страховым случаем и выплачиваемого за счет средств на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний;

страховых выплатах в случае смерти застрахованного лица;11

оплаты дополнительных расходов, связанных с медицинской, социальной и профессиональной реабилитацией застрахованного при наличии прямых последствий страхового случая, на:

o лечение застрахованного, осуществляемое на территории Российской Федерации непосредственно после произошедшего тяжелого несчастного случая на производстве до восстановления трудоспособности или установления стойкой утраты профессиональной трудоспособности;

o приобретение лекарственных препаратов для медицинского применения и медицинских изделий;

o посторонний (специальный медицинский и бытовой) уход за застрахованным, в том числе осуществляемый членами его семьи;

o проезд застрахованного, а в необходимых случаях и на проезд сопровождающего его лица для получения отдельных видов медицинской и социальной реабилитации (лечения непосредственно после произошедшего тяжелого несчастного случая на производстве, медицинской реабилитации в организациях, оказывающих санаторно-курортные услуги, получения специального транспортного средства, заказа, примерки, получения, ремонта, замены протезов, протезно-ортопедических изделий, ортезов, технических средств реабилитации) и при направлении его страховщиком в учреждение медико-социальной экспертизы и в учреждение, осуществляющее экспертизу связи заболевания с профессией;

o медицинскую реабилитацию в организациях, оказывающих санаторно-курортные услуги, в том числе по путевке, включая оплату лечения, проживания и питания застрахованного, а в необходимых случаях оплату проезда, проживания и питания сопровождающего его лица, оплату отпуска застрахованного (сверх ежегодного оплачиваемого отпуска, установленного законодательством Российской Федерации) на весь период его лечения и проезда к месту лечения и обратно;

o изготовление и ремонт протезов, протезно-ортопедических изделий и ортезов;

o обеспечение техническими средствами реабилитации и их ремонт;

o обеспечение транспортными средствами при наличии соответствующих медицинских показаний и отсутствии противопоказаний к вождению, их текущий и капитальный ремонт и оплату расходов на горюче-смазочные материалы;

12

o профессиональное обучение и получение дополнительного профессионального образования;

возмещении застрахованному утраченного заработка в части оплаты труда по гражданско-правовому договору;

экспертизе страховых случаев; обеспечении инвалидов техническими средствами реабилитации; предоставлении проезда инвалиду (ветерану, при необходимости -

сопровождающему лицу) к месту нахождения организации, изготавливающей техническое средство реабилитации;

оплатах дополнительных выходных дней в месяц одному из работающих родителей (опекуну, попечителю) для ухода за детьми-инвалидами;

выплатах пособий по временной нетрудоспособности отдельным категориям граждан в связи с зачётом в трудовой стаж нестраховых периодов из средств Федерального бюджета (дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

выплатах пособий по беременности и родам отдельным категориям граждан в связи с зачётом в трудовой стаж нестраховых периодов из средств Федерального бюджета (дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

выплатах пособий по уходу за ребенком до достижения им возраста полутора лет отдельным категориям граждан из числа подвергшихся радиационному воздействию из средств Федерального бюджета (дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

выплатах пособий отдельным категориям граждан из числа подвергшихся радиационному воздействию из средств Федерального бюджета (по временной нетрудоспособности, дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

выплатах пособий отдельным категориям граждан из числа подвергшихся радиационному воздействию из средств Федерального бюджета (по дородовому отпуску, превышающему установленную норму, дополнительно к страховому обеспечению, выплачиваемому за счёт средств Фонда);

выплатах компенсации инвалидам за самостоятельное приобретение технических средств реабилитации;

оказании государственной социальной помощи инвалидам в части оплаты санаторно-курортного лечения, а также проезда на междугородном транспорте к месту лечения и обратно.

13

3.2. Общие сведения об объектах деятельности ФондаДеятельность Фонда связана со сведениями поставщиками и

получателями которых являются: Страхователи: юридическое лицо любой организационно-правовой

формы (в том числе иностранная организация, осуществляющая свою деятельность на территории Российской Федерации и нанимающая граждан Российской Федерации) либо физическое лицо, нанимающее лиц, подлежащих обязательному социальному страхованию по временной нетрудоспособности и материнству, а также от несчастных случаев на производстве и профессиональных заболеваний;

Медицинские организации: юридическое лицо независимо от организационно-правовой формы, осуществляющее в качестве основного (уставного) вида деятельности медицинскую деятельность на основании лицензии, выданной в порядке, установленном законодательством Российской Федерации;

ФОИВы:o Пенсионный фонд Российской Федерации;o Федеральная налоговая служба;o Федеральная служба судебных приставов;o Федеральное казначейство;o Министерство финансов Российской Федерации;

Федеральное бюро медико-социальной экспертизы; Центральный банк Российской Федерации; РЖД; Почта России; Поставщики технических средств реабилитации (протезно-

ортопедические предприятия), санаторно-курортного лечения (профилактории, санатории и т.д.);

Единый портал государственных услуг; Граждане Российской Федерации – получатели гарантированных

государством пособий и социальных услуг.

4. ТРЕБОВАНИЯ К МОДЕРНИЗИРУЕМОЙ СИСТЕМЕ

4.1. Требования к структуре и функционированию системы

4.1.1.Требования к структуре модернизируемой системыПо результатам модернизации Система должна включать в себя ППО

следующих централизованных подсистем:1) Подсистема управления страховыми взносами:

14

Функциональный компонент «Регистрация и учет страхователей»;

Функциональный компонент «Лицевой счет»;2) Подсистема управления страховыми выплатами в случаях

временной нетрудоспособности и в связи с материнством: Функциональный компонент «Прямые выплаты страхового

обеспечения»:o Модуль «АРМ ввода для модуля Процессинга и

управления выплатами»;o Модуль «АРМ «Подготовка расчетов для ФСС РФ»;o Модуль «Процессинг и управление выплатами

пособий»;3) Подсистема управления страхованием профессиональных рисков:

Функциональный компонент «Страховые случаи»; Функциональный компонент «Возмещение вреда»;

4) Подсистема предоставления социальных услуг гражданам льготной категории:

Функциональный компонент «Обеспечение СКЛ»; Функциональный компонент «Обеспечение проездом»; Функциональный компонент «Обеспечение ТСР»;

5) Подсистема открытых сервисов Фонда социального страхования РФ:

Личный кабинет Получателя услуг; Личный кабинет Страхователя; Личный кабинет Поставщика услуг; Шлюз приема ЭД;

6) Подсистема Реестр Получателей услуг Фонда: Функциональный компонент «Регистрация Получателей

социальных услуг Фонда»; Функциональный компонент «Досье Получателей

социальных услуг Фонда»;7) Подсистема предоставления Фондом государственных услуг в

электронном виде и реализации межведомственного взаимодействия;

8) Подсистема интеграции информационных потоков данных: Функциональный компонент «Управление НСИ»; Функциональный компонент «Портал сотрудника Фонда»; Функциональный компонент «Интеграционная шина».

9) Подсистема централизованного хранения и транзакционной обработки данных;

10) Подсистема Централизованный расчетный процессинг;11) Подсистема «Операционный учет»:

15

Функциональный компонент «Финансовый блок».

Для обеспечения безопасности информации, обрабатываемой в модернизируемой Системе, должна быть спроектирована Комплексная система обеспечения информационной безопасности (КСОИБ).

Общая архитектура модернизируемой Системе приведена на Рисунке №1.

Рисунок 1. Общая архитектура модернизируемой Системы

16

Программная архитектура модернизируемой Системы должна содержать следующие логические уровни:

Таблица №1 «Логические уровни»№

п/п Логический уровень Решаемые задачи

1 Уровень клиентских приложений

Обеспечение взаимодействия с Системой

2 Уровень представления информации

Обеспечение ввода пользователем первичных данных и передачу для их последующей обработки.

Отображение и предоставление пользователям информации в соответствии с их полномочиями.

3 Уровень интеграции и управления процессами

Централизованное ведение нормативно-справочной информации.

Поддержка исполнения и мониторинг выполнения процессов

Расширение функциональности в соответствии с требованиями.

Маршрутизация и гарантированная доставка сообщений между функциональными подсистемами и с внешними информационными системами.

4 Уровень бизнес-логики функциональных подсистем

Обработка информации в соответствии с бизнес-логикой функциональных подсистем.

5 Уровень хранения данных функциональных подсистем

Хранение информации функциональных подсистем.

Архитектура модернизируемой Системы должна быть реализована в соответствии с трехуровневой (трехзвенной) моделью программного комплекса, включающего: клиент, сервер приложений, сервер БД.

4.1.2. Требования к способам и средствам информационного обмена между компонентами системы

Для информационного обмена между модернизируемыми компонентами Системы должны использоваться стандартные сетевые протоколы, языки формирования представлений и методы доступа к данным, в частности:

1) TCP/IP (Transmission Control Protocol/Internet Protocol) – набор сетевых протоколов передачи данных, используемых в сетях, включая сеть Интернет;

2) HTTP (HyperText Transfer Protocol) - стандартный протокол передачи гипертекста;

3) JDBC (Java DataBase Connectivity) - прикладной программный интерфейс JavaTM для выполнения SQL-запросов;

17

4) OCI (Oracle Call Interface) – набор интерфейсных функций, предназначенных для выполнения операций с базой данных Oracle;

5) SQL (Structured Query Language) - специализированный непроцедурный язык, позволяющий описывать данные, осуществлять выборку и обработку информации из реляционных СУБД;

6) PL/SQL – процедурное расширение языка SQL;7) XML (eXtensible Markup Language) - расширяемый язык разметки;8) JSON (JavaScript Object Notation) - текстовый формат обмена

данными, основанный на JavaScript;9) SOAP (Simple Object Access Protocol) - протокол обмена

структурированными сообщениями в распределённой вычислительной среде;

10) WSDL (Web Services Description Language) — язык описания web-сервисов и доступа к ним, основанный на языке XML.

11) HTML (Hyper-Text Markup Language) - язык гипертекстовой разметки;

12) JavaScript - объектно-ориентированный язык программирования, предназначенный для написания сценариев и используемый в составе страниц HTML для увеличения функциональности и возможностей взаимодействия с пользователями.

Средствами информационного обмена между прикладными компонентами Системы должны являться:

1) Интеграционная шина (ESB – Enterprise Service Bus);2) Инструмент загрузки и трансформации данных (ETL - инструмент);3) Реляционная СУБД.

4.1.3. Требования к характеристикам взаимосвязей со смежными и внешними системами

Под смежными системами понимаются системы, работающие в Фонде (КАС АХД, СЭД, ЦХД ИАС и т.д.), а также подсистемы децентрализованной ЕИИС «Соцстрах», не модернизируемые в рамках модернизации ППО Системы.

Под внешними системами понимаются системы других ведомств (ПФР, Минтруд России, ФБ МСЭ, ФНС России, РЖД).

Взаимодействие с внешними системами должно осуществляться при наличии технической возможности через СМЭВ. Вновь создаваемые сервисы межведомственного взаимодействия должны быть реализованы в парадигме СМЭВ 3.0.

Обмен информацией между подсистемами модернизируемой Системы, а также со смежными системами должен осуществляться путем совместного доступа подсистем к общим наборам данных в базе данных, либо с

18

использованием интеграционной шины данных, либо с использованием специализированного ETL-инструмента (преимущественно для пакетного обмена сведениями между отдельными БД).

При проектировании архитектуры Системы должна учитываться возможность дельнейшей интеграции с ЕПГУ в части формирования заявок на оказание государственных услуг.

Модернизируемое ППО Системы должно быть интегрировано с ППО Системы, модернизированном или разработанном на предыдущих этапах разработки Целевого решения и интегрировано с подсистемами децентрализованной ЕИИС «Соцстрах» в переходном периоде на этапе ввода в эксплуатацию ППО Системы.

4.1.4. Требования к показателям назначенияКлючевым показателем назначения модернизированной Системы

является степень выполнения требуемых функций, перечисленных в разделе 4.2 настоящего документа.

Помимо выполнения заявленных функций модернизируемая Система в целом должна обеспечивать следующие параметры:

1) общее число пользователей – 30 тыс. человек;2) пиковая длительность работы пользователей (с учетом

географической распределенности и временных поясов) – 4 часа; 3) число одновременных запросов пользователей поступающих к

приложению – 200 запросов в секунду;4) пиковое значение одновременных запросов пользователей

поступающих к приложению – 400 запросов в секунду;5) приемлемое время отклика системы – 3 секунды;6) допустимый уровень утилизации серверных ресурсов 90%.

4.1.5. Требования к эргономике и технической эстетикеМодернизация Системы должна проводится с учетом необходимости

обеспечения удобного для пользователей интерфейса, отвечающего следующим требованиям:

1) интерфейсы должен быть типизированы;2) должно быть обеспечено наличие русскоязычного интерфейса

пользователя (при этом допускается использование англоязычного интерфейса для общесистемных программных компонентов);

3) Размер полей ввода даты не должен превышать размера самой даты.4) Длины полей ввода данных и полей отображения данных не

должны неоправданно превышать длину самих данных.5) web-страницы и размещенные на них формы и прочие элементы

должны корректно отображаться при масштабировании стандартными средствами браузера;

19

6) для наиболее частых операций должны быть предусмотрены «горячие» клавиши;

7) при возникновении ошибок в работе, на экран монитора должно выводиться сообщение с наименованием ошибки и рекомендациями по ее устранению;

8) интерфейс модернизированных подсистем Системы должен быть протестирован на совместимость с браузерами, используемыми Заказчиком:

Microsoft Internet Explorer версии 9.0 или выше; Mozilla FireFox версии 51.0 или выше; Google Chrome версии 56 и выше; Yandex browser версии 16.11 и выше; Спутник / браузер.

На пользовательских рабочих станциях должно быть установлено ПО, которое поддерживает работу со следующими форматами документов:

1) PDF;2) RTF;3) DOC;4) XLS.

4.1.6. Требования к защите информации от несанкционированного доступа

Архитектура модернизируемой Системы должна быть построена таким образом, чтобы http-серверы решения размещались в разных сегментах сети Фонда: отдельно - http-сервер в сегменте внешнего взаимодействия (открытом контуре сети), предназначенные для работы внешних пользователей системы, и отдельно http-сервер в закрытом контуре, предназначенные для работы сотрудников Фонда.

Также модернизируемая Система должна быть спроектированы с учетом принципа разделения баз данных, предназначенных для работы внутренних и внешних приложений, по контурам безопасности.

БД подсистемы открытых сервисов должны размещаться отдельно от основной внутренней БД решения и прочих внутренних БД. Кроме того, в подсистеме открытых сервисов должна быть выделена БД, предназначенная для хранения идентификационных сведений о получателях услуг. Другие БД подсистемы открытых сервисов не должны хранить сведения об идентификационных данных получателей, а содержать только факты оказания услуг.

Модернизируемая Система должна обеспечивать корректное разделение прав доступа пользователей к функциям и информации на основе разработанной ролевой модели доступа средствами программных компонентов системы.

20

Должна обеспечиваться однократная аутентификация пользователей Портала сотрудника Фонда.

Модернизируемая Система должна обеспечивать регистрацию действий пользователей по изменению данных.

Доступ пользователей в личные кабинеты должен осуществляться с использованием ЕСИА по протоколу https.

4.2. Требования к функциям, выполняемым Системой (ее составными элементами)

4.2.1.Требования к функциям подсистемы управления страхованием профессиональных рисков

Подсистема управления страхованием профессиональных рисков предназначена для автоматизации следующих процессов:

1) Регистрация несчастного случая и профзаболевания и признание его страховым:

Регистрация пострадавшего в реестре получателей услуг Фонда;

Сбор и обработка первичной информации о несчастном случае и профзаболевании;

Проведение расследования и экспертизы страхового случая; Определение степени тяжести страхового случая;

2) Возмещение вреда пострадавшему на производстве от несчастного случая или последствий профессионального заболевания:

Расчет и оплату: единовременной страховой выплаты; ежемесячных страховых выплат; дополнительных расходов, связанных с медицинской,

социальной и профессиональной реабилитацией. 4.2.1.1. Требования к функциям компонента «Страховой случай»

Компонент «Страховой случай» подсистемы управления страхованием профессиональных рисков должен реализовывать следующие основные функции:

1) Регистрация пострадавшего в Реестре Получателей социальных услуг Фонда;

2) Регистрация и ведение карточек несчастных случаев, профзаболеваний с учетом и на основании следующих данных и документов:

Сообщение о страховом случае или профзаболевании; Первичной информации о пострадавшем и страхователе; Актов о несчастном случае, профзаболевании, других

документов и сведений о результатах расследования; 21

Документов и сведений о необходимости проведения и результатах экспертизы;

Информации о причинах и мероприятиях по устранению причин несчастного случая, степени вины пострадавшего и других атрибутов;

3) Изменение статуса карточки несчастного случая и признание его страховым или нестраховым на основании:

результатов проведения расследования; результатов проведения экспертизы;

4) Реализация ограничений и правил обработки на основании статусов исполнения расследования и/или экспертизы;

5) Контроль сроков исполнения расследований и экспертиз;6) Отображения полного списка зарегистрированных несчастных

случаев и профзаболеваний с возможностью фильтрации списка по основным атрибутам;

7) Интеграция с компонентом Личный кабинет Страхователя в части регистрации несчастного случая и получения документов о страховом случае от страхователя в электронном виде;

8) Формирование уведомлений для получателей услуг и страхователей по факту регистрации несчастных случаев на производстве и профзаболеваний, а так же по факту их рассмотрения и принятия решений. Предоставление информации по уведомлениям в Личный кабинет Получателя услуг Фонда и Личный кабинет Страхователя;

9) Интеграция с подсистемой «Централизованный расчетный процессинг» в части предоставления данных для определения скидки/надбавки к страховому тарифу;

10) Интеграция с функциональным компонентом «Управление НСИ»;11) Разграничение по функциям участников процесса:

реализация ролевой модели обеспечивающей выполнение действий по регистрации и рассмотрению фактов несчастных случаев на производстве и профзаболеваний (прием и первичная обработка документов – участие оператор; рассмотрение и принятие решений – участие сотрудника, ответственного за принятие решения);

корректировки ошибочных действий пользователей (настраиваемые роли уровня «супер-пользователь»);

12) обеспечение возможности подписания данных, введенных оператором, квалифицированной или не квалифицированной ЭП. Перечень данных и действий при которых эти данные подписываются определяются при разработке частного технического задания;

22

4.2.1.2. Требования к функциям компонента «Возмещение вреда»

Функциональный компонент «Возмещение вреда» подсистемы управления страхованием профессиональных рисков должен реализовывать следующие основные функции:

1) Регистрация и ведение личных дел пострадавших в части возмещения вреда и ведения программы реабилитации с привязкой к страховым случаям и на основании следующей информации:

Первичной информации о пострадавшем; Заявлений на оплату дополнительных расходов; ПРП; Других документов, влияющих на размер и порядок

возмещения вреда пострадавшему (справка о среднемесячном заработке, трудовая книжка, трудовой договор и т.д.);

Сведений о родственниках; Прогнозов по возвращению к трудовой деятельности и

ограничения; Фактического статуса возврата к трудовой деятельности

(прежнее место, новое место, другой работодатель); Исхода реабилитации (% утраты работоспособности); Сведений о реабилитационном менеджере; Сводных сведений о сроке нетрудоспособности, стоимости

лечения и сумм выплат; Соответствующих приказов и платежных документов;

2) Прием заявления в электронном виде на возмещение вреда пострадавшему в результате несчастного случая на производстве или профзаболевания (интеграция с Личным кабинетом Получателя услуг и МВГУ, в части получения заявления с ЕПГУ). Предоставление в обратную сторону информации о регистрации заявления и результате его рассмотрения;

3) Формирование уведомлений для получателей услуг по факту принятия решения по позициям заявлений. Предоставление информации по уведомлениям в Личный кабинет Получателя услуг Фонда;

4) Учет государственных контрактов на ТСР, СКЛ и проезд: формирование потребности на ТСР, СКЛ, проезд и передача

потребностей в подсистему КАС АХД «Управление государственными закупками»;

интеграция с подсистемой КАС АХД «Управление государственными закупками» в части получения информации по действующим государственным контрактам, а так же информации по изменению статусов государственных контрактов;

23

5) Поддержка процесса и учет фактов обеспечения ТСР и путевками на СКЛ пострадавших от несчастных случаев на производстве и профзаболеваний с привязкой к договорам с поставщиками услуг;

6) Учет актов выполненных работ от Поставщиков, включая поступившие в электронном виде посредством Личного кабинета Поставщика услуг (интеграция с Личным кабинетом Поставщика услуг подсистемы открытых сервисов), а так же учет фактов оплаты по актам выполненных работ;

7) Предоставление информации по актам выполненных работ, полученных от поставщиков, в подсистему КАС АХД «Управление государственными закупками» и получение от нее фактов оплаты по актам выполненных работ;

8) Учет и ведение этапов реабилитации на основании следующей информации и документов:

Этапы и видов лечения и их результатов; Стоимость лечения пострадавшего; Сведения о медицинской организации для каждого этапа

лечения; Сведения об ответственном за организацию лечения

сотруднике;9) Изменение статуса личного дела на основании:

Результатов контроля сроков принятия решения по заявлениям пострадавших;

Результатов контроля сроков и результатов переосвидетельствований;

Результатов исполнения мер по возмещению вреда;10) Реализация ограничений и правил обработки личных дел на

основании связей и зависимостей между документами;11) Ведение дневника реабилитационного менеджера с планом работ и

задачами реабилитационного менеджера на основании следующей информации:

Даты заполнения сведений и постановки задачи; Статуса и даты исполнения задачи; Задач и способы реализации по медицинской реабилитации:

Определение объемов и сроков лечения; Определение прогнозов лечения; Организация оплаты; Направление на медико-социальную экспертизу; Участие в врачебной комиссии; Контакты с представителями МО, ЦР, ФБ МСЭ;

Задачи и способы реализации по социальной реабилитации: Коммуникации с пострадавшим; Формирование положительного настроя на лечение; Изучение социальной среды;

24

Оказание психологической помощи; Беседы с пострадавшим, членами семьи, трудовым

коллективом; Контакты с медицинским психологом;

Задачи и способы реализации по профессиональной реабилитации:

Определение трудового прогноза; Выявление мотивации и формирование плана

интеграции в трудовую деятельность; Профориентация; Контроль процесса адаптации; Беседы с пострадавшим, членами семьи,

работодателем; Контакты со службой занятости;

12) Интеграция с компонентом Реестр Получателей услуг Фонда для ввода и ведения первичных документов (информации) о пострадавшем;

13) Интеграция с функциональным компонентом «Страховой случай» и отображение атрибутов и документов, относящихся к связанным с пострадавшим страховым случаям;

14) Просмотр и ведение реквизитов жалоб, созданных в Личном кабинете Получателя услуг, в части НС и ПЗ;

15) Расчет сумм пособий и сумм компенсаций должен осуществляться путем вызова специализированных расчетных алгоритмов подсистемы Централизованный расчетный процессинг:

Расчет сумм компенсаций; Расчет суммы единовременной страховой выплаты; Расчет сумм ежемесячных страховых выплат; Расчет суммы оплаты расходов на лечение; Расчет суммы оплаты дополнительных расходов;

16) Предоставление информации по приказам на выплату компенсации и приказам на выплату пособий в функциональный компонент «Финансовый блок». Получение в обратную сторону информации о фактах оплаты по переданным приказам;

17) Отображение полных реестров с возможностью фильтрации списков по основным атрибутам:

страховых случаев личных дел пострадавших страховых выплат;

18) Интеграция с функциональным компонентом «Управление НСИ»;19) Разграничение по функциям участников процесса:

реализация ролевой модели обеспечивающей выполнение действий по регистрации и рассмотрению заявлений, выполнение обеспечения согласно НПА (прием и первичная

25

обработка заявлений – участие оператор; рассмотрение и принятие решений – участие сотрудника, ответственного за принятие решения; работа с отчетными документами по государственному контракту – участие сотрудника, ответственного за обеспечение);



4.2.2.Требования к функциям подсистемы предоставления социальных услуг гражданам льготной категории

4.2.2.1. Требования к расширению состава функций функционального компонента «Обеспечение ТСР»

В рамках проведения работ по модернизации Системы должны быть реализованы следующие функции функционального компонента «Обеспечение ТСР» подсистемы предоставления социальных услуг гражданам льготной категории:

1) Учет заявлений на обеспечение ТСР, включая компенсацию и обеспечение проездом, поступивших в электронном виде посредством ЕПГУ (интеграция с подсистемой предоставления Фондом государственных услуг в электронном виде и реализации межведомственного взаимодействия);

2) Интеграция с функциональным компонентом “Обеспечение проездом” подсистемы предоставления социальных услуг гражданам льготной категории в части предоставления информации по заявке на проезд и получения информации о результате и статусе её обработки;


4) Получение сведений по производителю и стране производства ТСР в составе сведений по спецификации государственных контрактов на обеспечение ТСР из подсистемы КАС АХД «Управление государственными закупками»;

5) Предоставление информации по приказам на выплату компенсации в функциональный компонент «Финансовый блок».

26

Получение в обратную сторону информации о фактах оплаты по переданным приказам;

6) Учет обеспечения ТСР граждан льготных категорий по судебным решениям;

7) Разграничение по функциям участников процесса: реализация ролевой модели обеспечивающей выполнение

действий по регистрации и рассмотрению заявлений, выполнение обеспечения согласно НПА (прием и первичная обработка заявлений – участие оператор; рассмотрение и принятие решений – участие сотрудника, ответственного за принятие решения; работа с отчетными документами по государственному контракту – участие сотрудника, ответственного за обеспечение: выдачу направлений, проверку результатов обеспечения).

корректировки ошибочных действий пользователей (настраиваемые роли уровня «супер-пользователь»).

8) обеспечение возможности подписания данных, введенных оператором, квалифицированной или не квалифицированной ЭП. Перечень данных и действий при которых эти данные подписываются определяются при разработке частного технического задания.

4.2.2.2. Требования к функциям функционального компонента «Обеспечение СКЛ»

Функциональный компонент «Обеспечение СКЛ» должен обеспечивать автоматизацию следующих процессов:

1) Учет заявлений на СКЛ, поступивших от граждан, включая учет потребности в проезде к месту лечения. В том числе:

учет заявлений на СКЛ, поступивших в электронном виде посредством Личного кабинета Получателя услуг (интеграция с Подсистемой открытых сервисов - Личным кабинетом Получателя услуг Фонда);

учет заявлений на СКЛ, поступивших в электронном виде посредством ЕПГУ (интеграция с подсистемой предоставления Фондом государственных услуг в электронном виде и реализации межведомственного взаимодействия);

автоматическое присвоение регистрационного номера заявлению на СКЛ;

ввод и сохранение реквизитов заявления, включая прикрепление образа (скана) бумажного заявления;

2) Формирование электронной заявки на санаторно-курортное лечение (СКЛ) на основании Заявления и Справки по форме № 070/у-04 (интеграция с подсистемой Реестр Получателей

27

социальных услуг Фонда в части получения информации о гражданине и его документах);

3) Формирование электронной заявки на проезд к месту лечения в рамках заявления на обеспечение СКЛ. Интеграция с функциональным компонентом “Обеспечение проездом” в части предоставления информации по заявке на проезд и получения информации о результате и статусе её обработки;

4) Учет электронных заявок на СКЛ, автоматизация процесса рассмотрения и принятия решений по заявкам;

5) Автоматическая проверка при создании заявки по регистру ПФР наличия отказа гражданина от СКЛ на федеральном уровне;

6) Автоматическое ведение электронной очереди (с учетом нозологий) на получение СКЛ;

7) Исключение из электронной очереди на СКЛ при поступлении информации об отказе гражданина от СКЛ из ПФР;

8) Учет государственных контрактов на СКЛ: формирование потребности на СКЛ на основании

электронных заявок на СКЛ, передача потребностей в подсистему КАС АХД «Управление государственными закупками»;

интеграция с подсистемой КАС АХД «Управление государственными закупками» в части получения информации по действующим государственным контрактам на СКЛ, а так же информации по изменению статусов государственных контрактов на СКЛ;

ведение реестра поставщиков - санаторно-курортных учреждений (СКУ) в рамках функционального компонента «Управление НСИ» подсистемы интеграции информационных потоков данных в части формирования базового справочника Поставщиков;

9) Автоматизация процесса выдачи и возврата путевок на основании электронных заявок на СКЛ;

10) Учет актов выполненных работ от Поставщиков, включая поступившие в электронном виде посредством Личного кабинета Поставщика услуг (интеграция с Личным кабинетом Поставщика услуг подсистемы открытых сервисов), а так же учет фактов оплаты по актам выполненных работ;


12) Сбор сведений о качестве предоставленной услуги от гражданина (интеграция с Личным кабинетом Получателя услуг Фонда и ввод

28

данных сотрудником Фонда со слов или из анкеты гражданина вручную);

13) Мониторинг заезда и выезда граждан из СКУ;14) Сбор сведений о предоставленной услуге от СКУ, в том числе

посредством Личного кабинета Поставщика услуг;15) Учет обеспечения СКЛ по судебным решениям;16) Формирование уведомлений для получателей услуг по факту

регистрации заявлений на СКЛ, а так же по факту принятия решения по заявке на СКЛ. Предоставление информации по уведомлениям в Личный кабинет Получателя услуг Фонда;

17) Предоставление информации о ходе обеспечения СКЛ и номере в электронной очереди на обеспечение СКЛ в подсистему Реестр Получателей услуг Фонда и Личный кабинет Получателя услуг Фонда подсистемы открытых сервисов;

18) Учет реквизитов жалоб на результат оказания услуги, а также на действие/бездействие Фонда в карточке заявления на СКЛ;

19) Интеграция с функциональным компонентом “Управление НСИ” в части доступа к содержимому справочников;

20) Отображение реестров (с возможностью фильтрации по основным атрибутам):

заявлений на СКЛ; заявок на СКЛ; государственных контрактов на СКЛ;


действий по регистрации и рассмотрению заявлений, выполнение обеспечения согласно НПА (прием и первичная обработка заявлений – участие оператор; рассмотрение и принятие решений – участие сотрудника, ответственного за принятие решения; работа с отчетными документами по государственному контракту – участие сотрудника, ответственного за обеспечение: выдачу путевок, проверку результатов обеспечения);



4.2.2.3. Требования к функциям функционального компонента «Обеспечение проездом»

29

Функциональный компонент «Обеспечение проездом» должен обеспечивать автоматизацию следующих процессов:

1) Получение информации по электронным заявкам на проезд из функциональных компонентов “Обеспечение ТСР” и “Обеспечение СКЛ” подсистемы предоставления социальных услуг гражданам льготных категорий и из функционального компонента “Возмещение вреда” подсистемы управления страхованием профессиональных рисков. Предоставление в обратную сторону информации о результатах и статусах обработки заявок;

2) Учет и обработка электронных заявок на проезд в рамках обеспечения проездом граждан льготных категорий и пострадавших на производстве;

3) Учет государственных контрактов на проезд граждан льготных категорий и пострадавших на производстве:

формирование потребности на проезд на основании электронных заявок на проезд, передача потребностей в подсистему КАС АХД «Управление государственными закупками»;

интеграция с подсистемой КАС АХД «Управление государственными закупками» в части получения информации по действующим государственным контрактам на проезд, а так же информации по изменению статусов государственных контрактов на проезд;

ведение реестра поставщиков услуг по проезду в рамках функционального компонента «Управление НСИ» подсистемы интеграции информационных потоков данных;

4) Учет актов выполненных работ от поставщиков проезда (исполнителей ГК), включая поступившие в электронном виде посредством Личного кабинета Поставщика услуг (интеграция с Личным кабинетом Поставщика услуг подсистемы открытых сервисов), а так же учет фактов оплаты по актам выполненных работ;


6) Учет именных направлений на проезд в рамках государственных контрактов на проезд с указанием категории транспорта;

7) Учет талонов РЖД;8) Предоставление информации о заявках на проезд, выданных

именных направлениях на проезд и талонах в подсистему Реестр получателей услуг Фонда и Личный кабинет Получателя услуг Фонда подсистемы открытых сервисов;

30

9) Интеграцию с функциональным компонентом “Управление НСИ” в части доступа к содержимому справочников;

10) Отображение реестров (с возможностью фильтрации по основным атрибутам):

заявок на проезд; талонов и именных направлений на проезд; государственных контрактов на проезд;


действий по обработке заявок на проезд; корректировки ошибочных действий пользователей

(настраиваемые роли уровня «супер-пользователь»);12) обеспечение возможности подписания данных, введенных

оператором, квалифицированной или не квалифицированной ЭП. Перечень данных и действий при которых эти данные подписываются определяются при разработке частного технического задания;

4.2.3.Требования к функциям подсистемы «Операционный учет»

4.2.3.1. Требования к функциям компонента «Финансовый блок»

Функциональный компонент должен обеспечивать выполнение следующих функций и процессов:

1) Получение информации по приказам на выплату компенсации из функционального компонента «Обеспечение ТСР» подсистемы предоставления социальных услуг гражданам льготных категорий и функционального компонента «Возмещение вреда» подсистемы управления страхованием профессиональных рисков. Предоставление в обратную сторону информации о фактах оплаты по полученным приказам;

2) Получение информации по актам выполненных работ по государственным контрактам (в рамках обеспечения граждан льготных категорий и пострадавших на производстве ТСР, СКЛ и проездом), включая информацию по выставленным счетам, из подсистемы КАС АХД «Управление государственными закупками». Предоставление в обратную сторону информации о фактах оплаты по актам выполненных работ;

3) Получение информации по приказам на выплату пособий из функционального компонента функционального компонента «Возмещение вреда» подсистемы управления страхованием профессиональных рисков и модуля процессинга и управления выплатами пособий функционального компонента «Прямые

31

выплаты страхового обеспечения». Предоставление в обратную сторону информации о фактах оплаты по полученным приказам;

4) Учет информации по исполнительным листам;5) Формирование и обработка платежных документов на основании

приказов на выплату компенсации, приказов на выплату пособий и счетов по актам выполненных работ, в том числе формирование печатных форм платежных документов:

на выплату пособий получателям пособий, содержащих расчет конечных сумм платежных поручений с учетом удержаний: по исполнительным листам, вычетам НДФЛ и переплатам

на выплату компенсации получателям; получателям, указанных в исполнительных листах

(получателям алиментов, юридическим лицам); платежных поручений в пользу ФНС России и содержащих

рассчитанную сумму НДФЛ; платежных поручений в пользу Почты России и содержащих

сумму комиссии за почтовый перевод; в пользу поставщиков услуг Фонда, сформированных на

основании счетов, прикрепленных к актам выполненных работ;

уведомлений об уточнении вида и принадлежности платежа;6) Взаимодействие с УФК по утвержденным форматам в части

осуществления выплат: формирование заявок на кассовый расход и сводных заявок

на кассовый расход; экспорт сформированных заявок и уведомлений об уточнении

вида и принадлежности платежа для передачи в УФК; импорт банковских выписок, поступающих от УФК по

результатам осуществления выплат (возвратам и успешно отправленным платежам);

разбор банковских выписок (результатов осуществления выплат);

7) Взаимодействие с Почтой России по утвержденным форматам в части осуществления выплат почтовыми переводами:

экспорт информации с детализацией платежей для передачи в почтовые отделения;

разбор результатов осуществления выплат по факту поступления информации от Почты России;

8) Ведение проводок по аналитическим счетам по факту осуществления выплат;

9) Взаимодействие с ФНС России в части подготовки отчетов по НДФЛ;

32

10) Предоставление сводной информации по состоянию счетов в подсистему «Бухгалтерия» децентрализованной ЕИИС «Соцстрах»;


действий пользователей; корректировки ошибочных действий пользователей

(настраиваемые роли уровня «супер-пользователь»);12) обеспечение возможности подписания данных, введенных

оператором, квалифицированной или не квалифицированной ЭП. Перечень данных и действий при которых эти данные подписываются определяются при разработке частного технического задания.

При проектировании и разработке функционального компонента «Финансовый блок» должны использоваться компоненты КАС АХД «Финансы и отчетность». Права на использование компонентов КАС АХД «Финансы и отчетность» для реализации функционального компонента «Финансовый блок» предоставляются Заказчиком.

4.2.4.Требования к функциям подсистемы управления страховыми взносами

Модернизированная подсистема управления страховыми взносами должна включать в себя следующие функциональные компоненты:

РУСТ; Лицевой счет.

4.2.4.1. Требования к расширению состава функций функционального компонента «РУСТ»

Модернизированный функциональный компонент «РУСТ» подсистемы управления страховыми взносами должен включать в себя следующие дополнительные функции.4.2.4.1.1. Требования к функции «Предоставление государственных услуг по регистрации страхователей с учетом экстерриториального принципа»

Функция должна обеспечивать:1) Предоставление государственной услуги по регистрации в качестве

страхователя по месту обращения заявителя включая: предварительная регистрация в качестве страхователя по

месте обращения; обмен документами по страхователю между ТОФ;

33

уведомлений сотрудников ТОФ при обмене регистрационными документами;

2) Предоставление документов, подтверждающих регистрацию в качестве страхователя по месту обращения заявителя включая:

обеспечение доступа сотрудников ТОФ к централизованной БД ФК «РУСТ»;

обеспечение доступа сотрудников ТОФ к «Электронному делу» страхователей;

учет операций (действий) пользователей в рамках осуществления регистрационных действий по экстерриториальному принципу.

4.2.4.1.2. Требования к функции «Обмен регистрационными документами с ЕПГУ»

Функция должна обеспечивать:1) Прием через ЕПГУ заявлений на регистрацию в качестве

страхователя включая: прием в структурированном виде от ЕПГУ в МВГУ заявления

на регистрацию; автоматическая загрузка сведений заявлений на регистрацию

в ФК «РУСТ» из МВГУ в структурированном виде; выполнение форматно-логического контроля и полноты

сведений; обеспечение автоматического создания записи о страхователе

в статусе «Предварительная регистрация» для обеспечения дальнейшего процесса регистрации страхователя;

2) Предоставление на ЕПГУ документов, подтверждающих регистрацию включая:

передача сведений по заявлению на регистрацию из ФК «РУСТ» в МВГУ в структурированном виде;

передача сведений по заявлению на регистрацию из МВГУ на ЕПГУ в структурированном виде.

4.2.4.1.3. Требования к функции «Определения привязки исторических сведений по страхователям к сведениям ЕГРЮЛ/ЕГРИП»

Функция должна обеспечивать:1) Возможность загрузки сведений по ЕГРЮЛ/ЕГРИП в Систему по

историческим сведениям страхователей.2) Возможность автоматической привязки сведений по страхователям

к сведениям ЕГРЮЛ/ЕГРИП, полученным по результатам пакетной загрузки.

3) Отчетность по результатам процесса автоматической привязки сведений по страхователям к сведениям ЕГРЮЛ/ЕГРИП в Системе (не более 3 (три) отчетов) для определения актуального состояния

34

результатов сопоставления (привязки) записей реестра страхователей с записями ЕГРЮЛ/ЕГРИП.

4.2.4.1.4. Требования к функции «Обеспечение выполнения процесса регистрации»

Функция должна обеспечивать:1) Реализация ролевой модели обеспечивающей выполнение

процессов осуществления регистрационных действий согласно НПА (например, процессы приема-передачи – участие сотрудников бухгалтерии, процессы подписания регистрационных документов – участие руководства ТОФ, прием и первичная обработка заявлений – участие оператор).

2) Корректировки ошибочных действий пользователей (настраиваемые роли уровня «супер-пользователь») с фиксацией (сохранением) действий, произведенных «супер-пользователем» с записью.

3) Обеспечение возможности подписания данных, введенных оператором, квалифицированной или не квалифицированной ЭП. Перечень данных и действий при которых эти данные подписываются определяются при разработке частного технического задания.

4.2.4.2. Требования к функциям функционального компонента «Лицевой счет»

Функциональный компонент «Лицевой счет» подсистемы управления страховыми взносами предназначен для автоматизации следующих процессов:

1) Взаимодействие Фонда с ФНС России в части обмена сведениями страхователей, в рамках передачи полномочий по администрированию страховых взносов по временной нетрудоспособности и в связи с материнством.

2) Отображение лицевого счета страхователя, формируемого на основе данных обмена по ВНиМ с ФНС России и данных НСиПЗ, загружаемых из децентрализованные модули ЕИИС «Соцстрах», с целью оперативного контроля двухсторонней задолженности.

4.2.4.2.1. Требования к функции «Обмен данными с ФНС России»

Функция должна обеспечивать:1) Первичное наполнение сведениями страхователей по ОСС по

ВНиМ в части: Сальдо расчетов по взносам, пени и штрафам по состоянию

на 01.01.2017; Сведений об урегулировании задолженности, включая

сведения по отсрочкам;

35

Сведений о платежах, списанных со счетов плательщиков в банках, но не поступивших в бюджет Фонда.

2) В рамках межведомственного электронного взаимодействия, регулярный прием и загрузку сведений, получаемых от ФНС России, в сегмент хранения данных по обмену сведениями лицевого счета страхователей с ФНС России централизованной транзакционной БД, и ее последующую передачу в децентрализованные модули ЕИИС «Соцстрах». Должен обеспечиваться прием следующих потоков данных:

Начислений по страховым взносам на ОСС по ВНиМ (приложения 2-4 раздела 1 расчета по страховым взносам, предоставляемым страхователем в органы ФНС России);

Сведений по результатам проведения налоговых проверок страхователя;

Сведений о списанных суммах недоимки, пеней и штрафных санкций по страховым взносам по основаниям, возникшим после 01.01.2017;

Выписок из лицевого счета администратора доходов бюджета (приложения к выписке) в части КБК по учету страховых взносов, информации из расчетных документов по уплате страховых взносов, прилагаемых к выписке из лицевого счета администратора доходов бюджета;

Запросов о возможности проведения зачета сумм расходов страхователям на выплату пособий по временной нетрудоспособности и в связи с материнством.

3) Загрузку на периодической основе сведений, в сегмент хранения данных по обмену сведениями лицевого счета страхователей с ФНС России централизованной транзакционной БД, по ОСС по ВНиМ для формирования показателей лицевого счета страхователя в ФК «РУСТ», а также последующей передачи сведений в ФНС России через электронный сервис Системы межведомственного электронного взаимодействия, в составе следующих потоков данных:

Сведений о суммах страховых взносов, начисленных по расчетам за 2016 год, суммах доначисленных (уменьшенных) по итогам проверок за периоды до 01.01.2017 года, суммах пени доначисленных по результатам перерасчета за периоды до 01.01.2017 года;

Сведений об урегулировании задолженности при принятии Фондом решений о зачете/возврате;

Решений о подтверждении заявленных расходов страхователя;

Решений о непринятии к зачету расходов на выплату страхового обеспечения;

36

Решений о возмещении расходов страхователям на выплату пособий по временной нетрудоспособности;

Сведений о списанных суммах недоимки, пеней и штрафных санкций по страховым взносам в связи с истечением срока исковой давности, образовавшихся по состоянию на 01.01.2017;

Согласований (отказов в согласовании) возможности проведения зачета сумм расходов страхователям на выплату пособий по ВНиМ;

Сведений по документам-основаниям и бухгалтерским операциям.

4) Первичное наполнение и дальнейшая периодическая загрузка данных на основе сведений из ЦХД ИАС ФСС по ОСС по НСиПЗ для формирования показателей лицевого счета страхователя в ФК «РУСТ» в составе следующих видов потоков данных:

Начислений по страховым взносам на ОСС по НСиПЗ; Сведений по результатам проведения камеральных и

выездных проверок; Сведений о списанных суммах недоимки, пеней и штрафных

санкций по страховым взносам; Сведений об урегулировании задолженности при принятии

Фондом решений о зачете/возврате; Сведений о расходах страхователем по обязательному

социальному страхованию; Решений о подтверждении заявленных расходов

страхователя; Решений о непринятии к зачету расходов на выплату

страхового обеспечения; Сведений по документам-основаниям и бухгалтерским

операциям.

Список показателей и объем (глубина) загружаемых из ЕИИС «Соцстрах» и ЦХД ИАС ФСС данных дополнительно определяется при разработке Частного технического задания на развитие ППО Системы.4.2.4.2.2. Требования к функции «Отображение показателей лицевого счета»

Функция должна обеспечивать:1) Отображение сведений по показателям лицевого счета страхователя

в разрезах по ОСС по ВНиМ и НСиПЗ. Состав и описание показателей представлено в Таблице 2.

Таблица №2 Показатели лицевого счета страхователя

37

№ Наименование показателя Описание

1 Начислено страховых взносов

Для показателя ВНиМ источником формирования (документом-основанием) должна являться форма «Расчет по страховым взносам» - Приложение 2, Раздел 1, предоставляемая страхователем в ФНС России;

Для показателя НСиПЗ источником формирования (документом-основанием) должна являться форма 4-ФСС – Таблица 2, предоставляемая страхователем в Фонд

2 Результаты проверок (начислено/уменьшено)

Для показателя ВНиМ источником формирования (документом-основанием) должны являться сведения по результатам налоговых проверок, получаемых от ФНС России;

Для показателя НСиПЗ источником формирования (документом-основанием) должны являться сведения камеральных и выездных проверок, загружаемых из соответствующих децентрализованных подсистем ЕИИС «Соцстрах»

3 Произведено расходов на выплату страхового обеспечения

Для показателя ВНиМ источником формирования (документом-основанием) должна являться форма «Расчет по страховым взносам» - Приложение 3, Раздел 1, предоставляемая страхователем в ФНС России;

Для показателя НСиПЗ источником формирования (документом-основанием) должна являться форма 4-ФСС – Таблица 2, предоставляемая страхователем в Фонд

4 Возмещено ФСС на выплату страхового обеспечения

Для показателей ВНиМ и НСиПЗ источником формирования (документом-основанием) должна являться подсистема «Бухгалтерия» децентрализованной ЕИИС «Соцстрах»

5 Возврат переплаты Для показателя ВНиМ источником формирования (документом-основанием) должна являться выписка администратора доходов ВНиМ из Федерального казначейства;

Для показателя НСиПЗ источником формирования (документом-основанием) должна являться выписка администратора доходов НСиПЗ из Федерального казначейства

6 Зачтено

7 Уплачено взносов

8 Начислено пени/штрафов

Для показателя ВНиМ источником формирования (документом-основанием) должны являться сведения по результатам налоговых проверок, получаемых от ФНС России;

Для показателей НСиПЗ источником формирования (документом-основанием) должна являться подсистема «Бухгалтерия» децентрализованной ЕИИС «Соцстрах»

9 Уплачено пени/штрафов

Для показателя ВНиМ источником формирования (документом-основанием) должна являться выписка

38

№ Наименование показателя Описание

администратора доходов ВНиМ из Федерального казначейства;

Для показателя НСиПЗ источником формирования (документом-основанием) должна являться выписка администратора доходов НСиПЗ из Федерального казначейства

10 Списано пени/штрафов

2) Отображение сальдо по страхователю: на начало расчетного периода (календарного года); на момент формирования показателей лицевого счета.

3) Отображение сумм по показателям лицевого счета нарастающим итогом в течение расчетного периода по страховым взносам (календарный год).

4) Отображение сведений по показателям лицевого счета начиная с 01.01.2017, с возможностью фильтрации данных по месяцам.

Список показателей для отображения дополнительно уточняется при разработке Частного технического задания на развитие ППО Системы.

4.2.5.Требования к функциям подсистемы управления страховыми выплатами в случаях временной нетрудоспособности и в связи с материнством

В рамках модернизации данной подсистемы на этапе разработки частного технического задания на модернизацию системы должны быть разработаны описания бизнес процессов касающихся:

1) работы с реестрами;2) работы с претензиями;3) осуществления выплат;4) работы с перерасчетами и доплатами;5) интеграции с внешними системами.

4.2.5.1. Требования к модернизации функционального компонента «Прямые выплаты страхового обеспечения»

4.2.5.1.1. Требования к модернизации модуля «АРМ ввода для модуля Процессинга и управления выплатами»

В рамках модернизации данного модуля должен быть разработан функционал:

1) Обеспечивающий прозрачную интеграцию между данным модулем и модулем «Процессинг и управление выплатами пособий»;

2) Позволяющий сократить этапы прохождения пособия в системе (упростить модель жизненного цикла пособия);

39

3) Позволяющий обеспечить сокращение (оптимизацию) количества интерфейсов и процедур контроля и обработки пособий, в том числе в рамках работы по ручному вводу пособий;

4) Позволяющий обеспечивать обработку данных для специальных групп застрахованных;

5) Предоставляющий дополнительные методы по приему модернизированных типов сообщений и предоставления ответов по ним для сервисов шлюза приема ЭД.

4.2.5.1.2. Требования к модернизации модуля «АРМ «Подготовка расчетов для ФСС РФ»


1) Обеспечивающий отправку дополнительных/модернизированных типов сообщений на шлюз приёма ЭД в рамках взаимодействия со страхователями в части приема реестров пособий;

2) Обеспечивающий получение и учет промежуточных и конечных результатов прохождения бизнес-процесса прямых выплат (включая информацию по статусам и извещениям) для обеспечения полноценной обратной связи со страхователем в электронном виде;

4.2.5.1.3. Требования к модернизации модуля «Процессинг и управление выплатами пособий»


1) Позволяющий осуществлять процессы формирования платежей и осуществлять конечную выплату в функциональном компоненте «Финансовый блок» подсистемы «Операционный учет», при этом интеграция данных модулей должна быть прозрачна для пользователей;

2) Позволяющий выделить каждую функцию процесса отдельным, обособленным функциональным блоком, что в свою очередь должно позволять централизовать однотипные функции в одном месте, к таким обособленным блокам должны относиться функции:

ввода данных; презентационной работы; расчета пособий; формирование приказов на выплату; осуществление выплаты;

3) Позволяющий разграничить доступ по функциям участников процесса к выделенным функциональным блокам (в том числе обеспечить поддержку роли оператора, супер-пользователя);

4) Обеспечивающий возможность подписания данных, введенных оператором, квалифицированной или не квалифицированной ЭП.

40

Перечень данных и действий при которых эти данные подписываются определяются при разработке частного технического задания;

5) Расчет сумм пособий должен осуществляться путем вызова специализированных расчетных алгоритмов подсистемы Централизованный расчетный процессинг;

6) Позволяющий учитывать историю любых изменений данных пособия;

7) Позволяющий просматривать историю изменения данных, в том числе информацию о пользователе, вносившем данную информацию, времени изменения статуса.

4.2.6.Требования к функциям подсистемы открытых сервисов Фонда социального страхования РФ

В рамках проведения работ по модернизации Системы должен быть расширен состав функций функциональных компонентов подсистемы, а так же обеспечена визуализация фактов входов в Личные кабинеты (реализован набор отчетов).

4.2.6.1. Требования к расширению состава функций Личного кабинета Получателя услуг Фонда

В рамках проведения работ по модернизации Системы должны быть реализованы следующие функции Личного кабинета Получателя услуг Фонда:

1) Механизм контроля результатов расчета выплат по листкам нетрудоспособности (калькулятор размера выплат);

2) Информационный сервис предварительного расчета суммы компенсации за самостоятельно приобретенное изделие (ТСР);

3) Подача заявления на СКЛ в электронном виде (интеграция с функциональным компонентом «Обеспечение СКЛ»);

4) Подача заявления на возмещение вреда в электронном виде пострадавшим в результате несчастного случая на производстве или профзаболевания (интеграция с функциональным компонентом «Возмещение вреда»);

5) Оценка качества предоставленной услуги (в части обеспечения ТСР и СКЛ граждан льготных качества, а так же возмещения вреда пострадавшим от несчастных случаев на производстве и профзаболеваний);

6) Визуализация справки по форме № 070/у-04;7) Визуализация расширенного состава сведений в рамках

Социального ПИНа (по факту расширения состава сведений Социального ПИНа в рампах подсистемы Реестр Получателей социальных услуг Фонда). Состав сведений должен быть

41

определен на этапе разработки частного технического задания на модернизацию Системы;

8) Визуализация стартовой информационной панели, содержащей основные факты и показатели взаимодействия получателя услуг с Фондом;

9) Адаптация страниц интерфейса личного кабинета для визуализации на мобильных устройствах (верстка под мобильные устройства).

4.2.6.2. Требования к расширению состава функций Личного кабинета Страхователя

В рамках проведения работ по модернизации Системы должны быть реализованы следующие функции Личного кабинета Страхователя:

1) Ввод, первичная проверка и отправка реестров пособий ПВСО (интеграция с функциональным компонентом «Прямые выплаты страхового обеспечения»). Отправляемые сведения должны подписываться ЭП Страхователя;

2) Подача в электронном виде документов о несчастном случае на производстве, произошедшем у страхователя (интеграция с функциональным компонентом «Страховые случаи»). Отправляемые сведения должны подписываться ЭП Страхователя;

3) Адаптация страниц интерфейса личного кабинета для визуализации на мобильных устройствах (верстка под мобильные устройства).

4.2.6.3. Требования к расширению состава функций Личного кабинета Поставщика услуг

В рамках проведения работ по модернизации Системы должны быть реализованы следующие функции Личного кабинета Поставщика услуг:

1) Получение сведений по государственным контрактам на проезд и СКЛ, выданным путевкам и талонам/именным направлениям из функциональных компонентов «Обеспечение СКЛ» и «Обеспечение проездом» и их визуализация;

2) Ввод и предоставление сведений по актам выполненных работ в рамках государственных контрактов в функциональные компоненты «Обеспечение СКЛ», «Обеспечение проездом», «Возмещение вреда». Получение и визуализация сведений о фактах оплаты по переданным актам выполненных работ;

3) Ввод и предоставление сведений о факте заезда и выезда гражданина в/из СКУ в функциональный компонент «Обеспечение СКЛ»;

4) Сведения, отправляемые Поставщиком услуг в Систему, должны быть подписаны ЭП Поставщика услуг.

42

4.2.6.4. Требования к расширению состава функций функционального компонента «Шлюз приема ЭД»

В рамках проведения работ по модернизации Системы должны быть реализованы следующие функции функционального компонента «Шлюз приема ЭД»:

1) Сервисы предоставления Поставщикам услуг сведений по государственным контрактам на обеспечение ТСР, СКЛ и проездом из функциональных компонентов «Обеспечение ТСР», «Обеспечение СКЛ», «Обеспечение проездом», «Возмещение вреда»;

2) Сервисы предоставления Поставщикам услуг сведений по выданным направлениям на получение ТСР, путевкам, талонам/именным направлениям на проезд из функциональных компонентов «Обеспечение ТСР», «Обеспечение СКЛ», «Обеспечение проездом», «Возмещение вреда»;

3) Сервисы приема сведений по актам выполненных работ и актам приема-передачи в функциональные компоненты «Обеспечение ТСР», «Обеспечение СКЛ», «Обеспечение проездом», «Возмещение вреда»;

4) Модернизированные сервисы приема сведений по реестрам пособий Прямых выплат страхового обеспечения от страхователей в модуль «АРМ ввода для модуля Процессинга и управления выплатами» функционального компонента «Прямые выплаты страхового обеспечения»;

5) Сервисы предоставления сведений страхователям по промежуточным и конечным результатам прохождения бизнес-процесса прямых выплат (включая информацию по статусам и извещениям) из модуля «АРМ ввода для модуля Процессинга и управления выплатами» функционального компонента «Прямые выплаты страхового обеспечения»;

6) Сведения, отправляемые страхователями и поставщиками услуг посредством перечисленных выше сервисов приема сведений, должны подписываться их ЭП.

7) Сведения, предоставляемые Фондом посредством перечисленных выше сервисов предоставления сведений, должны подписываться ЭП Системы Фонда.

4.2.7.Требования к функциям подсистемы Реестр Получателей социальных услуг Фонда

В рамках проведения работ по модернизации Системы должны быть реализованы следующие функции подсистемы Реестр Получателей социальных услуг Фонда:

43

1) Учет документов, необходимых для предоставления услуг в рамках обеспечения граждан льготных категорий СКЛ и оказания услуг пострадавшим, в том числе с возможностью прикрепления электронных образов (сканов) документов;

2) Доработка досье Получателя в части получения сведений из модернизируемых подсистем (в рамках новой функциональности) и их отображения;

3) Переход с основных объектов досье Получателя услуг (заявлений, заявок, пособий) в соответствующие централизованные функциональные компоненты (функциональные компоненты «Обеспечение ТСР», «Обеспечение СКЛ» и «Обеспечение проездом» подсистемы предоставления социальных услуг гражданам льготной категории; функциональный компонент «Возмещение вреда» подсистемы управления страхованием профессиональных рисков; функциональный компонент «Прямые выплаты страхового обеспечения») с целью просмотра детальных сведений по оказываемой/оказанной услуге. Состав типов объектов досье, с которых необходимо осуществлять переход, определяется на этапе подготовки технического задания на модернизацию Системы;

4) Расширение сведений в составе Социального ПИНа в рамках расширения состава централизованных функциональных компонент Системы (по направлениям обеспечения СКЛ граждан льготных категорий и возмещения вреда пострадавших на производстве). Состав сведений определяется на этапе разработки частного технического задания;

5) Предоставление сведений (в рамках новой функциональности), полученных из модернизированных подсистем в Личный кабинет Получателя услуг Фонда;

6) Получение из ФРИ сведений по ИПРА и ПРП инвалидов: реализация механизма и настройка регулярного процесса;

7) Разграничение по функциям участников процесса: корректировки ошибочных действий пользователей (настраиваемые роли уровня «супер-пользователь»);

8) Обеспечение возможности подписания данных, введенных оператором, квалифицированной или не квалифицированной ЭП. Перечень данных и действий при которых эти данные подписываются определяются при разработке частного технического задания.

44

4.2.8.Требования к функциям подсистемы предоставления Фондом государственных услуг в электронном виде и реализации межведомственного взаимодействия

В рамках проведения работ по модернизации Системы должны быть реализованы следующие функции подсистемы предоставления Фондом государственных услуг в электронном виде и реализации межведомственного взаимодействия:

1) Передача заявлений, поступающих с ЕПГУ в рамках регистрационных действий со страхователями, в функциональный компонент РУСТ и получение результатов рассмотрения заявлений для передачи в ЕПГУ;

2) Передача заявлений, поступающих с ЕПГУ в рамках деятельности по обеспечению граждан льготных категорий, в функциональные компоненты «Обеспечение ТСР» и «Обеспечение СКЛ» и получение результатов рассмотрения заявлений для передачи в ЕПГУ;

3) Передача заявлений, поступающих с ЕПГУ в рамках деятельности по возмещению вреда пострадавшим от несчастных случаев на производстве и профзаболеваний, в функциональный компонент «Возмещение вреда» и получение результатов рассмотрения заявлений для передачи в ЕПГУ;

4) Прием сведений, поступающих от ФНС России, в рамках обмена сведениями о состоянии лицевого счета страхователей и их передача в функциональный компонент «Лицевой счет» подсистемы управления страховыми взносами;

5) Передача в ФНС России сведений, в рамках обмена сведениями о состоянии лицевого счета страхователей, поступающих из функционального компонента «Лицевой счет» подсистемы управления страховыми взносами;

6) Предоставление сервисов (интеграция с функциональным компонентом «Интеграционная шина») для обеспечения возможности записи на прием в подразделение Фонда посредством ЕПГУ: предоставление сведений о расписании (доступных интервалах времени для записи на прием), возможность отметки интервала времени для записи на прием;

7) Получение из ФРИ сведений по ИПРА и ПРП инвалидов и их предоставление в подсистему Реестр Получателей социальных услуг Фонда посредством функционального компонента «Интеграционная шина».

45

4.2.9.Требования к функциям подсистемы интеграции информационных потоков

4.2.9.1. Требования к расширению состава функций функционального компонента «Управление НСИ»

Функциональный компонент «Управление НСИ» должен быть модернизирован для обеспечения выполнения следующих функций:

1) Ведение и передача (распространение) справочников для нужд модернизируемых и разрабатываемых централизованных функциональных компонентов Системы;

2) Ведение единого справочника расписаний для записи на прием.Полный перечень справочников, учитываемых в рамках

функционального компонента, должен быть определен на этапе разработки частного технического задания на модернизацию Системы.

4.2.9.2. Требования к расширению состава функций функционального компонента «Интеграционная шина»

Функциональный компонент «Интеграционная шина» должен быть модернизирован в рамках выполнения следующих функций:

1) Обеспечение связи (создание новых и модернизация существующих информационных потоков) модернизируемых и разрабатываемых централизованных функциональных компонентов Системы со смежными информационными системами Фонда;

2) Обеспечение связи (создание новых и модернизация существующих информационных потоков) модернизируемых и разрабатываемых централизованных функциональных компонентов Системы друг с другом;

3) Настройка процессов управления новыми информационными потоками движения данных между компонентами Системы и смежными информационными системами Фонда.

Перечень разрабатываемых и модернизируемых информационных потоков в рамках функционального компонента и их характеристики должны быть определены на этапе разработке частного технического задания на модернизацию Системы.

4.2.9.3. Требования к расширению состава функций функционального компонента «Портал сотрудника Фонда»

Функциональный компонент «Портал сотрудника Фонда» должен быть модернизирован для обеспечения выполнения обеспечения доступа пользователей Системы (сотрудников Фонда) к интерфейсам функциональных компонентов согласно доработанной матрице доступа пользователей к компонентам Системы

46

Матрица доступа пользователей к компонентам Системы должна быть актуализирована на этапе разработки частного технического задания на модернизацию Системы.

4.2.10. Требования к функциям подсистемы централизованного хранения и транзакционной обработки данных

Подсистема должна быть модернизирована с целью обеспечения следующих функций:

1) Хранение и обработка данных разрабатываемых и модернизируемых централизованных функциональных компонентов Системы;

2) При этом в рамках подсистемы должны быть реализованы следующие новые сегменты хранения данных:

Сегмент хранения данных по обеспечению СКЛ; Сегмент хранения данных по обеспечению проездом; Сегмент хранения данных по страховым случаям; Сегмент хранения данных по возмещению вреда

пострадавшим в результате несчастных случаев на производстве и профзаболеваний;

Сегмент хранения данных по Прямым выплатам страхового обеспечения;

Сегмент хранения данных по выплатам; Сегмент хранения данных по обмену сведениями лицевого

счета страхователей с ФНС России;3) Предоставление данных в другие подсистемы Системы.

4.2.11. Требования к функциям подсистемы Централизованный расчетный процессинг

Подсистема Централизованный расчетный процессинг должна быть модернизирована в части реализации и регистрации:

1) Алгоритмов расчета сумм пособий, выплачиваемых в рамках Прямых выплат страхового обеспечения;

2) Алгоритмов расчета сумм пособий, выплачиваемых в рамках возмещения вреда пострадавшим от несчастных случаев на производстве и профзаболеваний;

3) Алгоритмов расчета сумм компенсаций, выплачиваемых пострадавшим от несчастных случаев на производстве и профзаболеваний.

47

4.2.12. Требования к функциям КАС АХД «Управление государственными закупками»

Подсистема должна быть модернизирована с целью обеспечения выполнения следующих функций:

1) Получение информации по актам выполненных работ по государственным контрактам (в рамках обеспечения граждан льготных категорий и пострадавших на производстве ТСР, СКЛ и проездом), включая информацию по выставленным счетам, из функциональных компонентов «Обеспечение ТСР», «Обеспечение СКЛ», «Обеспечение проездом» подсистемы предоставления социальных услуг гражданам льготных категорий и функционального компонента «Возмещение вреда» подсистемы управления страхованием профессиональных рисков;

2) Предоставление информации по актам выполненных работ по государственным контрактам (в рамках обеспечения граждан льготных категорий и пострадавших на производстве ТСР, СКЛ и проездом), включая информацию по выставленным счетам и общую информацию по государственным контрактам, в функциональный компонент «Финансовый блок» подсистемы «Операционный учет»;

3) Получение информации по фактам оплаты переданных актов выполненных работ по государственным контрактам из функционального компонента «Финансовый блок» подсистемы «Операционный учет»

4) Предоставление информации по фактам оплаты актов выполненных работ по государственным контрактам в функциональные компоненты «Обеспечение ТСР», «Обеспечение СКЛ», «Обеспечение проездом» подсистемы предоставления социальных услуг гражданам льготных категорий и функциональный компонент «Возмещение вреда» подсистемы управления страхованием профессиональных рисков.

4.3. Требования к видам обеспечения

4.3.1.Требования к программному обеспечениюМодернизируемые подсистемы должны быть установлены на мощностях

ЦОД Фонда, доступ к которым предоставляется Заказчиком. На соответствующих технических средствах Заказчик обеспечивает наличие системного программного обеспечения, необходимого для функционирования модернизированных подсистем Системы (их составных элементов).

Перечень программных продуктов, которые должны использоваться для обеспечения работы модернизированных подсистем Системы (их составных элементов) представлен в таблице 3.

48

Таблица 3. Перечень программных продуктов№

п/п Программный продукт Тип

Операционные системы1 Oracle Linux x86-64x версии 5/6 или выше Свободно распространяемое

ПО. Предоставляется Заказчиком

СУБД2 Oracle Database 11g R2 Enterprise Edition, включая

опции:- Partitioning;- Real Application Clusters

Проприетарное ПО. Предоставляется Заказчиком.Разрабатываемые технические решения в части СУБД должны иметь возможность последующего перехода на отечественную СУБД или свободно распространяемую СУБД без доработок функциональных решений

WEB-серверы и портал3 GlassFish Server Open Source Edition 4.1.1 или выше Свободно распространяемое

ПО. Предоставляется Заказчиком

4 Apache HTTP Server 2.2.15 или выше Свободно распространяемое ПО. Предоставляется Заказчиком

5 Корпоративный портал Liferay Portal CE версии 6 или выше

Свободно распространяемое ПО. Предоставляется Заказчиком

Разработка6 Сервисы, реализованные на семействе технологий

Java, версии не ниже 6Свободно распространяемые технологии

7 Web-приложения, реализованные на семействе технологий Java и JavaScript: Spring, Hibernate, ExtJS

Свободно распространяемые технологии

Прочее8 Интеграционный компонент WSO2 Enterprise

Service Bus версии 4.9.0 или вышеСвободно распространяемое ПО

Обеспечение программным обеспечением рабочих станций сотрудников Фонда, являющихся пользователями Системы, и их настройку выполняет Заказчик.

4.3.2.Требования к техническому обеспечениюДля функционирования модернизируемой Системы должны

использоваться имеющиеся в ЦОД Фонда технические средства.Приобретение, монтаж и пуско-наладка аппаратных, системных и

базовых программных средства для модернизируемой Системы не предусматривается.

49

Для корректного функционирования модернизируемой Системы все используемые для функционирования модернизируемой Системы технические средства, системное и базовое программное обеспечение, предоставляемые Заказчиком, должны быть обеспечены технической поддержкой их производителей.

Комплекс технических средств модернизируемой Системы включает в себя:

1) виртуальные машины архитектуры x86-64, предназначенные для обеспечения функционирования web-серверов, серверов приложений, интеграционных решений;

2) ПАК Oracle Exadata, предназначенный для обеспечения функционирования СУБД.

50

5. СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО МОДЕРНИЗАЦИИ СИСТЕМЫ

5.1. Работы по актуализации концепции развития информационных систем Фонда, разработке частного технического задания на модернизацию ППО Системы и проведению обследования ИТ-инфраструктуры

5.1.1.Работы по актуализации Концепции развития информационных систем Фонда социального страхования Российской Федерации

Целью выполнения данной работ является актуализация Концепции развития информационных систем Фонда социального страхования Российской Федерации (далее – Концепция) с учетом текущего состояния объекта информатизации, изменений, произошедших в нормативно-правовом обеспечении, а также современных тенденций развития информационных технологий.

Актуальная версия Концепции предоставляется Заказчиком Исполнителю в течение одного рабочего дня после получения соответствующего запроса от Исполнителя.

Для достижения указанной цели Исполнителем должны быть решены следующие задачи:

1) оценка текущего состояния поддержки информационными технологиями ключевых процессов Фонда социального страхования Российской Федерации с учетом реализованных мероприятий, запланированных в утвержденной Концепции;

2) определение приоритетных направлений развития информационных систем Фонда с учетом произошедших изменений в нормативно-правовом обеспечении деятельности Фонда и современных тенденций в развитии информационных технологий;

3) уточнение общей целевой архитектуры информационного ландшафта Фонда;

4) актуализация Концепции.Результатами работы по актуализации Концепции развития

информационных систем Фонда социального страхования Российской Федерации является актуализированный документ «Концепция развития информационных систем Фонда социального страхования Российской Федерации».

В срок не позднее 20 (двадцать) рабочих дней с даты начала работ по актуализации Концепции Исполнитель направляет документ «Концепция

51

развития информационных систем Фонда социального страхования Российской Федерации» Заказчику для согласования. Концепция направляются в бумажной форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации. Второй экземпляр согласованной Концепции в бумажной форме Заказчиком возвращается Исполнителю в срок не более 10 (десяти) рабочих дней с даты согласования.

Заказчик в срок не более 10 (десяти) рабочих дней с даты получения от Исполнителя указанного документа обязан его согласовать либо направить Исполнителю мотивированный отказ от его согласовании с изложением причин отказа и выявленных недостатков. Исполнитель обязан устранить выявленные недостатки в срок не более 5 (пяти) рабочих дней с даты поступления письменного отказа Заказчика либо направить Заказчику отказ в доработке указанного документа с изложением причин отказа.

Повторное рассмотрение Заказчиком Концепции осуществляется в порядке, описанном в настоящем пункте.

5.1.2.Работы по разработке частного технического задания на развитие ППО Системы

В рамках данной работы Исполнитель должен разработать Частное техническое задание на модернизацию прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах» в рамках перехода на целевое решение (далее ЧТЗ на модернизацию ППО Системы).

ЧТЗ на модернизацию ППО Системы не может противоречить настоящему Техническому заданию или сокращать (увеличивать) объем выполняемых Работ. ЧТЗ на модернизацию ППО Системы должны детализировать и уточнять все требования к функциональности, приведенные в п 4. настоящего технического задания.

Также в рамках подготовки ЧТЗ на модернизацию ППО Системы Исполнитель должен подготовить предложения по внесению изменений в НПА в части регламента предоставления услуг Фонда гражданам в электронном виде (без посещения подразделений Фонда).

Результатами работы по разработке частного технического задания на развитие ППО Системы является утвержденный документ «Частное техническое задание на модернизацию прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах» в рамках перехода на целевое решение», включающее требования к реализации функций ППО Системы, приведенных в п.4 настоящего Технического задания.

В срок не позднее 20 (двадцать) рабочих дней с даты начала работ по разработке частного технического задания на развитие ППО Системы Исполнитель направляет документ «Частное техническое задание на модернизацию прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах» в рамках перехода на целевое решение» Заказчику для утверждения. ЧТЗ на развитие ППО Системы направляются в бумажной

52

форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации. Второй экземпляр утвержденного ЧТЗ на развитие ППО Системы в бумажной форме Заказчиком возвращается Исполнителю в срок не более 10 (десяти) рабочих дней с даты утверждения.

Заказчик в срок не более 10 (десяти) рабочих дней с даты получения от Исполнителя указанного документа обязан его утвердить либо направить Исполнителю мотивированный отказ от его утверждении с изложением причин отказа и выявленных недостатков. Исполнитель обязан устранить выявленные недостатки в срок не более 5 (пяти) рабочих дней с даты поступления письменного отказа Заказчика либо направить Заказчику отказ в доработке указанного документа с изложением причин отказа.

Повторное рассмотрение Заказчиком ЧТЗ на развитие ППО Системы осуществляется в порядке, описанном в настоящем пункте.

5.1.3.Работы по проведению обследования ИТ-инфраструктурыЦелью проведения обследования является получение исчерпывающей

информации о текущем состоянии ИТ-инфраструктуры объектов Фонда (ЦОД, РЦОД, Центральный Аппарат, не более трёх типов региональных отделений) для последующего проектирования ИТ-инфраструктуры.

Целью проведения обследования является получение исчерпывающей информации о текущем состоянии ИТ-инфраструктуры объектов Фонда (ЦОД, РЦОД, Центральный Аппарат, два типа Региональных отделений Фонда, один типовой Филиал Регионального отделения Фонда, один Уполномоченный представитель) для последующего проектирования ИТ-инфраструктуры.

В рамках достижения указанной цели должны быть решены следующие задачи:

1) сбор информации о компонентах аппаратного и системного программного обеспечения, эксплуатируемого на объектах обследования, в том числе данных о характеристиках и настройках оборудования;

2) сбор информации о составе и комплектности технической и эксплуатационной документации на существующие компоненты ИТ-инфраструктуры, изучение существующей документации;

3) выявление проблем и критических точек в эксплуатации существующего аппаратного и системного программного обеспечения;

4) сбор и изучение информации о текущих и планируемых ИТ-проектах;

5) сбор информации о поддержке производителями компонентов ИТ-инфраструктуры, наличии действующих сервисных контрактов;

6) анализ обеспечения сохранности данных, отказоустойчивости и резервирования аппаратных систем, в частности обслуживающих

53

критичные для деятельности прикладные информационные системы и базовые ИТ-сервисы.

Результатам работы по проведению обследования ИТ-инфраструктуры является утвержденный документ «Отчет об обследовании ИТ-инфраструктуры». Требования к содержанию Отчета об обследовании ИТ-инфраструктуры приведены в п.6.2 настоящего Технического задания.

В срок не позднее 30 (тридцать) рабочих дней с даты начала работ по проведению обследования ИТ-инфраструктуры Исполнитель направляет документ «Отчет об обследовании ИТ-инфраструктуры» Заказчику для утверждения. Указанный документ направляется в бумажной форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации. Второй экземпляр утвержденного документа в бумажной форме Заказчиком возвращается Исполнителю в срок не более 10 (десяти) рабочих дней с даты утверждения.


Повторное рассмотрение Заказчиком Отчета об обследовании ИТ-инфраструктуры осуществляется в порядке, описанном в настоящем пункте.

Датой завершения Работы по актуализации концепции развития информационных систем Фонда, разработке частного технического задания на модернизацию ППО Системы и проведению обследования ИТ-инфраструктуры считается дата:

1) согласование Заказчиком документа «Концепция развития информационных систем Фонда социального страхования Российской Федерации»;

2) утверждения Заказчиком документа «Частное техническое задание на модернизацию прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах» в рамках перехода на целевое решение»;

3) утверждения Заказчиком документа «Отчет об обследовании ИТ-инфраструктуры».

Работа по актуализации концепции развития информационных систем Фонда, разработке частного технического задания на модернизацию ППО Системы и проведению обследования ИТ-инфраструктуры считается ненадлежащим образом выполненной в случае, если Заказчиком в адрес

54

Исполнителя более чем 2 (два) раза официально направлялся мотивированный отказ от утверждения документов по этапу.

После завершения Работы по актуализации концепции развития информационных систем Фонда, разработке частного технического задания на модернизацию ППО Системы и проведению обследования ИТ-инфраструктуры Исполнитель передает Заказчику для утверждения Акт о приемке выполненных работ за этап в порядке и сроки, указанные в Контракте.

5.2. Работы по модернизации ППО Системы, проведению испытаний и проведению технического проектирования ИТ-инфраструктуры

5.2.1.Работы по развитию ППО Системы В рамках Работы по развитию ППО Системы и обеспечению

проведения предварительных испытаний Исполнитель должен провести модернизацию ППО Системы в соответствии с требованиями ЧТЗ на развитие ППО Системы, разработанного в по результатам выполнения п.5.1.2 настоящего Технического задания.

На протяжении всего периода выполнения работ по развитию ППО Системы Исполнитель должен поддерживать и актуализировать версию ППО Системы, позволяющую осуществлять демонстрации представителям Заказчика хода выполнения работ по модернизации ППО Системы.

В рамках Работы по развитию ППО Системы Исполнителем должна быть разработана и/или актуализирована (внесены необходимые изменения) документация на ППО Системы в части модернизированного функционала. Состав разрабатываемой и/или актуализируемой документации приведен в п.6.1 настоящего Технического задания.

В срок не позднее 60 (шестьдесят) рабочих дней с даты начала работы по развитию ППО Системы Исполнитель направляет разработанную и(или) актуализированную документацию Заказчику для утверждения. Документация направляется в бумажной форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации. Вторые экземпляры утвержденной документации в бумажной форме Заказчиком возвращаются Исполнителю в срок не более 10 (десяти) рабочих дней с даты утверждения.

Заказчик в срок не более 10 (десяти) рабочих дней с даты получения от Исполнителя разработанной и(или) актуализированной документации обязан ее утвердить либо направить Исполнителю мотивированный отказ от ее принятия с изложением причин отказа и выявленных недостатков. Исполнитель обязан устранить выявленные недостатки в срок не более 5 (пяти) рабочих дней с даты поступления письменного отказа Заказчика либо направить Заказчику отказ в доработке недостатков указанной документации с изложением причин отказа.

55

Повторное рассмотрение документации происходит в порядке, описанном в настоящем пункте.

Результатами данной работы должны являться:- утвержденная разработанная и/или актуализированная

документация, указанная в п.6.1 настоящего Технического задания;

- доработанное ППО Системы.

После завершения Работ по развитию ППО Системы Заказчик формирует акт приемки версии модернизированного прикладного программного обеспечения централизованных подсистем Системы в опытную эксплуатацию.

5.2.2.Работы по обеспечению проведения испытаний и опытной эксплуатации модернизированного ППО Системы

Целью проведения испытаний и опытной эксплуатации является проверка работоспособности доработанного ППО Системы и подтверждения возможности ввода в действие модернизированного ППО Системы.

Испытания и опытная эксплуатация должна проводиться в соответствии с документом «Программа проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах».

Испытания и опытная эксплуатация доработанного ППО Системы проводится на оборудовании, предназначенном для опытной (тестовой) эксплуатации Системы.

Не позднее 2 (два) рабочих дней после утверждения Заказчиком документа «Программа проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах», Заказчик официально сообщает Исполнителю дату начала проведения испытаний и опытной эксплуатации доработанного ППО Системы. Дата начала проведения испытаний и опытной эксплуатации не должна быть позже 5 (пяти) рабочих дней со дня утверждения Заказчиком документа «Программа проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах». Длительность проведения испытаний и опытной эксплуатации должна составлять не более 20 (двадцать) рабочих дней с даты ее начала.

Испытания и опытная эксплуатация модернизированного ППО Системы включают следующие мероприятия:

- предварительные испытаний модернизированного ППО Системы, в которых участвуют специалисты Центрального аппарата Фонда;

56

- нагрузочное тестирование модернизированного ППО Системы, в котором участвуют специалисты Центрального аппарата Фонда;

- опытная эксплуатация модернизированного ППО Системы, в которых участвуют специалисты пилотных региональных отделений Фонда. Число пилотных региональных отделений не должно превышать 3 (три).

Испытания и опытная эксплуатация доработанного ППО Системы проводятся уполномоченными специалистами Заказчика, являвшихся функциональными заказчиками и/или потенциальными пользователями Системы.

В процессе испытаний и опытной эксплуатации ее участниками должны быть выполнены следующие действия:

- проверка корректности функционирования модернизированного ППО Системы, доработанного в рамках работ, описанных в п.5.2.1 настоящего Технического задания;

- фиксация сбоев, ошибок, недостатков, возникающих и выявленных в ходе опытной эксплуатации.

Исполнитель во время проведения испытаний и опытной эксплуатации должен обеспечить:

- оперативное выявление причин сбоев, устранение причин сбоев, исправление ошибок, недостатков в ППО Системы, возникающих в процессе опытной эксплуатации и зафиксированных участниками опытной эксплуатации;

- при необходимости внесение необходимых изменений в документацию по итогам опытной эксплуатации;

- поддержку и консультирование сотрудников Заказчика;

Заказчик во время проведения опытной эксплуатации должен обеспечить:

- участие в испытания и опытной эксплуатации пользователей Системы;

- проведение еженедельных совещаний по статусу проведения опытной эксплуатации.

После окончания срока проведения испытаний и опытной эксплуатации в течение 2 (двух) рабочих дней после ее завершения Исполнитель должен подготовить и передать на утверждение Заказчику в бумажной форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации документ «Протокол проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах». Заказчик в срок не более 10 (десять) рабочих дней с даты получения от Исполнителя указанного

57

документа обязан его утвердить либо направить Исполнителю перечень замечаний и выявленных недостатков. Исполнитель обязан устранить замечания и выявленные Заказчиком недостатки в срок не более 10 (десять) рабочих дней с даты их поступления от Заказчика либо направить Заказчику отказ от устранения недостатков с изложением причин отказа.

Повторное рассмотрение Заказчиком Протокола проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах» осуществляется в порядке, указанном в настоящем пункте.

Второй экземпляр утвержденного Протокола проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах» в бумажной форме Заказчиком возвращается Исполнителю в срок не более 10 (десяти) рабочих дней с даты утверждения.

По результатам завершения Работ по развитию Системы и проведению испытаний Заказчик формирует акт о завершении опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах».

5.2.3.Работы по техническому проектированию ИТ-инфраструктуры

5.2.3.1. Работы по техническому проектированию ИТ-инфраструктуры

В рамках работ по техническому проектированию ИТ-инфраструктуры должны быть разработаны типовые проектные решения (ЦОД, РЦОД, Центральный Аппарат, два типа Региональных отделений Фонда, один типовой Филиал Регионального отделения Фонда, один Уполномоченный представитель), используемые для создания ИТ-инфраструктуры Фонда.

Состав компонентов проектируемой ИТ-инфраструктуры, разрабатываемых в рамках Технического проекта на ИТ-инфраструктуру, должен соответствовать требованиям, приведенным в п.5.2.3.2 настоящего Технического задания.

Функции компонентов проектируемой ИТ-инфраструктуры, разрабатываемых в рамках Технического проекта на ИТ-инфраструктуру, должны учитывать требования со стороны прикладных систем, приведенных в п.5.2.3.2 настоящего Технического задания.

Результатами работы по техническому проектированию ИТ-инфраструктуры являются утвержденные документы технического проекта на ИТ-инфраструктуру. Требования к содержанию документов технического проекта на ИТ-инфраструктуру приведены в п.6.2 настоящего Технического задания.

58

В срок не позднее 75 (семьдесят пять) рабочих дней с даты начала работ по проведению обследования ИТ-инфраструктуры Исполнитель направляет документы технического проекта на ИТ-инфраструктуру Заказчику для утверждения. Указанные документы направляется в бумажной форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации. Вторые экземпляры утвержденных документов в бумажной форме Заказчиком возвращается Исполнителю в срок не более 10 (десяти) рабочих дней с даты утверждения.

Заказчик в срок не более 10 (десяти) рабочих дней с даты получения от Исполнителя указанных документов обязан их утвердить либо направить Исполнителю мотивированный отказ от его утверждении с изложением причин отказа и выявленных недостатков. Исполнитель обязан устранить выявленные недостатки в срок не более 5 (пяти) рабочих дней с даты поступления письменного отказа Заказчика либо направить Заказчику отказ в доработке указанного документа с изложением причин отказа.

Повторное рассмотрение Заказчиком документов технического проекта на ИТ-инфраструктуру осуществляется в порядке, описанном в настоящем пункте.

5.2.3.2. Требования к проектируемой ИТ-инфраструктуре

Техническое обеспечение Системы (ИТ-инфраструктура) включает в себя технические средства, входящие в её состав. Состав технического обеспечения должен соответствовать целям и назначению Системы.

Проектируемая ИТ-инфраструктура должна выполнять следующее:1) Обеспечивать функциональные и другие требования настоящего

технического задания;2) Использовать для удобства эксплуатации и при наличии

возможности аппаратные средства ведущих фирм-производителей или опыт эксплуатации которых есть у Заказчика;

3) Максимально использовать для сохранения вложенных инвестиций и обеспечения преемственности аппаратные и программные средства от ведущих фирм-производителей.

Проектируемая ИТ-инфраструктура должна состоять как минимум из следующих компонентов:

1) Вычислительная инфраструктура: Подсистема обработки данных; Подсистема хранения данных; Подсистема резервного копирования и восстановления

данных.2) Сетевая инфраструктура:

Сеть Передачи Данных (СПД); Локальная Вычислительная Сеть (ЛВС);

59

Подсистема удаленного доступа и подключения к сети интернет.

3) Система управления и мониторинга ИТ-инфраструктуры.5.2.3.2.1. Требования к составу ИТ-инфраструктуры

В состав проектируемой ИТ-инфраструктуры как минимум должны входить следующие сервисы и службы:

1) Служба Каталога;2) Базовые сетевые сервисы;3) Сервис файлов и печати;4) Сервис баз данных;5) Сервис хранения информации;6) Сервис резервного копирования и восстановления данных.

В состав проектируемой сетевой инфраструктуры как минимум должны входить следующие сервисы:

1) Сервис сетевого взаимодействия;2) Сервис межсетевого взаимодействия;3) Сервис оптимизации трафика;4) Сервис удаленного и беспроводного доступа.

Система управления и мониторинга проектируемой ИТ-инфраструктуры должна охватывать ЦОД и РЦОД. В состав системы управления и мониторинга проектируемой ИТ-инфраструктуры должны входить следующие подсистемы:

1) Подсистема комплексного мониторинга, предназначенная для автоматизации деятельности по сбору данных о состоянии, диагностике, настройке ИТ-средств, ИТ-систем и технологических процессов, а так же первичной настройке данных о состоянии их функционирования. В состав Подсистемы комплексного мониторинга должны входить следующие компоненты:

Мониторинг состояния вычислительной инфраструктуры; Мониторинг состояния сетевой инфраструктуры; Мониторинг инженерной инфраструктуры Интегрированный мониторинг (мониторинг

технологических процессов); Мониторинг и управление компонентами виртуальной

инфраструктуры (обеспечение требуемых параметров производительности для приложений).

5.2.3.2.2. Требования к режимам функционирования проектируемой ИТ-инфраструктуры

Проектируемая ИТ-инфраструктура должна функционировать в штатном режиме с возможностью останова отдельных компонентов ИТ-инфраструктуры без прекращения работы Системы в целом.

60

Штатный режим предполагает нормальное функционирование и доступность всех компонентов ИТ-инфраструктуры.

Останов компонентов Системы предполагает разовый или периодический плановый или внеплановый (аварийный) останов одной или нескольких компонентов.

В ходе выполнения работ по техническому проектированию ИТ-инфраструктуры возможно расширение перечня режимов функционирования для реализации разрабатываемых технических решений и выполнения других требований настоящего Технического задания.5.2.3.2.3. Требования к надежности проектируемой ИТ-инфраструктуры

Надежность проектируемой ИТ-инфраструктуры Системы должна обеспечиваться архитектурой используемых технических решений, техническим и программным обеспечением.

В ходе выполнения работ по техническому проектированию ИТ-инфраструктуры должны быть определены требования к надежности отдельных компонентов проектируемой ИТ-инфраструктуры и способы их обеспечения.

Надежность в части технического обеспечения проектируемой ИТ-инфраструктуры должно обеспечиваться с использованием технических средств повышенной отказоустойчивости и их структурным резервированием.

Надежность в части программного обеспечения проектируемой ИТ-инфраструктуры должна обеспечиваться использованием программных средств кластеризации, дублирования и распределения нагрузки, а также средствами резервного копирования.5.2.3.2.4. Требования к объектам обследования и проектирования

Объектами обследования и проектирования ИТ-инфраструктуры являются Центральный Аппарат, ЦОД, РЦОД, два типовых Региональных отделения Фонда, один типовой Филиал Регионального отделения Фонда, один Уполномоченный представитель, перечень которых определяется до заключения Контракта. Число объектов не должно превышать 4 (четыре)5.2.3.2.5. Перспективы развития ИТ-инфраструктуры

Проектирование ИТ-инфраструктуры должно осуществляться с учетом последующего развития и модернизации как ИТ-инфраструктуры в целом, так и развития функциональности отдельных подсистем на период 3 года.

Средства Системы комплексного мониторинга, должны обеспечивать возможность расширения контура мониторинга и включения в него вновь создаваемых и модернизируемых ИТ-средств.

61

Датой завершения Работы по модернизации ППО Системы, проведению испытаний и проведению технического проектирования ИТ-инфраструктуры считается дата:

1) утверждения Заказчиком документа «Протокол проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах»;

2) утверждения Заказчиком документы технического проекта на ИТ-инфраструктуру.

Работа по модернизации ППО Системы, проведению испытаний и проведению технического проектирования ИТ-инфраструктуры считается ненадлежащим образом выполненной в случае, если Заказчиком в адрес Исполнителя более чем 2 (два) раза официально направлялся мотивированный отказ от утверждения документов по этапу.

После завершения Работы по модернизации ППО Системы, проведению испытаний и проведению технического проектирования ИТ-инфраструктуры Исполнитель передает Заказчику для утверждения Акт о приемке выполненных работ за этап в порядке и сроки, указанные в Контракте.

5.3. Работы по проведению обследования и формированию требований к защите информации

5.3.1.Работы по проведению обследования существующей системы информационной безопасности

В рамках работы по формированию требований к защите информации должны быть проведены работы по обследованию типовых объектов Фонда (ЦОД, РЦОД, Центральный Аппарат, два типа Региональных отделений Фонда, один типовой Филиал Регионального отделения Фонда, один Уполномоченный представитель. Конкретные объекты обследования утверждаются Заказчиком заранее, и вносятся в Государственный Контракт.) и сбору информации о процессах обработки защищаемой информации, методах и способах её защиты:

1) цели, правовые основания и объемы обрабатываемой в Системе конфиденциальной информации, включая персональные данные;

2) источники получения конфиденциальной информации (основания для получения);

3) «каналы» передачи конфиденциальной информации третьим лицам (основания для передачи);

4) подразделения, задействованные в процессах обработки и защиты конфиденциальной информации;

62

5) действующие внутренние документы Заказчика, регламентирующие процессы обработки и защиты конфиденциальной информации;

6) реализованные организационные и технические мероприятия по защите информации;

7) внедрённые средства (меры) защиты информации.При выполнении работ должны также использоваться результаты,

полученные по результатам выполнения работы, приведенной в п. 5.1.3 настоящего Технического задания.

Результатом работы по проведению обследования существующей системы информационной безопасности является утвержденный документ «Отчет об обследовании существующей системы информационной безопасности». Отчет об обследовании существующей системы информационной безопасности должен содержать:

1) состав конфиденциальной информации, включая ПДн, обрабатываемых в рамках автоматизированной обработки;

2) категории работников, участвующие в обработке конфиденциальной информации;

3) инфраструктура передачи конфиденциальной информации по каналам передачи данных;

4) структура технологического процесса обработки конфиденциальной информации на типовых объектах Заказчика, технология и организация информационного взаимодействия типовых объектов Заказчика в рамках модернизируемой Системы;

5) оценка степени соответствия процессов обработки конфиденциальной информации требованиям законодательства в сфере персональных данных;

6) состав имеющихся организационно-распорядительных документов в части обработки и защиты информации;

7) архитектура существующей системы защиты информации, состав имеющихся технических мер (средств), используемых для защиты информации у Заказчика.

Отчет об обследовании существующей системы информационной безопасности является опорным документом для выполнения работ на следующих этапах проектирования КСОИБ.

В срок не позднее 20 (двадцать) рабочих дней с даты начала работ по проведению обследования существующей системы информационной безопасности Исполнитель направляет документ «Отчет об обследовании существующей системы информационной безопасности» Заказчику для утверждения. Указанный документ направляется в бумажной форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации. Второй экземпляр утвержденного документа в бумажной

63

форме Заказчиком возвращается Исполнителю в срок не более 10 (десяти) рабочих дней с даты утверждения.


Повторное рассмотрение Заказчиком Отчета об обследовании существующей системы информационной безопасности осуществляется в порядке, описанном в настоящем пункте.

5.3.2.Работы по моделированию угроз безопасности информации и определению класса защищённости

В рамках выполнения работы по моделированию угроз безопасности информации и определению класса защищённости должно быть проведено:

1) моделирование угроз безопасности защищаемой информации, обрабатываемой в модернизируемой Системе;

2) моделирование нарушителей безопасности защищаемой информации, обрабатываемой в модернизируемой Системе;

3) определение необходимого уровня защищенности ПДн и класса защищённости модернизируемой Системы (как государственной информационной системы);

4) актуализация «Концепции обеспечения информационной безопасности Фонда социального страхования Российской Федерации».

Результатами работы по моделированию угроз безопасности информации и определению класса защищённости являются следующие утвержденные Заказчиком документы:

1) Модель нарушителя безопасности информации;2) Модель угроз безопасности информации;3) проекты Актов определения уровня защищенности ИСПДн и

класса защищённости Системы;4) Концепция обеспечения информационной безопасности Фонда

социального страхования Российской Федерации.В срок не позднее 20 (двадцать) рабочих дней с даты начала работ по

моделированию угроз безопасности информации и определению класса защищённости модернизируемой Системы Исполнитель направляет указанные документы Заказчику для утверждения. Указанные документы направляются в бумажной форме в 2 (двух) экземплярах, а Модель нарушителя безопасности информации и Модель угроз безопасности информации в 3 (трех) экземплярах и в электронном виде на машинном

64

носителе информации. Вторые (третьи) экземпляры утвержденных документов в бумажной форме Заказчиком возвращаются Исполнителю в срок не более 10 (десяти) рабочих дней с даты их утверждения.

Заказчик в срок не более 10 (десяти) рабочих дней с даты получения от Исполнителя указанных документов обязан их утвердить либо направить Исполнителю мотивированный отказ от их утверждения с изложением причин отказа и выявленных недостатков. Исполнитель обязан устранить выявленные недостатки в срок не более 5 (пяти) рабочих дней с даты поступления письменного отказа Заказчика либо направить Заказчику отказ в доработке указанных документов с изложением причин отказа.

Повторное рассмотрение Заказчиком документов осуществляется в порядке, описанном в настоящем пункте.

Далее Модель нарушителя безопасности информации и Модель угроз безопасности информации согласовывается Заказчиком с ФСБ России и ФСТЭК России в пределах установленных им полномочий. Исполнитель подготавливает необходимые для согласования проекты писем и сопроводительных документов.

5.3.3.Работы по разработке технического задания на создание КСОИБ

В рамках выполнения работы по разработке технического задания на создание КСОИБ должны быть определены актуальные требования по защите информации в соответствии с нормами законодательства Российской Федерации в области защиты информации, требованиями ФСТЭК России и ФСБ России.

Требования по защите информации должны быть сформированы с учетом актуальных угроз и нарушителей безопасности информации, определенных в Модели угроз и Модели нарушителя безопасности информации, разработанных в рамках исполнения п.5.3.2 настоящего Технического задания.

Результатами работы по разработке технического задания на создание КСОИБ являются следующие документы:

1) Технические задание на создание КСОИБ;2) Частные технические задания на создание подсистем КСОИБ.

Техническое задание на создание КСОИБ и Частные технические задания на создание подсистем КСОИБ должны быть согласованы с ФСБ России и ФСТЭК России в пределах установленных им полномочий.

В срок не позднее 20 (двадцати) рабочих дней с даты начала работ по разработке технического задания на создание КСОИБ Исполнитель направляет указанные документы Заказчику для утверждения. Указанные документы направляются в бумажной форме в 3 (трех) экземплярах и в электронном виде на машинном носителе информации.

65



Датой завершения Работы по проведению обследования и формированию требований к защите информации считается дата утверждения Заказчиком документов, разработанных по результатом данной работы.

Работа по проведению обследования и формированию требований к защите информации считается ненадлежащим образом выполненной в случае, если Заказчиком в адрес Исполнителя более чем 2 (два) раза официально направлялся мотивированный отказ от утверждения документов по этапу.

После завершения Работы по проведению обследования и формированию требований к защите информации Исполнитель передает Заказчику для утверждения Акт о приемке выполненных работ за этап в порядке и сроки, указанные в Контракте.

5.4. Работы по техническому проектированию КСОИБ

5.4.1.Работы по разработке документации на КСОИБВ рамках работ по техническому проектированию КСОИБ должны

быть разработаны типовые проектные решения, используемые для создания КСОИБ на типовых объектах Фонда.

Состав подсистем КСОИБ, разрабатываемых в рамках выполнения работ по техническому проектированию КСОИБ, должен соответствовать требованиям, приведенным в п. 5.4.1.1-5.4.1.4 настоящего Технического задания.

Проектирование КСОИБ должно предусматривать выбор и согласование с Заказчиком состава технических решений и средств для обеспечения оптимального построения КСОИБ (включая интегрированные в прикладное ПО функции защиты информации), а также разработку документов технического проекта на КСОИБ.

Также при проектировании КСОИБ следует учитывать:1) необходимость сегментации обрабатываемой информации, с

выделением:

66

- закрытого сегмента, в котором располагаются базы данных, серверы приложений, инфраструктурные сервисы модернизируемой Системы. Сотрудники Фонда взаимодействуют с данным сегментом;

- сегмента внешнего взаимодействия (открытого контура, DMZ), предназначенного для обеспечения межведомственного электронного взаимодействия, а также для работы внешних пользователей Системы;

- сегмента КСОИБ - сегмента, в котором расположена серверная часть Комплексной системы обеспечения информационной безопасности;

- сегмента инфраструктуры доступа - для подключения территориальных органов Фонда и доступа сотрудников Фонда к модернизируемой Системе.

2) проектные решения КСОИБ должны предусматривать:- наличие компонентов централизованного управления для

каждой подсистемы КСОИБ, обеспечивающих единство управления и политик ИБ для средств защиты информации, образующих подсистему. Компоненты централизованного управления должны размещаться на выделенных АРМ администраторов КСОИБ;

- обеспечение интеграции всех подсистем КСОИБ, компонентов ИТ-инфраструктуры и прикладного ПО с Подсистемой мониторинга событий и расследования инцидентов ИБ, Подсистемой контроля защищённости;

- минимизацию штата обслуживающего персонала Заказчика, обеспечивающего эксплуатацию и администрирование КСОИБ;

- интеграцию подсистем друг с другом как минимум в части централизованного сбора, корреляции и интерпретации событий и инцидентов ИБ, а также централизованного мониторинга защищенности ИТ-инфраструктуры, системного и прикладного ПО. Взаимодействие подсистем КСОИБ друг с другом должно обеспечивать выполнение единых политик ИБ для всей Системы;

- обеспечение взаимодействия подсистем КСОИБ с прикладными компонентами Системы как минимум в части идентификации и аутентификации пользователей. Детализированная структура информационного взаимодействия подсистем КСОИБ должна быть определена на этапе проектирования КСОИБ;

- возможность обмена данными о компьютерных атаках с главным центром ГосСОПКА.

67

Результатами работы по разработке документации на КСОИБ являются следующие утвержденные Заказчиком документы:

1) Описание комплекса технических средств Комплексной системы обеспечения информационной безопасности;

2) Описание программного обеспечения Комплексной системы обеспечения информационной безопасности;

3) Пояснительная записка к техническому проекту на создание Комплексной системы обеспечения информационной безопасности;

4) Ведомость покупных изделий Комплексной системы обеспечения информационной безопасности;

5) Схема структурная комплекса технических средств Комплексной системы обеспечения информационной безопасности;

6) Схема функциональной структуры Комплексной системы обеспечения информационной безопасности;

7) Программа и методика испытаний Комплексной системы обеспечения информационной безопасности.

В срок не позднее 60 (шестьдесят) рабочих дней с даты начала работ по разработке документации на КСОИБ Исполнитель направляет указанные документы Заказчику для утверждения. Указанные документы направляются в бумажной форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации. Вторые экземпляры утвержденных документов в бумажной форме Заказчиком возвращаются Исполнителю в срок не более 10 (десяти) рабочих дней с даты их утверждения.



5.4.1.1. Общие требования к проектированию КСОИБ

В качестве объектов защиты модернизируемой Системы рассматриваются:

1) обрабатываемая информация ограниченного доступа, которая содержит сведения, составляющие:- персональные данные субъектов персональных данных,

включая сведения о состоянии здоровья, диагнозе, результатах обследования, фактах обращения за медицинской помощью;

- иную конфиденциальную информацию Фонда;68

2) данные о конфигурации и настройке компонентов ИТ-инфраструктуры, системного и прикладного ПО, а также подсистем КСОИБ;

3) идентификационная и аутентификационная информация внешних пользователей, сотрудников Фонда, администраторов Системы;

4) технические средства Системы;5) программные средства Системы;6) методическое обеспечение Системы (информационные

технологии).Модернизируемая Система классифицируется как Государственная

информационная система (ГИС), а также как информационная система персональных данных (ИСПДн).

Предварительно Система классифицируется как ГИС 1-го класса и ИСПДн 1-го уровня защищенности.

Классификация Системы должна быть уточнена в ходе выполнения п.5.3.2 настоящего Технического задания.

Состав проектируемых организационно-технических мер защиты Системы должен соответствовать требованиям нормативных и методических документов ФСТЭК России и ФСБ России для соответствующих классов.

Проектные решения должны предполагать реализацию требуемых мер защиты информации на всех объектах деятельности Фонда, на которых функционируют технические и программные средства модернизируемой Системы:

1) на объектах основного и резервного Центров обработки данных Фонда;

2) на объектах центрального аппарата Фонда;3) на объектах региональных подразделений Фонда.

Проектные решения должны предполагать реализацию требуемых мер защиты информации на всех уровнях обработки защищаемой информации:

1) на уровне базовой ИТ-инфраструктуры (вычислительная инфраструктура, инфраструктура хранения информации, система резервного копирования, система виртуализации, базовые ИТ-сервисы, электронная почта, СУБД, система ИТ-управления);

2) на уровне сетей передачи данных;3) на уровне системного и связующего ПО;4) на уровне прикладного программного обеспечения Системы;5) на уровне АРМ конечных пользователей;

при взаимодействии (интеграции) Системы со сторонними информационными системами.

Состав и содержание мер защиты информации должны быть сформированы на базе требований Технического задания на КСОИБ и

69

Частных технических заданий на подсистемы КСОИБ, разработанных в рамках исполнения п.5.3.3 настоящего Технического задания.

5.4.1.2. Требования к составу и структуре проектируемой Комплексной системы обеспечения информационной безопасности

Для реализации требуемых мер защиты информации должны быть спроектированы следующие подсистемы в составе КСОИБ:

1) Подсистема защиты от НСД;2) Подсистема криптографической защиты каналов передачи

данных;3) Подсистема криптографической защиты хранимой информации;4) Подсистема управления телекоммуникационным

оборудованием;5) Подсистема межсетевого экранирования;6) Подсистема обнаружения/предотвращения вторжений и

компьютерных атак;7) Подсистема антивирусной защиты;8) Подсистема контроля защищённости;9) Подсистема защиты среды виртуализации;10) Подсистема мониторинга событий и расследования инцидентов

ИБ;11) Подсистема сервисов формирования и проверки электронных

подписей;12) Подсистема защиты от утечек конфиденциальной информации;13) Подсистема управления доступом к информационным ресурсам;

Состав проектируемых подсистем защиты информации может быть расширен по согласованию с Заказчиком на этапе разработки Технического задания на создание КСОИБ (п.5.3.3 настоящего Технического задания) с учетом классификации Системы и состава актуальных угроз и нарушителей безопасности информации на основании Модели угроз и Модели нарушителя безопасности информации.

Проектируемые подсистемы должны включать в себя решения, реализуемые на следующих уровнях Фонда:

1) центры обработки данных;2) сеть передачи информации;3) территориальные органы Фонда.

Для территориальных органов Фонда должны быть разработаны решения для каждого типового объекта.

Должна быть предусмотрена централизация управления и политик ИБ из единого центра для всех подсистем КСОИБ, независимо от размещения на тех или иных объектах Фонда.

При проектировании подсистем КСОИБ должны использоваться серийно выпускаемые решения в кластерном (отказоустойчивом)

70

исполнении, имеющие действующие сертификаты соответствия актуальным требованиям ФСТЭК России и ФСБ России (в соответствии с областью применимости). Классы сертификации средств защиты должны соответствовать требованиям, предъявляемым в руководящих документах ФСТЭК России и ФСБ России.

Должны быть проработаны требования относительно необходимости и классов сертификации прикладного ПО Системы.

5.4.1.3. Требования к функционированию проектируемой КСОИБ

К проектным решениям КСОИБ предъявляются следующие требования:

1) КСОИБ должна функционировать в круглосуточном автоматическом режиме «24x7»;

2) КСОИБ должна обеспечивать возможность восстановления функционирования в полном объеме при сбоях силами штатного обслуживающего персонала в срок не более 6 часов, в том числе путем использования оборудования из состава ЗИП и ПО из резервных копий;

3) должно обеспечиваться периодическое полное резервное копирование конфигурации подсистем КСОИБ;

4) должно обеспечиваться периодическое резервное копирование журналов безопасности подсистем КСОИБ, а также автоматическая передача информации из них в online-режиме в централизованную подсистему мониторинга событий и расследования инцидентов ИБ;

5) в случае возникновения сбоев функционирования подсистем КСОИБ должна обеспечиваться возможность восстановления их данных и конфигурации.

5.4.1.4. Требования к проектируемым подсистемам КСОИБ

5.4.1.4.1. Требования к Подсистеме защиты от НСД

Подсистема защиты от НСД (далее – «ПЗНСД») должна обеспечивать защиту от НСД на серверах и АРМ пользователей Заказчика, а также на уровне прикладного ПО Системы.

Подсистема должна обеспечивать: идентификацию и аутентификацию пользователей:

идентификацию и аутентификацию пользователей, являющихся работниками Фонда (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей при доступе к компонентам объекта защиты;

71

аутентификацию пользователя с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации – определенной комбинации указанных средств;

однозначное сопоставления идентификатора пользователя с запускаемыми от его имени процессами;

многофакторную (двухфакторную) аутентификацию для удаленного доступа к объекту защиты с правами привилегированных и не привилегированных учетных записей (администраторов) с использованием сети связи общего пользования, в том числе сети «Интернет»;

многофакторную (двухфакторную) аутентификацию для локального доступа к объекту защиты с правами привилегированных учетных записей (администраторов);

реализацию методов управления доступом, типов и правил разграничения доступа, включающую: выбор одного или комбинацию методов управления доступом

(дискреционный и мандатный метод управления доступом); типы доступа (чтение, запись, удаление, выполнение и иные

операции, разрешенные к выполнению); правила разграничения доступа реализуются на основе

установленных списков доступа или матриц доступа (управление доступом субъектов к техническим средствам, устройствам, внешним устройствам и объектам, создаваемым общесистемным (общим) программным обеспечением, производится при входе в информационную систему).

разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование компонентов объекта защиты;

назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование компонентов объекта защиты, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями;

72

блокирование сеанса доступа к объекту защиты послу установленного времени бездействия пользователя или по его запросу: блокирование сеанса доступа пользователя после времени

бездействия (неактивности) пользователя до 15 минут; после блокировки сеанса не должна отображаться информация

сеанса пользователя (в том числе использование «хранителя экрана», гашение экрана или иные способы).

исключение несанкционированного доступа к программным и (или) техническим ресурсам средств вычислительной техники объекта защиты на этапе их загрузки: блокирование попыток несанкционированной загрузки

нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;

контроль доступа пользователей к процессу загрузки операционной системы;

контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники;

доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения.

установку только разрешенного к использованию программного обеспечения или его компонентов и осуществляется только от имени администратора и с учетом перечня ПО, разрешенных к установке («белый список»), или ПО, запрещенных к установке («черный список»);

контроль использования технологий беспроводного доступа, включающий: ограничение на использование технологий беспроводного

доступа (беспроводной передачи данных, беспроводного подключения оборудования к сети, беспроводного подключения устройств к средству вычислительной техники) в соответствии с задачами (функциями) компонентов объекта защиты, для решения которых такой доступ необходим;

мониторинг и контроль применения технологий беспроводного доступа на предмет выявления несанкционированного использования технологий беспроводного доступа к объекту защиты;

73

контроль беспроводного доступа пользователей (процессов запускаемых от имени пользователей) к объекту защиты;

обеспечение аутентификации подключаемых с использованием технологий беспроводного доступа устройств;

исключение возможности изменения пользователем настроек точек беспроводного доступа.

информация о событиях ИБ, регистрируемых Подсистемой защиты от НСД, должна передаваться через средства интеграции в Подсистему мониторинга событий и расследования инцидентов информационной безопасности (ПМСИБ) для хранения, корреляции, анализа и реагирования;

возможность формирования различных отчетов о состоянии Подсистемы защиты от НСД, включая следующие сведения: об установленном программном обеспечении; о настройках защитных механизмов; о перечне защищаемых ресурсов; о пользователях системы и их правах; о личных идентификаторах пользователей; о событиях, записанных в журналах средства защиты от НСД.

возможность взаимодействия со службой каталога Acive Directory, используя последнюю для подтверждения предоставляемых учетных данных, в части авторизации пользователя аутентификация в каталоге Active Directory должна быть сквозной, осуществляться средствами протокола Kerberos 5, полные учетные данные пользователя не должны храниться в базе данных, не должны передаваться по сети в открытом виде.

Детализированные требования к Подсистеме защиты информации от НСД как на уровне ИТ-инфраструктуры Системы, так и на уровне прикладного ПО должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

Требования по сертификации средств защиты от НСД также должны быть определены на этапе разработки Технического задания на КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.2. Требования к Подсистеме криптографической защиты каналов передачи данных

Подсистема криптографической защиты каналов передачи данных (далее – «ПКЗКПД») предназначена для защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы

74

контролируемой зоны. Подсистема должна обеспечивать централизованное управление всеми компонентами подсистемы, расположенными на объектах Фонда из единого центра управления сетью (далее – «ЦУС»).

Подсистема должна обеспечивать: криптографическую защиту каналов связи при удаленном доступе

субъекта доступа к объекту доступа с использованием информационно-телекоммуникационных сетей, в том числе сеть «Интернет»;

применение криптографических методов в соответствии с законодательством РФ;

защищенный удаленный доступ к ресурсам корпоративной информационной сети;

передачу информации о событиях ИБ, регистрируемых программно-техническими средствами подсистемы в ПМСИБ для последующего анализа и корреляции.

интеграцию с подсистемой межсетевого экранирования.При проектировании подсистемы должно быть учтено, что

программно-технические средства, входящие в нее, должны быть сертифицированы на соответствие требованиям ФСБ России к средствам криптографической защиты информации.

Детализированные требования к Подсистеме криптографической защиты каналов передачи данных должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

Требования по сертификации программно-технических средств криптографической защиты каналов также должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.3. Требования к Подсистеме криптографической защиты хранимой информации

Подсистема криптографической защиты хранимой информации (далее – «ПКЗХИ») предназначена для исключения возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных ИС.

Подсистема должна обеспечивать: защиту информации на рабочих станциях и серверах от доступа

пользователей, не имеющих соответствующих прав; защиту информации, хранимой в СУБД; защиту информации на носителях при их извлечении из

технических средств или утере;75

защиту информации, хранимой на мобильных устройствах; передачу информации о событиях ИБ, регистрируемых программно-

техническими средствами подсистемы в ПМСИБ для последующего анализа и корреляции.

Детализированные требования к Подсистеме криптографической защиты хранимой информации должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

Требования по сертификации программных и программно-технических средств криптографической защиты хранимой информации также должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.4. Требования к Подсистеме управления телекоммуникационным оборудованием

Подсистема управления телекоммуникационным оборудованием (далее – «ПУТКО») предназначена для централизованного контроля конфигураций телекоммуникационного оборудования.

Подсистема должна обеспечивать: централизованное изменение конфигураций

телекоммуникационного оборудования; контроль конфигураций телекоммуникационного оборудования; контроль доступа привилегированных пользователей

(администраторов) к телекоммуникационному оборудованию; передачу информации о событиях ИБ, регистрируемых программно-

техническими средствами подсистемы в ПМСИБ для последующего анализа и корреляции.

Детализированные требования к Подсистеме управления телекоммуникационным оборудованием должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.5. Требования к Подсистеме межсетевого экранирования

Подсистема межсетевого экранирования (далее – ПМЭ) должна обеспечивать защиту от несанкционированного доступа к информационным ресурсам модернизируемой Системы на сетевом уровне. Подсистема должна обеспечивать фильтрацию трафика между сегментами обработки защищаемой информации, а также между объектами Заказчика. Подсистема должна обеспечивать эффективное отделение сетей Заказчика от сетей общего пользования. Подсистема должна управляться из единого ЦУС в рамках единых политик ИБ.

Подсистема должна обеспечивать:

76

фильтрацию информационных потоков в соответствии с установленными правилами управления потоками;

разрешение передачи информации в между сегментами обработки защищаемой информации только по установленному маршруту;

разграничение сетевого доступа между различными сегментами обработки защищаемой информации;

снижение вероятности атак на защищаемые информационные ресурсы из внешних информационных сетей.управление информационными потоками при передаче информации в объекте защиты

блокировку передачи защищаемой информации через сеть «Интернет» по незащищенным каналам передачи данных, сетевые запросы и трафик, несанкционированно исходящие из защищаемых сегментов и (или) входящие в защищаемые сегменты;

передачу информации о событиях ИБ, регистрируемых программно-техническими средствами подсистемы в ПМСИБ для последующего анализа и корреляции;

интеграцию с подсистемой криптографической защиты каналов передачи данных.

Детализированные требования к Подсистеме межсетевого экранирования должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

Программно-технические средства подсистемы должны быть сертифицированы на соответствие требованиям ФСТЭК России.

Требования по сертификации программно-технических средств межсетевого экранирования также должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.6. Требования к Подсистеме обнаружения / предотвращения вторжений и компьютерных атак

Подсистема обнаружения / предотвращения вторжений и компьютерных атак (далее – ПОВ) должна обеспечивать контроль сетевого трафика на различных уровнях ИТ-инфраструктуры Заказчика с целью выявления аномалий и предотвращения попыток вторжений и атак:

на уровне периметра сети; на уровне беспроводных соединений; на уровне web-приложений;

77

на уровне баз данных.Подсистема должна включать в свой состав следующие классы

средств: средства выявления/противодействия DDoS-атакам; средства IDS/IPS; средства защиты web-приложений; средства защиты баз данных.

Информация о выявленных атаках, аномалиях и иных событиях ИБ, регистрируемых средствами ПОВ, должна передаваться в ПМСИБ для последующего анализа и корреляции.

Детализированные требования к Подсистеме обнаружения / предотвращения вторжений и компьютерных атак и отдельным ее средствам должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

Требования по сертификации программно-технических средств ПОВ также должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.6.1. Требования к ПОВ на уровне периметра сети

На уровне периметра сети ПОВ должна обеспечивать защиту от сетевых атак, направленных на:

повышение привилегий; получение неавторизованного доступа к ИТ-инфраструктуре и

приложениям Заказчика; несанкционированное блокирование доступа; запуск вредоносного программного обеспечения; замещение паразитным трафиком всей полезной полосы

пропускания каналов передачи информации.На уровне периметра сети ПОВ должна обеспечивать:

защиту от направленных и распределенных атак с возможностью создания собственных правил;

возможность обнаружения работы несанкционированного ПО (spyware, программ удаленного управления, троянов и т.п.) и возможность его блокирования;

выявление аномалий протоколов; возможность ограничения доступа по произвольным протоколам

стека TCP/IP на сетевом и транспортном уровне в соответствии с требованиями политики безопасности;

мониторинг трафика, циркулирующего на канальном, сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем с возможностью блокирования соответственно

78

фреймов, пакетов, сегментов или датаграмм на каждом из уровней анализа;

поддержку работы в пассивном режиме как при копировании части трафика (span, tap, IDS), так и при включении в разрыв сетевого соединения (inline, IPS);

анализ информации в заданных VLAN при инспекции трафика на транковых портах – например, возможность выделения из набора данных только тех VLAN, которые должны подвергаться анализу, или наоборот, активацию инспекции для всего транка, без учета номеров VLAN;

анализ трафика должен выполняться с учетом состояния контекста соединения (аналог stateful inspection);

возможность детектирования по заданным сигнатурам для разных контекстов прикладных протоколов;

оповещение администратора безопасности об обнаруженных атаках как посредством направления уведомления на единую консоль управления и мониторинга, так и настраиваемыми сообщениями по электронной почте;

возможность передачи информации в главный центр ГосСОПКА; управление, мониторинг и администрирование должны выполняться

централизованно, через единую графическую консоль управления и мониторинга.

5.4.1.4.6.2. Требования к ПОВ на уровне web-приложений

ПОВ на уровне web-приложений должна обеспечивать защиту серверов приложений от атак, реализуемых на прикладном уровне и направленных на нарушение целостности, доступности информационных ресурсов и правил разграничения доступа к защищаемым ресурсам.

ПОВ на уровне web-приложений должна обеспечивать: определение и фильтрацию атак на web-приложения, в том числе:

подбор паролей учетных записей к службам и сервисам; подмена и компрометация файлов сookie; подделка межсайтовых запросов (CSRF); межсайтовый скриптинг (XSS); поиск скрытых страниц и директорий; атака на протоколы прикладного уровня; внедрение SQL команд; атаки на web-сервер и серверную операционную систему; атаки на web-сервисы;

79

оповещение и блокировку запросов, которые: отличаются по составу от нормальных ранее поступивших

запросов; пытаются использовать известные и неизвестные уязвимости; поступают от вредоносных и мошеннических источников;

возможность обучения и настройки для определения штатного режима работы информационного ресурса;

создание сигнатур для обнаружения и блокировки попыток эксплуатации уязвимостей web-приложений официально не закрытых производителем («виртуальный патчинг»);

наличие преднастроенных и возможность создания пользовательских отчетов;

наличие централизованной системы управления; возможность развертывания в режиме inline, пропуская через себя

инспектируемый трафик.

5.4.1.4.6.3. Требования к ПОВ на уровне баз данных

ПОВ на уровне баз данных должна обеспечивать безопасность серверов баз данных от целенаправленных атак и/или попыток получения несанкционированного доступа к базам данных.

ПОВ на уровне баз данных должна решать задачи ограничения доступа и контроля выполнения команд в зависимости от полномочий пользователей и процессов в соответствии с их функциональными обязанностями, в зависимости от времени, IP-адреса, операции, а также обеспечивать защиту данных и разграничение полномочий внутри СУБД с возможностью ограничения доступа к данным защищаемых приложений, в том числе со стороны администратора СУБД.

ПОВ на уровне баз данных должна обеспечивать: идентификацию пользователей, осуществляющих запросы к базам

данных как напрямую, так и через промежуточные приложения, направляющие запросы от имени единой (сервисной) учетной записи (connection pooling);

идентификацию любых неправомерных действий пользователей путем сопоставления их текущих запросов с данными, хранящимися в профилях;

обнаружение работающих в защищаемом сегменте сети серверов СУБД;

проведение оценки конфигураций серверов СУБД; осуществление поведенческой оценки запросов;

80

формирование отчетов для проведения аудита с возможностью экспортировать данные в различные форматы;

оповещение администратора обо всех действиях пользователей, не совместимых с их профилями, привилегированных SQL-операциях, нарушениях политик сетевого доступа;

возможность включения как inline (в разрыв соединения между сервером приложений и СУБД), так и через span-порт для осуществления наблюдения и обучения.

5.4.1.4.7. Требования к Подсистеме антивирусной защиты

Подсистема антивирусной защиты (далее – ПАВЗ) должна обеспечивать предотвращение несанкционированной модификации программного кода средств защиты, системного и прикладного программного обеспечения серверов, АРМ пользователей (включая администраторов), а также обрабатываемой информации, со стороны вредоносного программного обеспечения.

При защите виртуальных серверов и АРМ ПАВЗ должна обеспечивать:

поддержку системы серверной виртуализации; обеспечение блокирования, обезвреживания и удаления

вредоносного ПО; обеспечение резидентного антивирусного мониторинга; возможность проверки всех виртуальных машин по заранее

заданному расписанию; возможность хранения резервных копий удаленных файлов; вынесение антивирусного сканирования и других ресурсоемких

задач со всех гостевых виртуальных машин на отдельную машину защиты;

обеспечение автоматического обнаружения и подключения к функционирующей машине защиты, в том числе находящейся на другом хосте, в случае недоступности основной машины защиты;

обеспечение непрерывности файловой защиты в период кратковременной недоступности машины защиты посредством журналирования всех файловых операций на защищаемой виртуальной машине в период недоступности машины защиты, и выполнение автоматического сканирования всех изменений после восстановления доступа;

сохранение информации о проверенных файлах на машине защиты, позволяющей исключить повторную проверку одних и тех же файлов, находящихся на разных виртуальных машинах;

81

обеспечение централизованного обновления антивирусных баз с возможностью хранения их части на машине защиты, а также откат к предыдущему состоянию антивирусных баз в случае сбоя;

поддержка централизованного управления.При защите аппаратных серверов и АРМ ПАВЗ должна обеспечивать:

резидентный антивирусный мониторинг; эвристический анализатор, позволяющий распознавать и

блокировать ранее неизвестные вредоносные программы. антивирусное сканирование по команде пользователя или

администратора и по расписанию; запуск задач по расписанию и/или сразу после загрузки

операционной системы; антивирусную проверку и лечение файлов в архивах форматов RAR,

ARJ, ZIP, CAB; защиту электронной корреспонденции от вредоносных программ с

проверкой входящего и исходящего трафика на следующих протоколах: IMAP, SMTP, POP3 – независимо от используемого почтового клиента;

защиту web-трафика – проверку объектов, поступающих на компьютер пользователя по протоколам HTTP, FTP, в том числе с помощью эвристического анализа;

распознавание и блокировка фишинг-сайтов; проверку трафика ICQ и MSN для обеспечения безопасности работы

с интернет-пейджерами; защиту от еще не известных вредоносных программ на основе

анализа их поведения; поддержку работы с локальными репутационными сервисами; возможность ограничения привилегий исполняемых программ,

таких как запись в реестр, доступ к файлам и папкам. Автоматическое определение уровней ограничения на основании репутации программы;

наличие компонента, дающего возможность создания специальных правил, запрещающих установку и/или запуск программ. Компонент должен контролировать приложения как по пути нахождения программы, метаданным, контрольной сумме MD5;

осуществление контроля работы пользователя с внешними устройствами ввода/вывода по типу устройства;

ускорение процесса сканирования за счет пропуска объектов, состояние которых со времени прошлой проверки не изменилось;

82

запуск специальной задачи для обнаружения уязвимостей в приложениях, установленных на компьютере;

защита от удаленного несанкционированного управления сервисом приложения, а также защита доступа к параметрам приложения с помощью пароля, позволяющая избежать отключения защиты со стороны вредоносных программ, злоумышленников или неквалифицированных пользователей;

возможность настройки доверенных сайтов; блокировка баннеров и всплывающих окон, загружаемых с web-

страниц; гибкое управление использованием ресурсов компьютера для

обеспечения комфортной работы пользователей при выполнении сканирования файлового пространства;

возможность определения аномального поведения приложения с помощью анализа последовательности действий этого приложения. Возможность совершить откат действий вредоносного программного обеспечения при лечении;

осуществление контроля работы пользователя с сетью Интернет, в том числе явный запрет или разрешение доступа к ресурсам определенного характера, а также возможность блокировки определенного типа информации (аудио, видео и др.);

возможность задания правил для компонента запрета запуска приложений на базе заранее заданных категорий приложений, предоставляемых производителем программного обеспечения, а также для определенных пользователей из Active Directory;

возможность задания правил для компонента контроля работы с внешними устройствами по используемой шине, с возможностью создания списка доверенных устройств по их идентификатору и возможностью предоставления привилегий для использования внешних устройств определенным пользователям из Active Directory;

возможность предоставления отчета об обнаруженных уязвимостях; поддержка централизованного управления.

Информация о выявленных вредоносах и иных событиях ИБ, регистрируемых средствами Подсистемы антивирусной защиты, должна передаваться в ПМСИБ для последующего анализа и корреляции.

Детализированные требования к Подсистеме антивирусной защиты и отдельным ее средствам должны быть уточнены на этапе разработки

83

Технического задания на создание КСОИБ (п.5.3.3 настоящего Технического задания).

При создании ПАВЗ должны использоваться средства защиты, сертифицированные ФСТЭК России по требованиям безопасности информации. Требования к сертификации средств Подсистемы антивирусной защиты также должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.8. Требования к Подсистеме контроля защищённости

Подсистема контроля защищённости (далее – ПКЗ) предназначена для обеспечения должного уровня защищенности модернизируемой Системы путем реализации специализированных механизмов, обеспечивающих:

оценку уровня защищенности контролируемых узлов (активного сетевого оборудования, серверов, АРМ, иного оборудования и ППО);

предупреждение инцидентов информационной безопасности, связанных с использованием уязвимостей узлов;

минимизацию потенциального экономического и иного ущерба из-за недоступности узлов и потери критичной информации;

сокращение затрат на контроль изменений конфигураций узлов, управление уязвимостями и контроль соответствия стандартам.

Подсистема должна обеспечивать: сканирование контролируемых узлов в следующих режимах:

режим сетевого сканера, позволяющего обнаружить сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения;

режим анализа конфигурации, позволяющий оценивать безопасность настроек и конфигураций компонент информационных систем;

режим анализа соответствия требованиям, сформированным в технических проверках;

обнаружение и учет защищаемых ресурсов; анализ защищенности контролируемых узлов путем сканирования

входящих в их состав средств. Сканирование узла должно включать в себя сбор информации о составе программного и аппаратного обеспечения узла, наличии уязвимостей, текущих параметрах конфигурации безопасности узла;

принятие решений о соответствии или несоответствии узлов и Системы в целом требованиям безопасности информации;

84

генерацию отчетов о результатах сканирования и проведение оценки соответствия стандартам, а также доставку отчетов уполномоченным сотрудникам Заказчика;

регулярное централизованное обновление компонентов ПКЗ; централизованное управление компонентами ПКЗ;

Выполнение заданных функций ПКЗ должно обеспечиваться без установки на контролируемые сетевые узлы специального программного обеспечения (агентов). Для выполнения системного сканирования на контролируемом узле должна использоваться сервисная учетная запись, обладающая необходимым набором привилегий.

Информация о выявленных уязвимостях, регистрируемых средствами Подсистемы контроля защищенности, должна передаваться в ПМСИБ для последующего анализа и корреляции.

Детализированные требования к Подсистеме контроля защищенности и отдельным ее средствам должны быть уточнены на этапе разработки Технического задания на создание КСОИБ (п.5.3.3 настоящего Технического задания).5.4.1.4.9. Требования к Подсистеме защиты среды виртуализации

Подсистема защиты среды виртуализации (далее – «ПЗСВ») должна обеспечивать защиту от НСД и противодействие атакам, направленным на средства виртуализации (гипервизор), средства управления средой виртуализации, виртуальные машины, виртуальные сетевые ресурсы, хранилища данных виртуальных машин и средств виртуализации. Должна обеспечиваться защита как серверной виртуализации, так и виртуализации VDI (при использовании с модернизируемой Системе).

ПЗСВ должна обеспечивать: усиленную аутентификацию администраторов виртуальной

инфраструктуры и администраторов информационной безопасности;

защиту средств управления виртуальной инфраструктурой от НСД; защиту серверов виртуализации от НСД; контроль целостности конфигурации виртуальных машин и

доверенную загрузку; дискреционное и мандатное управление доступом; контроль доступа администраторов виртуальной инфраструктуры к

данным виртуальных машин; ограничение прав доступа администраторов виртуальных машин к

среде виртуализации; регистрацию событий, связанных с информационной

безопасностью;

85

контроль целостности и доверенную загрузку серверов виртуализации;

контроль целостности и защиту от НСД компонентов подсистемы; возможность контроля использования съемных носителей; контроль работы процессов в памяти и блокирование

несанкционированных обращений к памяти процессов; возможность отключения механизмов защиты в аварийных

ситуациях; механизм блокирования любого сетевого трафика со стороны

виртуальных машин к средствам управления виртуальной инфраструктурой;

централизованное управление компонентами ПЗСВ.Информация о выявленных событиях ИБ, регистрируемых

средствами Подсистемы защиты среды виртуализации, должна передаваться в ПМСИБ для последующего анализа и корреляции.

Детализированные требования к Подсистеме защиты среды виртуализации и отдельным ее средствам должны быть уточнены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

При создании ПЗСВ должны использоваться средства защиты, сертифицированные ФСТЭК России по требованиям безопасности информации. Требования к сертификации средств Подсистемы защиты среды виртуализации также должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.10. Требования к Подсистеме мониторинга событий и расследования инцидентов ИБ

Подсистема мониторинга событий и расследования инцидентов ИБ (далее – «ПМСИБ») предназначена для сбора и консолидации событий информационной безопасности с различных источников, входящих в состав модернизируемой Системы, их журналирования, архивирования, выявления корреляционных зависимостей между событиями, выявления инцидентов ИБ, информирования администраторов и аналитиков ИБ, подготовки отчетности по событиям и инцидентам ИБ в различных аналитических разрезах.

ПМСИБ должна обеспечивать: централизованный сбор и долгосрочное хранение журналов

событий ИБ, происходящих в ИТ-инфраструктуре и функциональных компонентах ППО;

агрегацию, автоматическое выделение событий, нарушающих политику информационной безопасности;

86

корреляцию зарегистрированных событий в режиме реального времени, учитывающую последовательности событий с заданными атрибутами за определенные промежутки времени и категории улов;

выявление инцидентов ИБ в режиме реального времени; возможность гибкой настройки правил корреляции и порогов

срабатывания для точной адаптации подсистемы под профиль информационной активности;

возможность кастомизации правил корреляций и запросов для поиска по архивам журналов;

увязку между собой результатов срабатывания нескольких правил корреляции для упрощения дальнейшего проведения анализа;

обновление правил корреляции для обнаружения новых угроз безопасности;

возможность разработки собственных коннекторов для сбора событий с неподдерживаемых по умолчанию источников;

возможность контроля канала связи между компонентами сбора и обработки, ограничивая полосу пропускания и задавая различные параметры для разных промежутков времени;

возможность гибкой настройки разграничения доступа к управлению подсистемой.

В части хранения данных ПМСИБ должна обеспечивать: автоматизация жизненного цикла хранения журналов

(автоматическое удаление журналов после указанного промежутка времени, в течение которого журналы могут понадобиться для проведения расследования);

возможность задания различного срока хранения журналов для событий, соответствующих определенным требованиям Заказчика;

возможность хранения журналов в исходном виде.В части оперативного оповещения и возможностей расследования

инцидентов ПМСИБ должна обеспечивать: отображение событий информационной безопасности от различных

источников и данных об обнаруженных инцидентах в единой консоли подсистемы;

обеспечение доказательной базы для расследования инцидентов информационной безопасности, в том числе с целю недопущения повторения атак и вредоносных действий выявленных типов;

формирование отчетности по различным параметрам; автоматизированную отправку уведомлений по электронной почте;

87

возможность настройки правил эскалации для групп или отдельных категорий пользователей.

В части взаимодействия с главным центром ГосСОПКА ПМСИБ должна обеспечивать:

формирование и поддержание в актуальном состоянии организационной и технической информацию о зоне ответственности сегмента ГосСОПКА;

получение, учет и обработку информации о компьютерных инцидентах из различных источников;

формирование карточек компьютерного инцидента (атаки) для предоставления информации главному центру ГосСОПКА и проведения мероприятий по анализу, расследованию и ликвидации последствий компьютерных инцидентов;

формирование и поддержание в актуальном состоянии данных об активах (информационных ресурсах) организации, используемом системном и прикладном программном обеспечении;

обмен информационными сообщениями с главным центром ГосСОПКА;

осуществление автоматизированного двустороннего взаимодействия с главным центром ГосСОПКА в части приема и передачи информации о зоне ответственности сегмента ГосСОПКА, активах, инцидентах, атаках и угрозах.

Детализированные требования к Подсистеме мониторинга событий и расследования инцидентов ИБ и отдельным ее средствам должны быть уточнены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.11. Требования к Подсистеме сервисов формирования и проверки электронных подписей

Подсистема сервисов формирования и проверки электронных подписей (далее – ПЭП) должна обеспечивать реализацию следующих ключевых функций:

в части формирования и проверки сертификатов ключей подписи: изготовление, приостановка действия и отзыв сертификатов ЭП,

предназначенных для формирования электронной подписи пользователями модернизируемой Системы;

ведение реестров сертификатов и пользователей сертификатов ЭП;

проверка статусов сертификатов ЭП; публикация списков отозванных сертификатов ЭП;

88

формирование штампов времени; в части формирования и проверки ЭП:

предоставление web-сервиса формирования и проверки ЭП в соответствии с W3C Recommendation (2007) «SOAP Version 1.2», опубликованного по протоколу HTTP;

проверка сертификатов ключей проверки ЭП на соответствие требованиям ФЗ-63 от 06.04.2011 «Об электронной подписи» и приказа ФСБ №795 от 27.12.2011 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи»;

проверка ЭП в формате PKCS#7; проверка ЭП в формате XMLDsig; формирование ЭП в формате XMLDsig; расширение ЭП до формата CAdES-T, CAdES-X Long Type. формирование и проверка усиленной неквалифицированной

электронной подписи Операторами Системы без использования клиентских компонент на АРМ;

в части управления ключевыми носителями информации: обеспечение централизованного управления ключевыми

носителями информации на протяжении всего их жизненного цикла;

регистрацию и первичную инициализацию ключевых носителей информации;

связывание ключевых носителей информации с учетными записями пользователей с передачей данных в ПУД;

блокирование ключевых носителей информации в случае утраты или по требованию;

разблокирование ключевых носителей информации при восстановлении доступа;

смену пароля (PIN-кода) ключевых носителей информации по требованию;

формирование запросов на выпуск сертификатов, запись сертификатов на ключевой носитель информации при выпуске или обновлении данных на ключевом носителе информации;

интеграцию с ПУД в рамках сквозных бизнес-процессов управления доступом.

В составе Подсистемы сервисов формирования и проверки электронных подписей должны использоваться СКЗИ, сертифицированные ФСБ России.

89

Требования к составу и содержанию функций ПЭП должны быть уточнены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

Информация о событиях ИБ, регистрируемых ПЭП, должна передаваться в ПМСИБ для последующего анализа и корреляции.

Требования по сертификации средств ЭП также должны быть определены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

5.4.1.4.12. Требования к Подсистеме защиты от утечек конфиденциальной информации

Подсистема защиты от утечек конфиденциальной информации (далее – ПСЗУ) должна обеспечивать противодействие утечкам конфиденциальной информации и персональных данных, обусловленных внутренними угрозами информационной безопасности, связанными с несанкционированным распространением конфиденциальной информации, неэффективным, нецелевым и противозаконным использованием информационных ресурсов и средств коммуникаций, нарушением установленных правил работы с информацией и информационными ресурсами Заказчика.

ПСЗУ должна удовлетворять следующим требованиям: иметь интерфейс централизованного управления и предоставления

отчетности на русском языке; функционировать в составе распределенной информационно-

вычислительной сети Заказчика; функционировать по клиент-серверной схеме; обеспечивать возможность информирования администратора и

аналитика ИБ об инцидентах путем отправки письма-уведомления об инциденте на почтовый электронный адрес, а также выделением в системе инцидентов цветом, отличающимся от цвета корректных событий;

обеспечивать возможность интеграция с proxy-серверами с поддержкой ICAP, функционирующими в ИТ-инфраструктуре Заказчика;

обеспечивать возможность интеграция с Microsoft Exchange Server, Microsoft Active Directory;

обеспечивать возможность интеграции с ПМСИБ с передачей в нее выявленных событий и инцидентов ИБ;

обеспечивать автоматическое или ручное прикрепление ко всем инцидентам справочных данных о нарушителе, на основе данных из служб каталогов, отображение информации в подсистеме;

90

функционировать в автоматизированном режиме под управлением администратора и оператора ИБ;

обеспечивать возможность использования Подсистемы в структуре филиалов, соединенных любыми каналами связи, в том числе с низкой пропускной способностью;

для информационного обмена между компонентами подсистемы должны использоваться только стандартные унифицированные протоколы семейства TCP/IP;

обеспечивать управление загрузкой канала связи при взаимодействии с модулями подсистемы, расположенными в удаленных филиалах Фонда;

функционировать в среде операционных систем семейства Windows; поддерживать каналы перехвата данных:

электронная почта (SMTP-сообщения); Интернет (в том числе web-почта, форумы, перехват HTTP(s)-

запросов); система мгновенных сообщений (ICQ, Skype, а также системы,

использующие протоколы MMP, XMPP); перехват FTP; перехват SIP; запись на периферийные устройства (например: flash, usb-hdd,

т.д.) и печать (локальная, сетевая, виртуальная); предоставлять возможность сканирования файлов локальных дисков

АРМ под управлением Microsoft Windows, сетевых разделяемых ресурсов, файлового хранилища Microsoft SharePoint, с использованием следующих параметров: рабочие станции, группы Microsoft Active Directory, размеры файлов и типы файлов;

предоставлять возможность блокировки данных, передаваемых по протоколам HTTP, HTTPS, SMTP;

предоставлять возможность помещения в карантин с возможностью последующей досылки данных, передаваемых по протоколу SMTP;

перехват данных, передаваемых из корпоративной сети по протоколам HTTP, SMTP, OSCAR не должен требовать установки клиентского программного обеспечения;

предоставлять возможность перехвата данных, передаваемых в корпоративной сети по протоколу HTTPS, как с установкой клиентского программного обеспечения, так и без нее;

обеспечивать перехват голосовых сообщений Skype;

91

обеспечивать контроль запуска и запрета клиентских приложений; обеспечивать контроль облачных файловых хранилищ (Google

Drive, DropBox, YandexDisk, SkyDrive, EverNote, SugarSync); использовать единую точку съема почтового трафика; обеспечивать возможность автоматической рубрикации

извлеченного из объектов текста, с учетом морфологии; содержать предустановленные рубрики «Грифы секретности»,

«Структура компании», «Юридическая документация», «Финансовая служба», «Инсайдерская информация» и др.;

обеспечивать возможность автоматического создания описания рубрик на основе имеющихся примеров документов;

обеспечивать поддержание следующих видов фильтрации контента: лингвистический анализ – автоматическое определение тематики

текста на основании ключевых терминов; детектирование регулярных выражений – поиск сложных

алфавитно-цифровых объектов (номера паспортов, индивидуальные номера налогоплательщиков, номеров кредитных карт, договоров и т.п.);

детектирование текстовых и бинарных цифровых отпечатков – определение степени схожести извлеченного текста и фрагментов бинарных данных, анализируемых документов с заранее заданными документами-образцами;

детектирование печатей – поиск на изображениях заверенных документов печати, идентичной или похожей на предварительно загруженные эталоны;

детектирование паспортов – определение наличия скан-копий страниц паспорта гражданина Российской Федерации в потоке перехваченных файлов;

детектирование выгрузок из баз данных – поиск эталонных выгрузок из баз данных в сетевом трафике и текстовых документах;

детектирование заполненных форм – выявление фактов передачи предопределенных в системе шаблонных документов (бланков), заполненных любым видом текста, включая рукописный;

обеспечивать возможность автоматической рубрикации текста на основе лингвистического анализа с учетом морфологии;

обеспечивать возможность распознавания текста в изображениях;

92

обеспечивать возможность автоматической рубрикации извлеченного из изображений текста, с учетом морфологии;

предоставлять возможности для автоматического вынесения вердикта по перехваченному объекту (выносимый вердикт должен трактовать, нарушает ли перехваченный объект политику безопасности или нет);

обеспечивать постановку на контроль отправителя, получателей и всего контентного маршрута перехваченных данных;

предоставлять возможности по разграничению доступа пользователей к перехваченным объектам (автоматическое отнесение перехваченного объекта к той или иной зоне ответственности на основании правил);

предоставлять возможности для управления зонами ответственности пользователей подсистемы (в том числе для настройки маршрутов перемещения объектов между зонами ответственности);

предоставлять возможности для подготовки статистических отчетов по перехваченным объектам.

Требования к Подсистеме защиты от утечек конфиденциальной информации должны быть уточнены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).5.4.1.4.13. Требования к Подсистеме управления доступом к информационным ресурсам

Подсистема управления доступом к информационным ресурсам (далее – ПУД) предназначена для автоматизации единых бизнес-процессов централизованного управления доступом к информационным ресурсам модернизируемой Системы.

ПУД должна обеспечивать управление следующими информационными объектами Заказчика:

централизованным реестром учетных записей пользователей, автоматически формируемым на базе данных, получаемых из информационной системы управления персоналом Заказчика, а также из других источников;

централизованным реестром информационных ресурсов, являющихся объектами предоставления доступа;

централизованной матрицей доступа (матрица прав и полномочий доступа) пользователей к информационным ресурсам.

ПУД должна обеспечивать: управление учетными записями пользователей:

формирование единого каталога пользователей;

93

внесение изменений в единый каталог учетных записей; синхронизация содержимого единого каталога с внешними

источниками; ведение учетных записей в интегрированных информационных

системах Заказчика; управление блокировкой и разблокировкой учетных записей; синхронизация паролей доступа пользователей между учетными

записями единого каталога и интегрированных информационных систем Заказчика;

автоматический контроль сложности и срока действия пароля доступа;

смена пароля доступа учетной записи пользователя администратором или пользователем;

управление информационными ресурсами; ведение списка управляемых информационных систем Заказчика; ведение списка информационных ресурсов, ролей и групп

пользователей, управляемых информационных систем (создание / изменение / добавление / удаление);

делегирование прав владения информационным ресурсом другому пользователю;

управление доступом пользователей к информационным ресурсам; обработка заявок пользователей на доступ к информационным

ресурсам в информационных системах Заказчика; согласование предоставления / изменения / отъема доступа к

информационным ресурсам; обработка заявок пользователей на предоставление / изменение /

отъем прав доступа к информационным ресурсам; ведение типовых наборов прав и полномочий пользователей для

доступа к информационным ресурсам в информационных системах Заказчика;

управление ролями и полномочиями согласующих лиц в едином каталоге;

делегирование отдельных полномочий на согласование доступа другим пользователям;

обеспечение самообслуживания пользователей; оформление заявок на предоставление прав доступа к

информационным ресурсам; информирование пользователя об атрибутах персональной

учетной записи в едином каталоге; просмотр каталога информационных систем и ресурсов; оформление заявок на создание / изменение / удаление

информационных ресурсов (для выбранной из каталога информационной системы);

94

делегирование прав владения информационным ресурсом. После оформления заявки на делегирование прав владения должен автоматически запускаться процесс согласования. Возможность оформления заявки должна предоставляться только текущему владельцу информационного ресурса;

информирование о статусах заявок, сформированных пользователем за заданный период;

аудит доступа пользователей к информационным ресурсам: получение из ПУД отчетности о текущем состоянии предоставленного доступа к информационным ресурсам, истории изменений доступа, истории проведения иных операций в ПУД, сведений из централизованного каталога пользователей и информационных ресурсов.

Информация о событиях ИБ, регистрируемых в ПУД, должна передаваться в ПМСИБ для последующего анализа и корреляции.

Требования к составу и содержанию функций Подсистемы должны быть уточнены на этапе разработки Технического задания на создание КСОИБ (п. 5.3.3 настоящего Технического задания).

5.4.2.Работы по подготовке к аттестационным мероприятиям модернизируемой Системы по требованиям информационной безопасности

В рамках работы по подготовке к аттестационным мероприятиям модернизируемой Системы по требованиям информационной безопасности должны быть разработаны (актуализированы при наличии) организационно-распорядительные документы, необходимые для дальнейшего успешного прохождения аттестации модернизируемой Системы по требованиям информационной безопасности.

Результатами работы по подготовке к аттестационным мероприятиям модернизируемой Системы по требованиям информационной безопасности являются организационно-распорядительные документы, приведенные в таблице №8.

Документы должны быть предоставлены Заказчику в одном из 2-х статусов: Проект или Шаблон.

Статус «Проект» обозначает, что будет выдан документ высокой степени готовности, однако Заказчик может вносить в него дальнейшие изменения в соответствии со своей бизнес-практикой, и в действие документ будет вводиться уже в скорректированном виде. Исполнитель оказывает консультации в процессе доведения документа до финального состояния.

Статус «Шаблон» обозначает форму, рекомендованную Исполнителем для использования Заказчиком для ведения учета определенного вида сведений. Такие документы предоставляются

95

незаполненными и Заказчик осуществляет их заполнение (ведение) в процессе своей деятельности самостоятельно

Таблица 4 «Состав разрабатываемой и/или актуализируемой организационно-распорядительной документации»

Наименование документа СтатусПриказ «О назначении комиссии по сопровождению и аттестации Системы» ПроектПриказ «Об утверждении перечня ОТСС, предназначенных для обработки конфиденциальной информации»

Проект

Перечень лиц, имеющих право самостоятельного доступа к штатным средствам Системы

Проект

Состав ПО Системы ПроектПеречень защищаемых ресурсов Системы и уровень их конфиденциальности ПроектМатрица доступа субъектов Системы к защищаемым информационным ресурсам

Проект

Акт определения уровня защищенности и классификации Системы ПроектТехнический паспорт Системы ШаблонОписание технологического процесса обработки информации в Системе ПроектПоложение о КСОИБ (включая положение о каждой подсистеме КСОИБ) ПроектПриказ «О назначении администратора информационной безопасности» ПроектИнструкция Администратору ИБ ПроектИнструкция пользователю по работе со средствами защиты информации ПроектИнструкция по проведению антивирусного контроля ПроектПриказ об утверждении контролируемой зоны Проект

В срок не позднее 20 (двадцать) рабочих дней с даты начала работ по подготовке к аттестационным мероприятиям модернизируемой Системы по требованиям информационной безопасности Исполнитель направляет указанные документы Заказчику на согласование. Указанные документы направляются в бумажной форме в 2 (двух) экземплярах и в электронном виде на машинном носителе информации. Вторые экземпляры согласованных документов в бумажной форме Заказчиком возвращаются Исполнителю в срок не более 10 (десяти) рабочих дней с даты их согласования.

Заказчик в срок не более 10 (десяти) рабочих дней с даты получения от Исполнителя указанных документов обязан их согласовать либо направить Исполнителю мотивированный отказ от их согласования с изложением причин отказа и выявленных недостатков. Исполнитель обязан устранить выявленные недостатки в срок не более 5 (пяти) рабочих дней с даты поступления письменного отказа Заказчика либо направить Заказчику отказ в доработке указанных документов с изложением причин отказа.


96

Датой завершения Работы по техническому проектированию КСОИБ считается дата утверждения Заказчиком документов, разработанных по результатом данной работы.

Работа по техническому проектированию КСОИБ считается ненадлежащим образом выполненной в случае, если Заказчиком в адрес Исполнителя более чем 2 (два) раза официально направлялся мотивированный отказ от утверждения документов по этапу.

После завершения Работы по техническому проектированию КСОИБ Исполнитель передает Заказчику для утверждения Акт о приемке выполненных работ за этап в порядке и сроки, указанные в Контракте.

5.5. Работы по сопровождению и внедрению ППО Системы

5.5.1.Работы по сопровождению ППО СистемыИсполнитель должен разработать документ «Порядок сопровождения

и технического обслуживания в рамках сопровождения» (далее ПСиТО) в срок не позднее 10 (десяти) рабочих дней с даты заключения Контракта, и передать Заказчику для рассмотрения и утверждения на бумажном носителе в 2 (двух) экземплярах и в электронном виде. Заказчик в срок не более 10 (десяти) рабочих дней со дня получения от Исполнителя ПСиТО должен утвердить данный документ, либо направить Исполнителю перечень замечаний к доработанному ПСиТО. Исполнитель обязан устранить полученные замечания в срок не более 5 (пяти) рабочих дней после их получения от Заказчика, либо направить Заказчику мотивированный отказ от устранения замечаний. Второй экземпляр утвержденного ПСиТО в бумажной форме Заказчиком возвращается Исполнителю в срок не более 10 (десяти) рабочих дней с даты утверждения.

В состав работ по сопровождению ППО Системы, модернизированного в рамках перехода на целевое решение входят услуги, приведенные в Таблице №5 «Требования к работам по сопровождению ППО Системы».

Состав сопровождаемых подсистем (с момента их внедрения):1) Подсистема Реестр Получателей социальных услуг Фонда;2) Функциональный компонент «Обеспечение ТСР» Подсистемы

предоставления социальных услуг гражданам льготных категорий;

3) Функциональный компонент РУСТ (Регистрация и учет страхователей) Подсистемы управления страховыми взносами;

4) Подсистема интеграции информационных потоков данных;5) Подсистема централизованного хранения и транзакционной

обработки данных;6) Подсистема «Централизованный расчетный процессинг»;

97

7) Личный кабинет Получателя социальных услуг Подсистемы открытых сервисов Фонда социального страхования РФ (за исключением функционала работы с электронными листками нетрудоспособности);

8) Личный кабинет Страхователя Подсистемы открытых сервисов Фонда социального страхования РФ (за исключением функционала работы с электронными листками нетрудоспособности);

9) Личный кабинет Поставщика Подсистемы открытых сервисов Фонда социального страхования РФ.

98

Таблица №5 «Требования к работам по сопровождению ППО Системы»

№ Наименование Требования к работам

1 Работы по обеспечению первой линии поддержки Системы

организация единой точки приема обращений (телефон, электронная почта); регистрация обращений в виде Заявки в системе управления инцидентами Исполнителя; описание, категоризация и приоритезация Заявок в системе управления инцидентами Исполнителя; доведение до Пользователя плановых сроков обработки Заявки, исходя из ее приоритета; взаимодействие с сотрудниками Исполнителя, задействованными в решении Заявки; мониторинг статусов, сроков и хода решения всех открытых Заявок, находящихся на обработке.

2 Восстановление работоспособности

расследование и диагностика Заявок, выявление причин возникновения и выработка рекомендаций для решения Заявок;

запрос дополнительной информации по Заявке для проведения дополнительного анализа; фиксирование хода решения в Заявке; информирование о ходе и результатах обработки принятых Заявок; взаимодействие со сторонними организациями в ходе решения Заявок; решение Заявок в соответствии с установленными в зависимости от приоритета сроками; подготовка и предоставление временного решения Заявок для снижения степени его влияния на

выполнение технологических процессов; подготовка и предоставление постоянного решения Заявок, которое может включать:

исправление/ корректировка данных; внесение изменений в пользовательскую документацию, технологический регламент в случае

подтверждения ее необходимости, без внесения изменений в ППО; консультирование пользователей в случае ошибочных действий; исправление подтвержденных ошибок ППО, выпуск корректирующих патчей и обновление

необходимой документации; закрытие Заявок.

3 Регламентное обслуживание

регламентно-профилактические работы, включающие: мониторинг работоспособности и производительности ППО и базисного ПО и предоставление

отчетов по результатам; мониторинг логов результатов установки релизов, анализ и отчет по результатам;

99


профилактическое обслуживание ППО (анализ журналов, диагностика, тонкая настройка); проверка работоспособности с 8.00 до 9.00 по рабочим дням; согласование с Заказчиком технологических пауз.

ведение справочников, включающее: актуализация состояния единых реестров, справочников, классификаторов на основании

информации, предоставляемой Заказчиком (в т.ч. добавление новых значений в справочники, которые не обновляются в автоматическом режиме);

установка обновлений; администрирование, включающее:

изменение прав доступа учетной записи пользователя, в том числе ролевых моделей групп пользователей на основе запросов, полученных от Заказчика;

изменение ролевой модели доступа (изменение ролей пользователям, изменение матрицы доступа к функциональности и т.п.);

мониторинг и поддержка процесса интеграции с ЕСИА, в том числе взаимодействие с разработчиками ЕСИА по технологическим вопросам интеграции;

предоставление информации о пользователях по запросам Заказчика; мониторинг и анализ табличного пространства БД; периодическая проверка на соответствие технической архитектуре; анализ состояния БД; анализ состояния серверов приложений; мониторинг журналов и логов; мониторинг и компиляция невалидных объектов БД.

4 Обеспечение эксплуатации

подготовка сценариев и проведение периодического тестирования; управление инцидентами; управление изменениями;

5 Информационно-справочное сопровождение

поддержка и консультации пользователей; поддержка и консультации специалистов Заказчика; ведение и обновление базы знаний;

100


актуализация эксплуатационной документации; актуализация параметров мониторинга; предоставление отчетности по услугам и работам.

101

5.5.1.1. Требования к приему и обработке обращений

Исполнитель должен обеспечить работу первой линии поддержки для поддержки пользователей Системы.

Первая линия поддержки Системы должна быть доступна с 9-00 до 19-00 по московскому времени в рабочие дни.

Доступ к первой линии поддержки Системы должен осуществляться по следующим каналам связи:

- прямой телефонный номер;

- единый электронный адрес.

Также Исполнитель обеспечивает доступ сотрудников Заказчика (не более 10 человек) к своему системе управления инцидентами Исполнителя.

Все обращения (далее Заявки), поступающие Исполнителю должны быть отнесены к одной из категорий.

Таблица 6. Описание категорий поступающих обращенийКатегория Заявки Описание категории

Обращение Заявка, зарегистрированная в системе управления эксплуатацией и являющаяся фактом взаимодействия Пользователя с первой линией поддержки

Запрос консультации Заявка, связанная с запросом предоставления необходимой информации, разъяснений по порядку работы Системы и пользователей, либо пользовательской документации, не являющаяся сбоем ИТ-инфраструктуры или инцидентом

Инцидент Заявка, связанная с любым событием, которое не укладывается в рамки нормального функционирования Системы и при этом влияющее (или способное оказать влияние) на снижение качества работы Системы или полное прекращение работы Системы, а также критические сообщения от систем мониторинга, ошибки и сбои в работе ППО Системы

Запрос на обслуживание

Заявка, имеющее следующие признаки:1) не связана с устранением сбоев, ошибок ППО;2) не требует доработки ППО;3) не является консультацией;4) не требует согласования с другими подразделениями Фонда;5) исполняется в рамках стандартных возможностей системы, зафиксированных в эксплуатационной документации

Запрос на изменение Заявка, связанная с незначительным внесением изменений в ППО Системы, его учетных данных.

Каждой Заявке должен быть присвоен один из приоритетов, в соответствии с важностью, срочностью и степенью влияния на работоспособность Системы.

Таблица 7. Приоритеты обработки Заявок

Тип приоритета КомментарийНаивысший Отказ в работе ППО Системы, приводящий к невозможности

эксплуатации или приводящий к серьезным сбоям или невозможности эксплуатации интегрированных с ней внешних систем.

Высокий 1. Неработоспособность функций ППО Системы, по предоставлению доступа к данным для их анализа оказывающих серьезное влияние на деятельность большого количества пользователей Системы и/или функций обеспечивающих интеграцию с внешними системами.2. Значительное падение производительности большой части Системы или функций, которые используются большим количеством пользователей.

Стандартный 1. Ошибки ППО Системы, описанные в приоритетах 1 и 2, но при этом существуют альтернативные способы (включая ручную обработку) продолжить работу, применение которых позволяет выполнить процессы анализа данных и интеграции в установленные сроки.2. Ошибки/сбои, связанные с формированием внутренней отчетности, которая не предоставляется пользователям.

Низкий Ошибки/сбои, за исключением описанных в приоритетах 1 - 3, следствием которых является неправильное функционирование функций ППО, не препятствующие выполнению процессов анализа данных и интеграции с внешними системами (т.е. существуют альтернативные (включая ручные) способы продолжить работу, позволяющие пользователям получить доступ к данным, ввод данных, осуществить интеграцию в регламентные сроки).

Минимальный Ошибка ППО Системы, не влекущая потерю функциональности ППО Системы и не препятствующая осуществлению деятельности пользователей.Неточное соответствие функционала, описанного в технической документации, функционалу, реализованному в ППО Системы, при этом не происходит потери функциональности ППО Системы, операции исполняются в рамках регламентного времени (без применения альтернативных способов выполнения операций).Визуальный дефект, решение которого необязательно для полноценного функционирования.

Время реакции на Заявки, а также сроки выполнения и допустимая продолжительность отдельных этапов обработки данных Заявок в зависимости от приоритета приведены в таблице 7.

Таблица 8. Сроки обработки Заявок в соответствии с выставленным приоритетом

Приоритет/Категория

Заявки

Максимальное время устранения Инцидента / выполнения Запроса

на консультацию(час)

Максимальное время реакции -

начала обработки

Заявки(час)

Максимальное время предоставления

постоянного решения по ошибкам ППО

Системы

1 (Наивысший) 2 1 20 раб. дней2 (Высокий) 4 2 20 раб. дней

103

Приоритет/Категория

Заявки

Максимальное время устранения Инцидента / выполнения Запроса

на консультацию(час)

Максимальное время реакции -

начала обработки

Заявки(час)

Максимальное время предоставления

постоянного решения по ошибкам ППО

Системы

3 (Стандартный) 8 4 20 раб. дней

4 (Низкий) 16 8 По плану выпуска версий, патчей

5 (Минимальный) 40 8 По плану выпуска версий, патчей

Время решения обращения рассчитывается от момента его получения.Временем решения обращения считается:

- дата и время предоставления консультации, после которой Заявитель подтверждает факт решения обращения;

- дата и время предоставления корректировочных инструкций, после применения которых инцидент устранен, либо время передачи в Заказчику исправляющего патча/версии ППО;

- дата и время отправки соответствующего Запроса в Фонд на согласование доработки ППО.

Зона ответственности Исполнителя ограничивается вопросами, связанными с функционированием ППО Системы, модернизированного в рамках перехода на целевое решение и поддержкой пользователей. Исполнитель не несет ответственности за поддержку и обеспечение работоспособности ПАК, а также системного программного обеспечения. В случае поступления обращения Исполнителю, при категоризации которого выясняется, что причиной возникновения обращения является инфраструктурный инцидент (незапланированная остановка работы аппаратного комплекса, снижение производительности или функциональности, т.е. сбой или отказ аппаратного комплекса, а также в случае, если ошибка связана с функционированием системного программного обеспечения), Исполнитель перенаправляет указанный запрос со своими пояснениями Заказчику для передачи в эксплуатирующую организацию, отвечающую за функционирование ПАК. Обращение считается решенным после приемки Заказчиком такого запроса и пояснений Исполнителя.

Время ответа Заявителя на запрос информации со стороны Исполнителя не включается в общее время обработки обращения.

5.5.1.2. Требования к отчетности

Отчет о выполненной работе по сопровождению ППО Системы должен предоставляться Исполнителем Заказчику не позднее 5-го (пятого) рабочего дня, следующего за выполнения работ по сопровождению.

Отчеты должны содержать:

104

- сведения об обращениях, в разрезе категорий обращений, приоритетов и результатов обработки обращений на дату формирования отчета в соответствии с жизненным циклом обработки обращений, а также указание времени обработки обращения в отчетный период в соответствии с его категорией и приоритетом;

- сведения о выполненных работах в части информационной поддержки и консультационных мероприятий (при наличии).

Заказчик в срок не более 10 (десяти) рабочих дней с даты получения от Исполнителя отчета обязан его согласовать, либо направить Исполнителю отказ с изложением причин отказа и выявленных недостатков. Исполнитель, в случае направления Заказчиком Исполнителю отказа в согласовании отчета, в срок не более 10 (десяти) рабочих дней с даты получения отказа в согласовании отчета должен доработать отчет в соответствии с полученными замечаниями и передать его Заказчику.

5.5.2.Работы по поддержке внедрения ППО СистемыВ рамках Работы по поддержке внедрения ППО Системы должен быть

выполнены выполнение следующих мероприятий:

1) Подготовка проекта плана внедрения для каждой подсистемы и передача его Заказчику. Ответственный – Исполнитель.2) Согласование плана внедрения для каждой подсистемы. Ответственный – Заказчик.3) Предоставление технических средств и программных средств ЦОДа для функционирования модернизированной Системы. Ответственный – Заказчик.4) Определение состава и глубины переносимых исторических данных из существующих подсистем в централизованные подсистемы. Ответственный – Заказчик.5) Выполнение обогащения и нормализации исторических данных в существующих подсистемах с целью их корректного переноса в централизованные подсистемы Системы. Ответственный – Заказчик.6) Подготовка баз данных для ввода Системы в действие. Ответственный – Исполнитель.7) Загрузка исторических данных в базу данных Системы. Ответственный – Исполнитель.8) Подготовка отчетности по конфликтам в данных. Ответственный – Исполнитель.9) Разработка предложений по устранению конфликтов в данных. Ответственный – Исполнитель.

105

10) Выбор способа устранения конфликтов в данных. Организация на стороне Заказчика процесса устранения конфликтов в данных. Ответственный – Заказчик.11) Повторная загрузка нормализованных и обогащенных исторических данных в базу данных Системы. Ответственный – Исполнитель.12) Предоставление технических средств для проведения консультационных вебинаров и обеспечить присутствие сотрудников на обучении. Ответственный – Заказчик.13) Проведение удаленных консультаций пользователей по работе с модернизированными подсистемами Системы. Ответственный – Исполнитель.14) Предоставление массивов данных реестров и справочников для загрузки в базу данных Системы. Ответственный – Заказчик.15) Обеспечение Заказчика отчетностью о работе пользователей с Системой (пользователи, входы, введенные данные и т.п.). Ответственный – Исполнитель.16) Обеспечение Заказчика оперативной (не реже одного раза в месяц или по запросу от Заказчика) отчетностью о ходе внедрения. Ответственный – Исполнитель.

Исполнитель должен обеспечить поддержку процесса внедрения следующих подсистем:№ Функциональный компонент / Подсистема Плановый срок внедрения

1 Подсистема Реестр Получателей социальных услуг Фонда

не более 65 календарных дней с даты заключения Контракта

2 Функциональный компонент «Обеспечение ТСР» Подсистемы предоставления социальных услуг гражданам льготных категорий

не более 175 календарных дней с даты заключения Контракта, но не позже 30 ноября 2017 г.

3 Функционального компонента РУСТ (Регистрация и учет страхователей) Подсистемы управления страховыми взносами

не более 135 календарных дней с даты заключения Контракта, но не позже 30 октября 2017 г.

4 Подсистема интеграции информационных потоков данных


5 Подсистема централизованного хранения и транзакционной обработки данных


6 Подсистема «Централизованный расчетный процессинг»

не более 135 календарных дней с даты заключения Контракта, но не позже 30 октября 2017 г.

7 Личный кабинет Получателя социальных услуг Подсистемы открытых сервисов Фонда социального страхования РФ (за исключением функционала работы с электронными листками нетрудоспособности)


106

№ Функциональный компонент / Подсистема Плановый срок внедрения

8 Личный кабинет Страхователя Подсистемы открытых сервисов Фонда социального страхования РФ (за исключением функционала работы с электронными листками нетрудоспособности)


9 Личный кабинет Поставщика Подсистемы открытых сервисов Фонда социального страхования РФ

не более 175 календарных дней с даты заключения Контракта, но не позже 30 ноября 2017 г.

Количество региональных отделений Фонда и филиалов региональных отделений Фонда участвующих во внедрении ППО Системы определяется Заказчиком.

Отчет о выполненной работе по поддержке внедрения ППО Системы должен предоставляться Исполнителем Заказчику не позднее 5-го (пятого) рабочего дня, следующего за выполнения работ по поддержке внедрения.

Отчеты должны содержать:1) планы внедрения ППО подсистем Системы;2) отчеты по конфликтам в данных;3) описание выбранных способов решения конфликтов в данных;4) отчеты о проведенных консультаций пользователей;5) информация о работе пользователей с Системой;6) краткое описание итогов внедрения подсистем Системы.

Заказчик в срок не более 10 (десяти) рабочих дней с даты получения от Исполнителя отчета обязан его согласовать, либо направить Исполнителю отказ с изложением причин отказа и выявленных недостатков. Исполнитель, в случае направления Заказчиком Исполнителю отказа в согласовании отчета, в срок не более 10 (десяти) рабочих дней с даты получения отказа в согласовании отчета должен доработать отчет в соответствии с полученными замечаниями и передать его Заказчику.

Датой завершения Работы по сопровождению и внедрению ППО Системы считается дата:

1) утверждения Заказчиком документа «Отчет о выполненной работе по сопровождению Системы».

2) утверждения Заказчиком документа «Отчет о выполненной работе по поддержке внедрения ППО Системы».

Работа по сопровождению и внедрению ППО Системы считается ненадлежащим образом выполненной в случае, если Заказчиком в адрес Исполнителя более чем 2 (два) раза официально направлялся мотивированный отказ от утверждения документов по этапу.

После завершения Работы по сопровождению и внедрению ППО Системы Исполнитель передает Заказчику для утверждения Акт о приемке выполненных работ за этап в порядке и сроки, указанные в Контракте.

107

6. ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ

6.1. Состав документации на ППО СистемыСостав разрабатываемой и/или актуализируемой документации приведен в Таблице №9 «Состав

разрабатываемой и/или актуализируемой документации на ППО Системы» настоящего Раздела.

Таблица №9 «Состав разрабатываемой и/или актуализируемой документации на ППО Системы»

Наименование документа Содержание документа

По результатам работ,

приведенным в п.5.1.1





Концепции развития информационных систем Фонда социального страхования Российской Федерации

Уточняется в ходе выполнения работы Актуализация - -

Частное техническое задание на модернизацию прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах» в рамках перехода на целевое решение

Общие положения; назначение и цели развития; характеристики объекта автоматизации; требования к системе в целом; требования к функциям, выполняемым модернизированными подсистемами; требования к видам обеспечения; состав и содержание работ; порядок контроля и приемки; требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в эксплуатацию; требования к документированию; источники разработки

- Разработка -








Пояснительная записка к техническому проекту

Общие положения, Общее описание системы, Описание автоматизируемых функций, Основные технические решения, Мероприятия по подготовке объекта автоматизации к вводу системы в действие

- - Актуализация

Руководство администратора Назначение и условия применения; подготовка к работе; описание операций; диагностика и мониторинг системы; аварийные ситуации;рекомендации по освоению; регламент резервного копирования; сообщения системному администратору


Руководство пользователя (оператора)

Назначение и условия применения; требования к уровню подготовки пользователя, описание операций


Регламент, определяющий права доступа пользователей

Ролевая модель, определяющая доступ пользователей к функционалу Системы

- - Разработка

Программа испытаний и опытной эксплуатации

Введение; объект испытаний и опытной эксплуатации; цель проведения испытаний и опытной эксплуатации; состав объекта испытаний и опытной эксплуатации; место и продолжительность; условия начала и завершения; участники; требования к рабочему месту; порядок проведения; отчетность

- - Разработка

Документация должна полностью соответствовать состоянию ППО Системы. Документы должны быть разработаны либо актуализированы Исполнителем в соответствии с изменениями, связанными с модернизацией ППО Системы. Исполнитель должен определить необходимые изменения и внести их документацию на ППО Системы.

109

6.2. Состав документации на ИТ-инфраструктуру СистемыВ рамках работ по проведению обследования ИТ-инфраструктуры

необходимо разработать Отчет об обследовании ИТ-инфраструктуры, содержащий как минимум:

1) Информацию о компонентах аппаратного и системного программного обеспечения, эксплуатируемого на объектах обследования, в том числе данные о характеристиках и настройках оборудования;

2) Информацию о составе и комплектности технической и эксплуатационной документации на существующие компоненты ИТ-инфраструктуры;

3) Описание проблем и критических точек в эксплуатации существующего аппаратного и системного программного обеспечения;

4) Информацию о текущих и планируемых ИТ-проектах;5) Информацию о поддержке производителями компонентов ИТ-

инфраструктуры, наличии действующих сервисных контрактов;6) Анализ обеспечения сохранности данных, отказоустойчивости и

резервирования аппаратных систем, в частности обслуживающих критичные для деятельности прикладные информационные системы и базовые ИТ-сервисы.

В рамках работ по техническому проектированию ИТ-инфраструктуры Фонда необходимо разработать следующие документы технического проекта на ИТ-инфраструктуру:

1) Ведомость технического проекта;2) Пояснительная записка технического проекта;3) Описание комплекса технических средств;4) Ведомость покупных изделий;5) Описание программного обеспечения;6) Схема функциональной структуры;7) Схема структурная комплекса технических средств;8) План проектов по ИТ-инфраструктуре.

Виды и комплектность документов, разрабатываемых в рамках Технического проекта ИТ-инфраструктуры Фонда должны соответствовать требованиям ГОСТ 34.201-89.

Материалы технического проекта должны быть оформлены с учетом РД 50-34.698-90.«Автоматизированные системы. Требования к содержанию документов».

6.3. Состав документации на КСОИБСостав разрабатываемой и/или актуализируемой документации КСОИБ

приведен в Таблице №10.

Таблица №10 «Состав разрабатываемой и/или актуализируемой документации КСОИБ»


Вид работы

Отчет об обследовании существующей системы информационной безопасности

В соответствии с п.5.3.1 настоящего Технического задания

Разработка

Модель угроз безопасности информации В соответствии с п.5.3.2 настоящего Технического задания


Модель нарушителя безопасности информации В соответствии с п.5.3.2 настоящего Технического задания


Проекты Актов определения уровня защищенности ИСПДн и класса защищённости Системы



Концепция обеспечения информационной безопасности Фонда социального страхования Российской Федерации


Актуализация

Техническое задание на создание Комплексной системы обеспечения информационной безопасности, включая частные технические задания на создание подсистем КСОИБ

В соответствии с ГОСТ 34.602-89


Пояснительная записка к техническому проекту на создание Комплексной системы обеспечения информационной безопасности

В соответствии с РД 50-34.698-90


Описание комплекса технических средств Комплексной системы обеспечения информационной безопасности



Описание программного обеспечения Комплексной системы обеспечения информационной безопасности



Схема структурная комплекса технических средств Комплексной системы обеспечения информационной безопасности



Схема функциональной структуры Комплексной системы обеспечения информационной безопасности



Ведомость покупных изделий Комплексной системы обеспечения информационной безопасности

В соответствии с ГОСТ 2.106


Программа и методика испытаний Комплексной системы обеспечения информационной безопасности



111

7. ЭТАПЫ ВЫПОЛНЕНИЯ РАБОТТаблица № 11 «Этапы выполнения работ и сроки их выполнения»

№ Наименование Работ (Услуг) Состав Работ (Услуг) Результаты

Сроки выполнения Работ (график оказания Услуг)

Начало Окончание

1. Этап 1. Работы по актуализации концепции развития информационных систем Фонда, разработке частного технического задания на модернизацию ППО Системы и проведению обследования ИТ-инфраструктуры (с даты заключения Контракта до 30 сентября 2017г.), включая:

1.1. Работы по актуализации Концепции развития информационных систем Фонда социального страхования Российской Федерации

Работы, выполненные в соответствии с п.5.1.1 настоящего Технического задания

Актуализированная Концепция развития информационных систем Фонда социального страхования Российской Федерации

с даты заключения Контракта

до 30 сентября 2017г.

1.2. Работы по разработке частного технического задания на модернизацию ППО Системы


Утвержденное Частное техническое задание на модернизацию прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах» в рамках перехода на целевое решение



1.3. Работы по проведению обследования ИТ-инфраструктуры


Утвержденный отчет об обследовании ИТ-инфраструктуру



2. Этап 2. Работы по модернизации ППО Системы, проведению испытаний и проведению технического проектирования ИТ-инфраструктуры (с 1 октября 2017г. до 15 декабря 2017г.), включая:

2.1. Работы по развитию ППО Системы


Утвержденная документация на ППО Системы в части модернизированного функционала.

с даты утверждения ЧТЗ на развитие ППО Системы,

разработанного по результатам выполнения работы, приведенной в

п.1.1 настоящей Таблицы

до 15 ноября 2017г.



Начало Окончание2.2. Работы по

обеспечению проведения испытаний и опытной эксплуатации модернизированного ППО Системы


Утвержденная Программа проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах».

ППО Системы, доработанное по результатам устранения замечаний, полученных в ходе проведения испытаний и опытной эксплуатации.

Утвержденный Протокол проведения испытаний и опытной эксплуатации модернизированного прикладного программного обеспечения подсистем ФГИС ЕИИС «Соцстрах».

Исходные коды ППО Системы переданы Заказчику.

Модернизированное ППО Системы, готовое к вводу в действие.

с даты передачи в Фонд результатов,

сформированных по результатам выполнения работы, приведенной в


до 15 декабря 2017г.

2.3. Работы по техническому проектированию ИТ-инфраструктуры


Утвержденные документы технического проекта на ИТ-инфраструктуру

с даты утверждения отчета об обследовании,

сформированного по результатам выполнения работы, приведенной в



3. Этап 3. Работы по проведению обследования и формированию требований к защите информации (с даты заключения Контракта до 30 октября 2017г.), включая:

113




3.1. Работы по проведению обследования существующей системы информационной безопасности


Утвержденный отчет об обследовании существующей системы информационной безопасности



3.2. Работы по моделированию угроз безопасности информации и определению класса защищённости


Модель нарушителя безопасности информации

Модель угроз безопасности информации;

Проекты Актов определения уровня защищенности ИСПДн и класса защищённости Системы;

Концепция обеспечения информационной безопасности Фонда социального страхования Российской Федерации

с даты завершения п.3.1 настоящей Таблицы

до 30 октября 2017г.

3.3. Работы по разработке технического задания на создание КСОИБ


Утвержденное Техническое задание на создание КСОИБ

Утвержденное Частные технические задания на создание подсистем КСОИБ

даты завершения п.3.2 настоящей Таблицы

до 30 октября 2017г.

4. Этап 4. Работы по техническому проектированию КСОИБ (с 1 ноября 2017г. до 15 декабря 2017г.), включая:

114




4.1. Работы по разработке документации на КСОИБ


Утвержденное Описание комплекса технических средств Комплексной системы обеспечения информационной безопасности.

Утвержденное Описание программного обеспечения Комплексной системы обеспечения информационной безопасности.

Утвержденная Пояснительная записка к техническому проекту на создание Комплексной системы обеспечения информационной безопасности.

Утвержденная Ведомость покупных изделий Комплексной системы обеспечения информационной безопасности.

Утвержденная Схема структурная комплекса технических средств Комплексной системы обеспечения информационной безопасности.

Утвержденная Схема функциональной структуры Комплексной системы обеспечения информационной безопасности.

Утвержденная Программа и методика испытаний Комплексной системы обеспечения информационной безопасности.



115




4.2. Работы по подготовке к аттестации модернизируемой Системы по требованиям информационной безопасности


Согласованный пакет организационно-распорядительной документации



5. Этап 5. Работы по сопровождению и внедрению ППО Системы (с даты заключения Контракта до 15 декабря 2017г.), включая:

5.1. Работы по сопровождению ППО Системы


Утвержденный ПСиТО.

Выполненные работы по сопровождению Системы.

Утвержденный Отчет о выполненной работе по сопровождению Системы.



5.2. Работы по поддержке внедрения ППО Системы


Выполненные работы по поддержке внедрения ППО Системы.

Утвержденный Отчет о выполненной работе по поддержке внедрения ППО Системы.



116

8. СРОКИ И ОБЪЕМ ПРЕДОСТАВЛЕНИЯ ГАРАНТИЙ Гарантией качества результата выполнения работ является обеспечение

работоспособности системы Исполнителем в течение гарантийного периода. Гарантийный период устанавливается Государственным заказчиком и составляет 1 год с момента подписания акта о приемке работ за последний этап.

Если в период гарантийного срока в ходе эксплуатации программного обеспечения обнаружатся недостатки или дефекты, то Исполнитель (в случае, если не докажет отсутствия своей вины) устранит их за свой счет в сроки, согласованные Сторонами и зафиксированные в акте с перечнем выявленных недостатков и сроком их устранения.

9. ИСТОЧНИКИ РАЗРАБОТКИПри выполнении работ на модернизацию и развитие Системы

необходимо руководствоваться следующими нормативными правовыми документами:

1. ГОСТ 27049-86 «Защита оборудования проводной связи и обслуживающего персонала от атмосферных разрядов».

2. ГОСТ 28439-90 «Аппаратура волоконно-оптических систем передачи по линиям электропередач цифровая. Общие технические требования».

3. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

4. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».

5. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».

6. ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».

7. ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем».

8. ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель».

9. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».

10.ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, влияющие на информацию. Общие положения».

117

11.ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

12.ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».

13.Гражданский кодекс Российской Федерации;14.Методические рекомендации по обеспечению с помощью криптосредств

безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра ФСБ России 21.02.2008 г. № 149/5–144.

15.Методический документ «Меры защиты информации в государственных информационных системах» (утвержден ФСТЭК России 11 февраля 2014 г.).

16.Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

17.Постановление Правительства РФ от 21.04.2011 N 294 (ред. от 22.12.2016) Об особенностях финансового обеспечения, назначения и выплаты в 2012 - 2019 годах территориальными органами Фонда социального страхования Российской Федерации застрахованным лицам страхового обеспечения по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, осуществления иных выплат и возмещения расходов страхователя на предупредительные меры по сокращению производственного травматизма и профессиональных заболеваний работников, а также об особенностях уплаты страховых взносов по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний.

18.Приказ Директора ФСБ России от 09.02.2005 г. № 66 (зарегистрирован в Минюсте России 03.03.2005 г., № 6382) «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

19.Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных

118

системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

20.Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

21.Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

22.Руководящий документ 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».

23.Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (РД АС). Гостехкомиссия России, 1992.

24.Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (РД ОК), Гостехкомиссия России, 2002.

25.Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992.

26.Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (РД СВТ). Гостехкомиссия России, 1992.

27.Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (РД МЭ). Гостехкомиссия России, 1997.

28.Соглашение об информационном обмене Федеральной налоговой службы и Фонда социального страхования Российской Федерации от 30.11.2016 №ММВ-23-11/27@/02-11-13/06-5262П

29.Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282.

119

30.Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены руководством 8 Центра ФСБ России 21.02.2008 г. № 149/6/6–622.

31.Требования к межсетевым экранам, утверждены приказом ФСТЭК России от 09.02.2016 г. № 9

32.Требования к системам обнаружения вторжений, утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638.

33.Трудовой кодекс Российской Федерации;34.Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О

мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

35.Федеральный закон от 12.01.1996 № 8-ФЗ «О погребении и похоронном деле»;

36.Федеральный закон от 19.05.1995 № 81-ФЗ «О государственных пособиях гражданам, имеющим детей»;

37.Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;

38.Федеральный закон от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования»;

39.Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

40.Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

41.Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством».

120

Documents

fss.rufss.ru/ru/fund/procurements/opendata/TZ-6364288263… · Web viewмедицинскую реабилитацию в организациях, оказывающих санаторно-курортные