ПОРЯДОК ПОДКЛЮЧЕНИЯ К АСОКИ
Подключение пользовательских сегментов к АСОКИ осуществляется совместно Абонентом, Оператором и Оператором ЦОД.
Для обеспечения подключения к АСОКИ Абонент обеспечивает:
подготовку помещений для размещения технических средств пользовательского сегмента АСОКИ;
наличие СВТ, программного обеспечения и сетевого оборудования с учетом технических требований к пользовательским сегментам при подключении к АСОКИ, приведенных в приложении 3 к настоящему Регламенту;
выполнение требований к составу организационных мер по защите информации при подключении к АСОКИ, согласно приложению 4 к настоящему Регламенту;
определение (уточнение) угроз, реализация которых может привести к нарушению безопасности информации в пользовательском сегменте АСОКИ, и разработку (доработку) на их основе частной модели угроз безопасности пользовательского сегмента АСОКИ.
определение (уточнение) класса защищенности пользовательского сегмента АСОКИ и уровня защищенности обрабатываемых персональных данных;
допуск представителей Оператора и (или) Оператора ЦОД для установки специального или иного программного обеспечения (при необходимости).
В целях подключения АСОКИ Абонент направляет Оператору заявку на подключение по форме согласно приложению 5 к настоящему Регламенту (далее - Заявка).
В Заявке указываются основания для подключения, подтверждается выполнение мероприятий предусмотренных п.4.2. настоящего Регламента и готовность выполнения дальнейших мероприятий по подключению к АСОКИ.
По результатам рассмотрения Заявки Оператор принимает решение о возможности подключения пользовательского сегмента к АСОКИ и направляет Абоненту соответствующее уведомление.
В случае принятия Оператором положительного решения о возможности подключения к АСОКИ Абонент совместно с Оператором и Оператором ЦОД обеспечивают разработку плана подключения пользовательского сегмента АСОКИ.
-
План подключения в общем случае может предусматривать следующие мероприятия:
Определение Оператором возможности распространения действующего аттестата соответствия АСОКИ на подключаемый пользовательский сегмент АСОКИ (определяется соответствие классов защищенности и актуальных угроз безопасности пользовательскому сегменту АСОКИ, в отношении которого ранее были проведены аттестационные испытания технических решений по системе защиты информации).
В случае невозможности распространения аттестата соответствия на подключаемый пользовательский сегмент АСОКИ:
Абонент (с привлечением при необходимости в соответствии с законодательством Лицензиата):
осуществляет формирование требований к системе защиты информации пользовательского сегмента АСОКИ путем разработки частного технического задания на создание (модернизацию) системы защиты информации пользовательского сегмента АСОКИ;
организует разработку технического проекта на создание (модернизацию) системы защиты информации пользовательского сегмента АСОКИ, а также эксплуатационной документации на систему защиты информации пользовательского сегмента АСОКИ (технического паспорта, руководства пользователя и администратора, инструкции по эксплуатации системы защиты информации, формуляр и т.п.);
обеспечивает разработку документов, определяющих правила и процедуры, направленные на обеспечение защиты информации в ходе эксплуатации пользовательского сегмента АСОКИ и внедрение организационных мер защиты информации (при необходимости);
обеспечивает получение, установку и настройку необходимых для подключения к АСОКИ средств защиты информации, их монтаж и настройку;
организует проведение предварительных испытаний системы защиты информации пользовательского сегмента АСОКИ, ее опытную эксплуатацию, а также анализ уязвимостей и принятие мер защиты информации по их устранению в пользовательском сегменте АСОКИ;
организует проведение приемочных испытаний системы защиты информации пользовательского сегмента АСОКИ и его аттестацию по требованиям защиты информации.
Оператор (при наличии соответствующих полномочий):
обеспечивает привлечение Лицензиатов для выполнения работ по созданию и вводу в эксплуатацию системы защиты информации пользовательских сегментов АСОКИ, поставке, установке и настройке технических средств защиты информации, аттестации пользовательских сегментов АСОКИ.
В случае возможности распространения аттестата соответствия на подключаемый пользовательский сегмент АСОКИ:
Оператор:
передает Абоненту для использования и ведения эксплуатационную документацию на систему защиты информации пользовательского сегмента АСОКИ (руководства пользователя и администратора, инструкции по эксплуатации системы защиты информации, формуляр и т.п.);
с привлечением Оператора ЦОД обеспечивает настройку технических средств защиты информации с централизованным управлением в соответствии с эксплуатационной документацией;
организует проведение приемочных испытаний системы защиты информации пользовательского сегмента АСОКИ.
Абонент:
разрабатывает технический паспорт на пользовательский сегмент АСОКИ;
обеспечивает настройку технических средств защиты информации (с привлечением при необходимости в соответствии с законодательством Лицензиата);
обеспечивает проведение приемочных испытаний системы защиты информации пользовательского сегмента АСОКИ.
По завершении мероприятий, предусмотренных планом подключения, осуществляется проверка готовности к осуществлению информационного обмена пользовательского сегмента с АСОКИ путем проведения приемочных испытаний пользовательского сегмента АСОКИ.
Приемочные испытания пользовательского сегмента АСОКИ проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (утв. постановлением Комитета стандартизации и метрологии СССР от 17 февраля 1992 г. №161) и включают проверку выполнения требований настоящего Регламента, а также проведение тестовой передачи данных.
Приемочные испытания осуществляются комиссией, создаваемой распоряжением Оператора. В состав комиссии должны входить представители Абонента, Оператора и Оператора ЦОД. Председателем комиссии является представитель Оператора.
При проведении приемочных испытаний пользовательского сегмента АСОКИ оформляется протокол испытаний, на основании которого делается заключение о соответствии пользовательского сегмента АСОКИ предъявляемым требованиям и возможности оформления Акта готовности или указываются выявленные недостатки.
Повторные приемочные испытания пользовательского сегмента АСОКИ и тестовая передача данных производится после устранения выявленных недостатков.
Пользовательский сегмент АСОКИ, в отношении которого принято решение о готовности подключения к АСОКИ, подлежит регистрации согласно пп.3.3-3.6 настоящего Регламента.
В случае распространения действующего аттестата соответствия АСОКИ на пользовательский сегмент АСОКИ после его регистрации в реестре пользовательских сегментов АСОКИ Оператор ЦОД направляет Абоненту подтверждение распространения аттестата соответствия по требованиям защиты информации АСОКИ на пользовательский сегмент АСОКИ. После получения указанного подтверждения Абонентом оформляется акт ввода пользовательского сегмента АСОКИ в эксплуатацию (с направлением копии в адрес Оператора) и подключение пользовательского сегмента к АСОКИ признается завершенным.
|
