Требования к надежности
[В требования к надежности должны быть включены состав и количественные значения показателей доступности/надежности для системы в целом или ее подсистем]
Показатели доступности/надежности
К показателям доступности/надежности относятся:
доступность;
надежность;
время сохранности данных;
время восстановления после сбоя.
Пояснения по показателям, связанным с доступностью/надежностью, приведены в таблице ниже (см. Таблица ).
Таблица — Определения показателей, связанных с доступностью/надежностью
№
|
Показатель
|
Определение
|
|
Надежность, измеряется в часах
|
Надежность - мера того, как долго Система может сохранять непрерывную работоспособность в рамках выполнения согласованных функций.
|
|
Доступность, измеряется в процентах
|
Доступность - способность Системы выполнять согласованною функцию в течении оговоренного времени ((время работы ИС - время простоя)/время работы ИС * 100).
|
|
Время сохранности данных (Recovery Point Objective - RPO), измеряется в часах
|
Время сохранности данных - допустимый период времени, за который могут быть утрачены данные
|
|
Время восстановления после сбоя (Recovery Time Objective - RTO) , измеряется в часах
|
Время восстановления после сбоя - допустимое время восстановления работоспособности
|
Значения показателей доступности/надежности, достижение которых необходимо обеспечить, представлено в таблице ниже (см. Таблица )
Таблица — Значения показателей доступности/надежности
№
|
Показатель
|
Значение
|
|
Надежность, измеряется в часах
|
5000 часов
|
|
Доступность, измеряется в процентах
|
99,5%
|
|
Время сохранности данных (Recovery Point Objective - RPO), измеряется в часах
|
12 часов
|
|
Время восстановления после сбоя (Recovery Time Objective - RTO) , измеряется в часах
|
4 часа
|
Требования к программным мероприятиям по обеспечению надежности
Надежность Системы должна достигаться комплексом организационных и технических мер, обеспечивающих требуемые уровни безотказности, ремонтопригодности, долговечности и сохранения ресурсов Системы.
Требования к безопасности
[С учетом размещения серверной части оборудования системы в региональном ЦОД, в данном разделе, в случае необходимости, указываются специальные требования по обеспечению безопасности клиентских технических средств, по допустимым уровням освещенности, вибрационных и шумовых нагрузок и т.п.]
Требования к эргономике и технической эстетике
[В подразделе должны быть указаны показатели Системы, задающие необходимое качество взаимодействия человека с машиной и комфортность условий работы персонала и пользователей.]
Автоматизированные рабочие места персонала, использующего АС КПР в своей деятельности, должны оборудоваться в соответствии с Санитарными Правилами и Нормами 2.2.2. 542-96 — "Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работ".
В качестве нормативно-технической документации при эргономическом проектировании компонентов интерфейса Системы должны использоваться государственные стандарты (в том числе стандарты серии ССЭТО — системы стандартов эргономических требований и эргономического обеспечения) и международные стандарты серии ISO 9241-12-98. «Эргономические требования по работе в офисе с терминалами визуального отображения информации».
Взаимодействие пользователей с Системой должно осуществляться посредством визуального графического интерфейса (GUI). Интерфейс Системы должен быть понятным и удобным, не должен быть перегружен графическими элементами и должен обеспечивать быстрое отображение экранных форм. Навигационные элементы должны быть выполнены в удобной для пользователя форме. Средства редактирования информации должны удовлетворять принятым соглашениям в части использования функциональных клавиш, режимов работы, поиска, использования оконной Системы. Ввод/вывод данных Системы, прием управляющих команд и отображение результатов их исполнения должны выполняться в интерактивном режиме. Интерфейс должен соответствовать современным эргономическим требованиям и обеспечивать удобный доступ к основным функциям и операциям Системы.
Интерфейс должен быть рассчитан на преимущественное использование манипулятора типа «мышь», то есть управление Системой должно осуществляться с помощью набора экранных меню, кнопок, значков и т. п. элементов. Клавиатурный режим ввода должен использоваться главным образом при заполнении и/или редактировании текстовых и числовых полей экранных форм.
Все надписи экранных форм, а также сообщения, выдаваемые пользователю (кроме системных сообщений), должны быть на русском языке.
Система должна обеспечивать корректную обработку аварийных ситуаций, вызванных неверными действиями пользователей, неверным форматом или недопустимыми значениями входных данных. В указанных ранее случаях Система должна выдавать пользователю соответствующие сообщения, после чего возвращаться в рабочее состояние, предшествовавшее неверной (недопустимой) команде или некорректному вводу данных.
Система должна оборудоваться в соответствии с Санитарными правилами и нормами — СанПиН 2.2.2.542-96 — «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работ» (утверждёнными постановлением Госкомсанэпиднадзора РФ от 14 июля 1996 г. № 14).
Требования к транспортабельности для подвижных АС
[В подразделе, при необходимости, должны быть приведены конструктивные требования, обеспечивающие транспортабельность технических средств системы, а также требования к транспортным средствам.]
Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы
[С учетом размещения серверной части оборудования системы в ЦОД, в данном подразделе должны быть сформулированы следующие требования:
Виды и периодичность обслуживания ТС системы или допустимость работы без обслуживания.
Особые требования по количеству, квалификации обслуживающего персонала и режимам его работы.
Особые требования к составу, размещению и условиям хранения комплекта запасных изделий и приборов.
Особые требования к регламенту обслуживания.]
Условия и регламент (режим) промышленной эксплуатации
Должно быть предусмотрено техническое обслуживание Системы.
Требования к срокам и периодичности проведения работ по техническому обслуживанию для системы в целом и для каждой из подсистем определяются в ЧТЗ на создание составных частей Системы.
Требования по количеству, квалификации обслуживающего персонала и режимам его работы
[В данном разделе также важно разделить режимы функционирования системы и режимы работы обслуживающего персонала, указывая в явном виде, что при круглосуточном режиме работы системы круглосуточного обслуживания или использования системы не требуется (или требуется), и оно может быть организовано в соответствии со штатным расписанием и должностными инструкциями, либо круглосуточно, в посменном режиме]
Требования к составу, размещению и условиям хранения комплекта запасных изделий и приборов
Требования к составу, размещению и условиям хранения комплекса запасных изделий и приборов не предъявляются.
Требования к регламенту обслуживания
При промышленной эксплуатации Системы входящее в ее состав системное программное и аппаратное обеспечение должно соответствовать рекомендациям производителя.
Должны соблюдаться правила эксплуатации компонентов Системы, а также производиться своевременная установка обновлений программного обеспечения, рекомендованных производителями.
Исполнителем должны быть предъявлены требования к обслуживанию, а также обслуживанию по возникновению особых (исключительных) ситуаций. Сюда включаются работы по обслуживанию технических средств Системы, данных в постоянных и временных хранилищах (базах данных), потоков сообщений в электронных коммуникациях, паролей и прав доступа.
В частности, в обслуживание входят работы:
по сохранению (копированию) журналов изменений баз данных и резервных копий баз данных;
по восстановлению баз данных при порче или разрушении данных;
по профилактическому контролю состояния дисковых запоминающих устройств и данных на них.
Выполнение указанных требований должно обеспечивать непрерывную работу комплекса. При этом резервное копирование информации может осуществляться в двух режимах:
создание полной копии базы данных;
сохранение изменений, внесенных со времени создания последней архивной копии (архивные копии log-файлов).
Периодичность и очередность этих операций определяются политикой резервного копирования информации площадкой размещения.
Создание полной копии базы данных осуществляется полным копированием всех файлов указанной базы на внешние носители.
При сохранении изменений, внесенных со времени создания последней архивной копии, на внешние носители переносятся только те изменения базы данных, которые были сделаны со времени или после последней операции архивирования (полного или частичного).
При восстановлении информации с архивных копий сначала с архивных носителей восстанавливается состояние базы данных на момент последней операции полного резервного копирования, затем в базу поочередно вносятся изменения со всех частичных архивов, созданных после полного резервирования.
Предпочтительный интервал для технического обслуживания Системы в нерабочие дни.
При промышленной эксплуатации Системы должен соблюдаться регламент обновления входящего в ее состав системного программного обеспечения.
Должно поддерживаться функционирование эталонной и промышленной платформ Системы.
Версии системного программного обеспечения, версии сборок прикладного программного обеспечения, созданного Исполнителем, и настройки, не связанные с IP-адресацией и URL вебсервисов, должны быть идентичны на обеих платформах.
На эталонной платформе Системы не должна вестись разработка. Эталонная платформа Системы должна быть предназначена только для тестирования функциональных возможностей и тестирования обновлений версий.
Любые изменения или обновления версий на эталонной платформе Системы должны применяться только в случае успешного проведения аналогичных работ на тестовой платформе.
Требования к защите информации от несанкционированного доступа
[Если ТЗ — на создание Системы, должна использоваться следующая вставка].
Система должна соответствовать действующим в Российской Федерации законодательным актам и отвечать требованиям, предъявляемым к информационным системам, осуществляющим обработку защищаемой информации (в т.ч. персональных данных).
Система должна быть классифицирована в соответствии с требованиями законодательства и нормативно – правовых актов Российской Федерации. Результаты классификации оформляются проектом соответствующего Акта классификации системы, утверждаемым рабочей группой в составе Исполнителя, Заказчика и Функционального заказчика системы.
При выполнении работ, предусмотренных настоящими техническими заданием, должны быть определены угрозы безопасности обрабатываемой в Системе информации, оценены их вероятность (актуальность), возможные последствия их реализации. Определение типа угроз безопасности защищаемой информации, актуальных для Системы, с учетом оценки возможного вреда. По отношению к каждой выявленной угрозе должен быть определен механизмы защиты и предложены соответствующие средства из числа входящих в состав Системы, а также средства защиты программно-аппаратного комплекса, на котором должна разворачиваться Система и ее компоненты. Должна быть сформирована Модель угроз и нарушителя информационной безопасности Системы.
Модель угроз информационной безопасности должна определять:
защищаемые объекты;
основные угрозы безопасности информации, включая угрозы техногенного характера, стихийные бедствия и угрозы, реализуемые нарушителями;
критерии уязвимости Системы к деструктивным воздействиям.
классификацию типов возможных нарушителей информационной безопасности;
предположения об имеющейся у нарушителя информации;
основные каналы, цели и объекты атак;
предположения об имеющихся у нарушителя средствах;
перечень атак].
[Если ТЗ на модернизацию Системы, должна использоваться следующая типовая вставка].
В ходе выполнения работ по модернизации Системы необходимо осуществить выполнение следующих работ:
1. Оценить влияние модернизируемых подсистем на уровень информационной безопасности Системы в целом;
2. Оценить соответствие существующей системы информационной безопасности требованиям документов, регламентирующих вопросы защиты информации.
По результатам проведения указанных работ должны быть скорректированы:
1. требования по обеспечению информационной безопасности;
2. акт классификации Системы;
3. модель угроз и нарушителя.
Технические требования по защите информации
[Если ТЗ — на создание Системы, должна использоваться следующая типовая вставка]
В Техническом проекте должны быть определены и отражены требования и решения по обеспечению информационной безопасности в Системе, программно-аппаратному комплексу, на котором должны разворачиваться Система и ее компоненты. Указанные требования и решения должны определять средства защиты информации в части:
механизмов (способов) аутентификации пользователей сервисов;
защиты идентификационной информации пользователей сервисов, хранимой и обрабатываемой в Системе;
обеспечения и контроля прав доступа к защищенным ресурсам и информации;
минимизации прав доступа;
механизмов (способов) аутентификации Системы при взаимодействии с внешними информационными системами;
обеспечения конфиденциальности и целостности передаваемой/принимаемой по каналам связи информации;
управления доступом к защищаемой информации и персональным данным;
резервирования, резервного копирования и восстановления;
антивирусной защиты;
разграничения доступа, на основании ролевой модели
анализа защищенности;
межсетевого экранирования;
криптографической защиты;
обнаружения вторжений;
контроля целостности обрабатываемых и технологических данных Системы и ее компонентов.
Должна быть обеспечена возможность защиты информации в Системе от потери и несанкционированного доступа на этапах её передачи и хранения.
Должен быть реализован следующий комплекс мер, направленных на защиту от несанкционированного доступа к функциям административного интерфейса Системы:
возможность ограничения доступа к административному интерфейсу;
возможность ведения журналов действий пользователей Системы и ее компонентов в административном интерфейсе и журнала аутентификаций.
Для настройки прав пользователей Системы должны создаваться отдельные роли пользователей, с назначением разрешений на выполнение отдельных функций и ограничений по доступу к информации, обрабатываемой в Системе и ее компонентах. При формировании ролей пользователей Системы и ее компонентов необходимо руководствоваться принципом, ограничивающим полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных, документально зафиксированных, обязанностей.
Необходимо обеспечить обязательное ведение журнала событий в Системе с указанием следующих значений для каждого события в системе:
уникальный порядковый номер записи;
дата и время события;
Имя учетной записи пользователя;
наименование события (выполняемое действие).
Успех/неуспех.
Необходимо обеспечить недоступность изменения записей журнала для всех пользователей системы, в том числе всех категорий обслуживающего персонала. Необходимо обеспечить доступность функции очистки журналов только для Администратора информационной безопасности. Функция очистки журнала должна автоматически сопровождаться обязательной записью данного события после очистки в журнал событий.
Внесению в журнал событий подлежат:
все события административного характера;
все события, относящиеся к предоставлению государственных услуг, в том числе и обрабатываемые в автоматическом режиме;
все события, относящиеся выполнению государственных функций, в том числе и обрабатываемые в автоматическом режиме;
сведения о произошедших ошибках в системе или процессе предоставления государственных услуг или выполнению государственных функций;
все события, относящиеся к изменению параметров системы и средств защиты информации.
В отношении средств защиты информации, разрабатываемых Исполнителем в составе Системы, в том числе с применением средств криптографической защиты, должны быть предложены решения, обеспечивающие возможность их последующей сертификации в системе сертификации ФСБ, ФСТЭК.
При разработке программного кода Исполнитель должен применять методы безопасного программирования, включающие:
ручную и автоматизированную проверку кода на предмет НДВ;
использование при разработке доверенной аппаратной платформы с функциями защиты от НДВ на системном и прикладном уровне;
контроль версионности исходного кода;
тестирование информационной системы на проникновения (пинтесты).
Детализированные требования к обеспечению информационной безопасности, а также требования по разработке организационно-распорядительных документов по обеспечению информационной безопасности, должны быть уточнены на этапах Предварительного и Технического проектирования.]
[Если ТЗ — на модернизацию Системы, должна использоваться следующая типовая вставка]
При разработке программного кода Исполнитель должен применять методы безопасного программирования, включающие:
ручную и автоматизированную проверку кода на предмет НДВ;
использование при разработке доверенной аппаратной платформы с функциями защиты от НДВ на системном и прикладном уровне;
контроль версионности исходного кода;
тестирование информационной системы на проникновения (пинтесты).
Детализированные требования к обеспечению информационной безопасности, а также требования по разработке организационно-распорядительных документов по обеспечению информационной безопасности, должны быть уточнены на этапах Предварительного и Технического проектирования.
Требования по сохранности информации при авариях
Сохранность информации в Системе должна обеспечиваться:
при разрушении данных при механических и электронных сбоях и отказах в работе компьютеров: на основе программных процедур восстановления информации с использованием хранимых копий баз данных, файлов журналов изменений в базах данных, копий программного обеспечения.
Для обеспечения сохранности информации в Системе должны быть включены следующие функции:
резервное копирование баз данных Системы;
восстановление данных в непротиворечивое состояние при программно-аппаратных сбоях (отключение электрического питания, сбоях операционной Системы и других) вычислительно-операционной среды функционирования;
восстановление данных в непротиворечивое состояние при сбоях в работе сетевого программного и аппаратного обеспечения.
Перечень событий, при которых должна быть обеспечена сохранность информации в системе
В Системе должно предусматриваться автоматическое восстановление обрабатываемой информации в следующих аварийных ситуациях:
программный сбой при операциях записи/чтения;
разрыв связи с клиентской программой (терминальным устройством) в ходе редактирования/обновления информации.
В Системе должна предусматриваться возможность ручного восстановления обрабатываемой информации из резервной копии в следующих аварийных ситуациях:
физический выход из строя дисковых накопителей;
ошибочные действия обслуживающего персонала.
В Системе должно предусматриваться автоматическое восстановление работоспособности серверной части Системы в следующих ситуациях:
штатное и аварийное отключение электропитания серверной части;
штатная перезагрузка Системы и загрузка после отключения;
программный сбой общесистемного программного обеспечения, приведший к перезагрузке системы.
В Системе должно предусматриваться полуавтоматическое восстановление работоспособности серверной части Системы в следующих аварийных ситуациях:
физический выход из строя любого аппаратного компонента, кроме дисковых накопителей — после замены компонента и восстановления конфигурации общесистемного программного обеспечения;
аварийная перезагрузка системы, приведшая к нефатальному нарушению целостности файловой системы — после восстановления файловой системы.
Требования к регламентам и объемам резервного копирования и архивирования данных
[C учетом размещения серверной части оборудования системы в региональном ЦОД, в данном разделе приводятся особые требования к регламентам и объемам резервного копирования и архивирования данных в случае их наличия]
Требования к патентной чистоте и защите авторских прав
[В разделе указываются сведения о передаче неисключительных прав на разрабатываемую систему]
В результате создания Системы по настоящему Техническому заданию, Исполнитель предоставляет Заказчику исходные коды разработанного программного обеспечения и всех модулей Системы (за исключением общесистемного программного обеспечения), а также, Заказчику передается неисключительное право на использование, модернизацию и развитие Системы на неопределенный срок. Информация, накопленная в результате эксплуатации Системы, принадлежит Заказчику.
Перечень стран, в отношении которых должна быть обеспечена патентная чистота системы и ее частей
[В подразделе должен быть приведен перечень стран, в отношении которых должна быть обеспечена патентная чистота системы и ее частей.]
Патентная чистота программного комплекса и его частей должна быть обеспечена в отношении патентов, действующих на территории Российской Федерации.
Реализация технических, программных, организационных и иных решений, предусмотренных проектом Системы, не должна приводить к нарушению авторских и смежных прав третьих лиц.
При использовании в Системе программ (программных комплексов или компонентов), разработанных третьими лицами, условия, на которых передается право на использование (исполнение) этих программ, не должны накладывать ограничений, препятствующих использованию Системы по ее прямому назначению.
Требования к использованию лицензионного программного обеспечения
При использовании в Системе программ (программных комплексов или компонентов), разработанных третьими лицами, условия, на которых передается право на использование (исполнение) этих программ, не должны накладывать ограничений, препятствующих использованию Системы по ее прямому назначению. Точный состав и количество лицензий на ПО, необходимое для запуска системы в промышленную эксплуатацию, должно быть указано в Ведомости покупных изделий технического проекта.
Требования по стандартизации и унификации
[В требования по стандартизации и унификации должны быть включены показатели, устанавливающие требуемую степень использования стандартных, унифицированных методов реализации функций (задач) системы, поставляемых программных средств, типовых математических методов и моделей, типовых проектных решений, унифицированных форм управленческих документов, установленных ГОСТ 6.10.1-88, общесоюзных классификаторов технико-экономической информации и классификаторов других категорий в соответствии с областью их применения, требования к использованию типовых автоматизированных рабочих мест, компонентов и комплексов].
Развитие Системы должно быть реализовано с использованием стандартных и унифицированных методов разработки программных средств. Используемая при развитии Системы система проектирования должна обеспечивать унификацию функциональных задач, операций и интерфейсов в части их реализации.
Экранные формы должны проектироваться с учетом требований унификации:
все экранные формы пользовательского интерфейса должны быть выполнены в едином графическом дизайне, с одинаковым расположением основных элементов управления и навигации;
для обозначения одних и тех же операций должны использоваться одинаковые графические значки, кнопки и другие управляющие (навигационные) элементы;
должны быть унифицированы термины, используемые для описания идентичных понятий, операций и действий пользователя;
реакция системы на действия оператора (наведение указателя «мыши», переключение фокуса, нажатие кнопки) должна быть типовой для каждого действия над одними и теми же графическими элементами, независимо от их расположения на экране.
[В случае, если работа в создаваемой системе организованная по средствам веб-интерфейса, необходимо указать совместимость с браузерами и мобильными устройствами, при необходимости]
Система в полном объеме и с полным функциональным наполнением должна работать в следующих браузерах:
Internet Explorer, версия 7 и выше;
Mozilla Firefox, версия 3.0 и выше;
Opera, версия 10 и выше;
Google Chrome, версия 0.2.149 и выше;
Apple Safari, версия 3.0 и выше.
Также, Система должна корректно работать и полностью сохраняться весь функционал на мобильных устройствах (мобильные телефоны, смартфоны, планшеты).
Дополнительные требования
[В дополнительных требованиях должны быть указаны:
требования к оснащению системы устройствами для обучения персонала (тренажерами, другими устройствами аналогичного назначения) и документацией на них;
требования к системе, связанные с особыми условиями эксплуатации;
Требования по сертификации Системы, ее компонентов
специальные требования по усмотрению Исполнителя или Заказчика системы.]
Требования к оснащению системы устройствами для обучения персонала и документацией на них
Требования к оснащению Системы устройствами для обучения персонала (тренажеры, другие устройства аналогичного назначения) не установлены.
Требования к Системе, связанные с особыми условиями эксплуатации
Требования к системе, связанные с особыми условиями эксплуатации не установлены.
Требования по сертификации Системы, ее компонентов
Необходимо получить свидетельство <�наименование свидетельства>.
Специальные требования
Требования к электронным учебным курсам
[Ниже приводится типовая вставка, которая может быть использована при наполнении данного раздела. Данная вставка должна быть отредактирована в соответствии с выполняемыми работами. Требуется только в случае необходимости разработки электронных учебных курсов в рамках выполняемых работ]
Требования по соответствию электронных курсов международным стандартам
Требования к формату используемых в курсе файлов
К формату используемых в курсе файлов предъявляются следующие требования:
возможность вставки в курсы любого Rich-media содержимого: Macromedia® Flash®, Shockwave®, Java®, видео в форматах (AVI, WMV, MPEG, MOV, RM, FLV);
простые механизмы вставки и синхронизации звукового сопровождения в форматах: AIFF, WMA, MP3, WAV, SWF;
Присоединяемые внешние документы могут быть: Текстовый файл (TXT), HTML файл, Rich Text Format (RTF), Microsoft Word (DOC), Microsoft Excel (XLS), Adobe PDF, Архив ZIP, Архив RAR и т. д.
Требования к просмотру электронных курсов через браузер
Электронные курсы в полном объеме и с полным функциональным наполнением должны просматриваться в браузерах: Internet Explorer 6.0 и выше, FireFox 3.0, Google Chrome 1 и выше, Opera 11 и выше, Apple Safari 4.0.
|