CC BY
24
О ДАЛЬНЕЙШЕМ ПРОВЕДЕНИИ РАБОТ ПО СОЗДАНИЮ МОСКОВСКОГО ГОРОДСКОГО ПОРТАЛА
«Электронная Москва» в документах
Принято постановление Правительства Москвы от 14 июня 2005 г. JV? 439-ПП «О дальнейшем проведении работ по созданию Московского городского портала».
В целях обеспечения реализации прав граждан и организаций на доступ к информации, в соответствии с Законом города Москвы от 9 июля 2003 г. № 47 «О Городской целевой программе «Электронная Москва» и с распоряжением Правительства Москвы от 18 ноября 2004 г. N9 2325-РП «О дальнейшем развитии официального сервера Правительства Москвы в сети Интернет» Правительство Москвы постановляет:
1. Утвердить Концепцию Системы городских порталов (далее - Концепция СГП) согласно приложению 1 к настоящему постановлению.
2. Органам исполнительной власти города Москвы, государственным учреждениям и государственным унитарным предприятиям при создании (модернизации) и эксплуатации Интернет-ресурсов города Москвы, а также связанных с ними информационных систем и ресурсов руководствоваться положениями Концепции СГП.
3. Утвердить Функциональные требования к Московскому городскому порталу (далее - МГП) в сети Интернет (приложение 2), приведенные в соответствие с Концепцией СГП.
4. Принять к сведению, что в соответствии с Концепцией СГП МГП является основным нави-гационно-поисковым и справочно-информацион-ным ресурсом СГП, предоставляющим единую (но не единственную) точку доступа пользователей к городским Интернет-ресурсам и обеспечивающим их информационную безопасность.
5. Считать утратившим силу распоряжение Правительства Москвы от 14 ноября 2002 г. № 1762-РП «О Редакционной коллегии Городского портала Москвы в сети Интернет».
6. Считать утратившим силу постановление Правительства Москвы от 7 октября 2003 г. № 840-ПП «О принципах организации Городского портала Москвы в сети Интернет».
7. Определить государственным заказчиком по созданию и эксплуатации МГП Управление информатизации города Москвы.
8. Управлению информатизации города Москвы, Генеральному конструктору Городской целевой программы «Электронная Москва» обеспечить дальнейшую разработку МГП, общегородских интеграционных систем и требований по интеграции городских Интернет-ресурсов в соответствии с Концепцией СГП.
9. Управлению информатизации города Москвы в целях реализации п. 8 настоящего постановления:
- обеспечить в установленном порядке начиная с 2005 г. финансирование выполнения этапов работ по мероприятию 1.3.1 Плана мероприятий Городской целевой программы «Электронная Москва» на 2004-2005 годы, утвержденного постановлением Правительства Москвы от 3 августа 2004 г. № 526-ПП «Об утверждении Плана мероприятий Городской целевой программы «Электронная Москва» на 2004-2005 годы и нормативных документов по созданию и использованию информационных систем и ресурсов города Москвы», за счет и в пределах средств, предусмотренных бюджетом города Москвы;
- в двухмесячный срок оформить комплекс программно-технических средств МГП, созданных и приобретенных в ходе выполнения работ по созданию МГП (первая очередь) в государственную собственность Москвы в установленном порядке;
- в месячный срок заключить договор доверительного управления имуществом с передачей комплекса программно-технических средств, созданных и приобретенных в ходе выполнения работ по созданию МГП, на баланс ОАО «Электронная Москва» сроком на 5 лет для дальнейшего использования при создании МГП.
10. Контроль за выполнением настоящего постановления возложить на начальника Управления информатизации города Москвы Михайлова А.Н.
Мэр Москвы ЮЖ ЛУЖКОВ
- 55
Выдержки из приложения 1 к постановлению Правительства Москвы
от 14 июня 2005 г. №439-ПП:
КОНЦЕПЦИЯ СИСТЕМЫ ГОРОДСКИХ ПОРТАЛОВ
1. Общие положения 1.1. Цели
В соответствии с Законом города Москвы № 47 от 09.07.2003 (далее - Закон) одними из основных задач Городской целевой программы «Электронная Москва» (далее - ГЦПЭМ) являются:
- формирование и эффективное использование системы городских Интернет-ресурсов;
- обеспечение широкого, свободного доступа к ним всех категорий пользователей при соблюдении режима информационной безопасности по отношению к личности, обществу и городским органам власти;
- создание необходимой нормативно-правовой базы, регулирующей отношения в области получения, распространения и использования городской информации на основе технологий Интернета.
В рамках настоящей Концепции Система городских порталов (СГП) рассматривается как единая, взаимоувязанная система официального информационного представительства г. Москвы в сети Интернет, объединяющая все Интернет-ресурсы, относящиеся к официальному представительству различных структур власти г. Москвы и городского хозяйства, включая соответствующим образом модифицированные ресурсы, уже эксплуатируемые в настоящее время. Основной целью ее создания является достижение качественно нового уровня информационного взаимодействия системы власти и хозяйства г. Москвы с жителями города, представителями бизнеса, общественными организациями на основе преимущественного использования персонифицированных интерактивных Интернет-услуг. В этой связи предполагается, что в ближайшем будущем СГП должна стать основной инструментальной средой для предоставления широкого комплекса персонифицированных интерактивных услуг пользователям Интернета со стороны города в целях формирования системы «электронного правительства» г. Москвы и повышения эффективности взаимодействия городской власти с населением в режиме «одного окна». Следует также отметить, что в ближайшем будущем в качестве практического механизма реализации указанных назначений СГП должно стать широкое использование функциональных возможностей создаваемой в рамках ГЦПЭМ Метасистемы «Электронная Москва» (МЭМ).
Исходя из приведенной выше трактовки СГП в настоящей Концепции формулируются общие положения и принципы, определяющие содержательные, организационные и технические подходы, которыми следует руководствоваться при разработке и развитии официальных Интернет-ресурсов г. Москвы, а также связанных с ними информационных систем и ресурсов (ИСИР) в интересах их перспективной интеграции в единую взаимоувязанную структуру. В этой связи предполагается, что на основе сформулированных положений должен быть разработан и утвержден детальный переченьтехни-ческих и организационных требований по реализации настоящей Концепции в рамках выполнения мероприятий ГЦПЭМ на период 2004-2007 гг.
1.2.2.1. Востребованность городской информации
Прежде чем оценивать уровень востребованности официальных Интернет-ресурсов, следует зафиксировать, какие информационные продукты могут быть потенциально предоставлены пользователям со стороны города. Как показывает анализ содержательных характеристик городских Интернет-ресурсов, а также уровня технологического и организационного развития соответствующих ИСИР по состоянию на середину 2004 г., указанный перечень продуктов может включать в себя следующие основные позиции:
- издаваемые городской властью всех уровней нормативно-правовые документы;
- официальная (т.е. наиболее актуализированная и надежно верифицированная) справочная информация общего назначения, в том числе: функциональная атрибутика органов власти и хозяйственных структур (включая персоналии и сферы их компетенции); коммуникационные и контактные сведения (адреса, телефоны, факсы, электронная почта, \уеЬ-представительство); режимы работы учреждений и предприятий и т.п.;
- актуализированная статистическая и фактографическая информация о текущей и перспективной деятельности структур городской власти и хозяйства (отчеты, бюллетени, статистические справки, планы и графики мероприятий и т.д.);
- актуализированные в результате выполнения управленческих и/или регистрационных функций городских структур справочно-информационные
каталоги организаций и предприятий, сформированные по территориальному или отраслевому принципу (например, электронные справочники профильных организаций, связанных с деятельностью отраслевой структуры, директории предприятий и организаций, расположенных на территории муниципального образования, виртуальные территориально-отраслевые торговые площадки, профильные и/или тематические форумы, электронные доски объявлений и т.п.);
- открытые для публичного доступа адресно-географические и адресно-транспортные данные и предоставляемые с их использованием интерактивные услуги (электронные схемы и карты), основанные на официальных реестрах зданий и сооружений;
- анонсы мероприятий и событий, связанных с функционированием городских структур (например, района, округа, департамента, комитета, комплекса, Правительства города);
- общегородские, региональные или отраслевые новостные материалы, эксклюзивно подготавливаемые редакциями городских Интернет-ресурсов;
- подготовленные редакциями Интернет-ресурсов аналитические, обзорные и тематические материалы, связанные с общегородской, территориальной или отраслевой проблематикой;
- фактографические (в т.ч. исторические) информационно-справочные материалы, основанные на информации, связанной с деятельностью отраслевых или территориальных структур городской власти.
Приведенный выше перечень практически исчерпывает все возможное информационное наполнение, которое отдельные городские структуры могут в настоящее время предоставить пользователю Интернет на эксклюзивной основе. Следует признать, что функциональный дизайн отдельных городских Интернет-ресурсов, исключительно основанный на указанной выше информации, едва ли может обеспечить высокий уровень их информационной конкурентоспособности в сети.
5. Информационная безопасность
Нормативное обеспечение информационной безопасности:
- Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации от 09.09.2000;
- Федеральный закон «Об информации, информатизации и защите информации» от 20.02.1995 № 24-ФЗ;
- Указ Президента Российской Федерации от 06.03.1997 N9 188 "Об утверждении перечня сведений конфиденциального характера";
- Указ Президента Российской Федерации от 12.05.2004 N9 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена».
Аппаратное и программное обеспечение, используемые для построения портала, должны в установленном порядке пройти государственную сертификацию и соответствовать требованиям, предъявляемым к пятому классу защищенности по классификации действующего руководящего документа (РД) Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Средства вычислительной техники должны предоставлять возможность реализации дискреционного (или иного, более развитого и защищенного) механизма разделения доступа в рамках единого программно-аппаратного комплекса разрабатываемой АС.
Информационная безопасность СГП, МГП и ОИС должна будет обеспечиваться комплексной системой информационной безопасности, создаваемой в рамках проекта создания МЭМ.
6. Оформление программной документации
Разработчиками должна быть представлена исчерпывающая документация на все программные продукты, применяемые в системе.
Обязательно предоставление исходных текстов модулей, осуществляющих авторизацию и аутентификацию пользователей.
Проектная документация должна четко описывать механизмы и алгоритмы взаимодействия модулей и систем.
Текст программ должен сопровождаться комментариями, позволяющими понять логику и механизмы, используемые в программах.
Требования информационной безопасности к разработке программного обеспечения портала.
Проверка получаемых параметров
Параметры, получаемые приложениями МГП, должны проверяться на соответствие типам, размерам, значениям.
Проверка параметров на соответствие не должна осуществляться только на клиентской стороне.
Проверка параметров должна осуществляться до их передачи серверным приложениям.
Проверка параметров не должна осуществляться по принципу исключения запрещенных
- 57
значений. Проверка должна осуществляться на разрешение только допустимых значений.
7. Авторизация и аутентификация
При доступе к закрытым областям проверка должна осуществляться при любой попытке доступа к любому адресу закрытой области. Недопустимо возникновение ситуации, при которой существует возможность получить доступ к объекту закрытой области, минуя проверку.
Программное обеспечение не должно допускать возможности использования его для косвенного доступа к закрытым областям или данным. Не должно быть возможности получения содержимого закрытого информационного объекта путем вызова открытых функций портала с указанием адреса закрытого источника.
Должна быть максимально исключена возможность кэширования содержимого страниц, для доступа к которым требуется авторизация.
При использовании механизма учетных записей должны быть четко сформулированы политика и зона доступа для пользователей с теми или иными .правами.
При использовании для идентификации вводимых пользователями паролей должны быть реализованы механизмы проверки пароля на устойчивость к подбору и ограничения попыток ввода некорректного значения учетных записей и паролей. В том случае, если предусматривается механизм смены пароля для пользователей, при смене пароля в обязательном порядке должно запрашиваться его предыдущее значение. При использовании механизма отсылки по электронной почте забытого пароля должна осуществляться проверка на соответствие учетной записи и электронного адреса.
Возможность хранения пароля в тексте процедур или функций, применяемых на портале, должна быть исключена.
При пересылке паролей, персональных данных пользователей или любой другой конфиденциальной информации необходимо использовать механизм защищенного соединения.
Система не должна предоставлять возможности получить список идентификационных записей, применяемых в системе. В случае необходимости должны использоваться некие псевдонимы учетных записей, для того чтобы исключать использование значений реальных учетных записей для атаки или попытки подбора пароля.
8. Предотвращение внедрения вредоносных компонентов (предотвращение внедрения вредоносных компонентов в состав системы программного обеспечения и данных)
Система должна контролировать получаемую информацию на предмет отсутствия вредоносного для нее или других пользователей системы кода. В частности, должна предотвращаться возможность внедрения в тело сообщений, предназначенных для публичного просмотра, какого-либо вредоносного кода. Механизм, обеспечивающий недопущение вредоносных компонентов, должен действовать не по принципу исключения данных, соответствующих некоторым образцам или значениям, а по принципу исключения всех данных, не соответствующих разрешенным значениям или образцам.
9. Защита общесистемного программного обеспечения
Приложения, используемые в системе, должны быть сконфигурированы таким образом, чтобы работать при минимально необходимых им привилегиях и уровнях доступа.
При использовании внешних программ, системных вызовов и т.д. необходимо разработать механизм перехвата аварийных сообщений и проверки отправляемых данных.
10. Контроль ошибок
При разработке системы должны быть определены возможные типы ошибок и механизмы обработки аварийных ситуаций.
При возникновении ошибок или аварийных ситуаций система должна выдавать пользователям сообщение об этом, не указывая при этом никаких дополнительных данных. Сообщение об ошибке не должно содержать информации об архитектуре системы.
Определенные типы ошибок должны регистрироваться в журналах сбоев.
11. Конфигурация системы
Программное обеспечение, используемое в
системе, должно быть сконфигурировано так, чтобы обеспечить невозможность несанкционированного доступа к системе или отказа в обслуживании.
Программное обеспечение системы должно максимально использовать встроенные механизмы защиты информации.
Необходимо отключить все не используемые в системе сервисы.
Программное обеспечение должно фиксировать все возникающие ошибки или аварийные ситуации.
