НЕФУНКЦІОНАЛЬНІ ВИМОГИ ДО МУНІЦИПАЛЬНОЇ СИСТЕМИ ЕНЕРГЕТИЧНОГО МЕНЕДЖМЕНТУ

Надійність Системи повинна бути забезпечена за наступними напрямками:

− забезпечення працездатності компонентів програмно-технічної платформи;

− збереження даних.

При цьому повинна вимагатися мінімальна увага з боку системного адміністратора щодо реакції на усунення наслідків відмов компонентів, а також програмно-апаратними засобами повинно бути забезпечене збереження даних.

ПЗ повинне забезпечувати відмовостійку роботу в режимі 24х7х365 і гарантувати доступність для роботи кінцевих користувачів на рівні мінімум 99%.

Система має бути захищеною від фізичних відмов обладнання засобами логічного резервування даних і компонентів підсистем з використанням відповідних протоколів та засобів контейнеризації і віртуалізації. Для захисту від помилок у системному ПЗ та прикладному ПЗ має бути створена система резервного копіювання з метою оперативного відновлення робочих конфігурацій ПЗ з резервних копій.

Максимальний час відновлення працездатності ПЗ не більше 30 хвилин.

Збереженість інформації на випадок аварій повинна бути забезпечена у повному обсязі. Резервне копіювання повинно забезпечуватися функціональністю, реалізованою в рамках ПЗ Системи та одночасно штатними засобами СУБД, що використовуються.

Для забезпечення резервного копіювання інформації на випадок аварій створюється окремі територіально рознесені з ЦОД сховища (сховище). Резервне копіювання має відбуватися з періодичністю, що забезпечує повне збереження та відновлення даних. Затрати часу на відновлення системи з урахуванням технічних затримок, підключення до резервного ЦОД та операцією контролю працездатності, повинні бути мінімальними для забезпечення безперервної роботи та не перевищувати однієї доби.

Збереження даних має забезпечуватися у випадках:

− вимкнення живлення;

− відмови технічних засобів обробки інформації;

− помилки, збоїв або руйнування програмного забезпечення.

Вимоги щодо надійності інформаційної системи можуть бути уточнені Виконавцем та повинні бути зазначені в наступних версіях технічного завдання.

8.2 Вимоги до захисту інформації

Для забезпечення захисту інформації в електронній системі необхідне поєднання наступних заходів:

Законодавчих (врахування нормативних актів, стандартів тощо, спрямованих на створення КСЗІ системи);

Програмно-технічних (використання спеціальних апаратних і програмних засобів, що запобігають або ускладнюють несанкціонований доступ до елементів мережі та до інформації, перевірка відповідності вимогам технічного захисту обладнання, що використовується в системі).

Захист інформації в електронній системі базується на реалізації наступних основних принципів:

− централізоване управління системою;

− послідовність рубежів захисту інформації;

− адекватність та ефективність захисту;

− збереження захисту під час відмови частин системи;

− захист засобів безпеки;

− безперервність захисту;

− прихованість захисту.

Для забезпечення захисту інформації в системі повинна бути створена КСЗІ системи з підтвердженою відповідністю.

Основною вимогою до інформаційної безпеки є відповідність вимогам закону України “Про захист інформації в інформаційно-телекомунікаційних системах”.

Парольні політики для адміністраторів мають визначатись у вигляді налаштувань і автоматично контролюватись системою керування контенту. Система має бути захищена від найбільш поширених типів атак, наприклад SQL injection, XSS, отримання доступу методом перебирання паролів, тощо. Перелік типових атак буде погоджений з Виконавцем в ході погодження дизайну і технічного завдання.

Паролі мають зберігатись і передаватись виключно в шифрованому вигляді, відповідності до вимог законодавства в галузі “Криптографічного захисту інформації”. Інформація, що послаблює інформаційну безпеку (така, як id сесії, id користувача, тощо), не повинна відображатись публічно.

Реалізація парольної політики та захист від використання слабких паролів.

На фізичному рівні мають бути виконані наступні правила (можуть бути змінені на етапі побудови КСЗІ):

− фізичний доступ до обладнання повинен бути обмеженим та усі дії повинні бути зафіксовані;

− фізичний доступ до резервних копій системи повинен бути обмеженим відповідно до регламенту адміністрування системи та усі дії повинні бути зафіксованими;

− система повинна мати функціонал по обмеженню кількості запитів до ЦБД з метою її захисту від перевантаження.