Регламентирована процедура установления сроков хранения баз данных и документации на ПО, используемое ФТС России

ФТС России опубликовала «Порядок организации процессов жизненного цикла программных средств информационных систем и информационных технологий таможенных органов» (утв. Приказом ФТС России от 3 февраля 2010 г. № 183). Порядок утвержден «в целях совершенствования организации создания, модернизации, внедрения, эксплуатации, сопровождения и вывода из эксплуатации программных средств информационных систем и информационных технологий таможенных органов, созданных по заказу ФТС России и на которые ФТС России имеет исключительное право».

Учитывая, что в документе под «программными средствами информационных систем и информационных технологий таможенных органов» понимаются как «программы, предназначенные для многократного применения на различных объектах (по ГОСТ 28195-89), программная документация, а также базы данных различного назначения, созданные в интересах ФТС России по ее заказу (п.1.4.)», меня заинтересовало, затрагивает ли данный документ вопросы установления сроков хранения всем этим ценным ресурсам.

Нормативным актом предусмотрено, что сроки хранения будут устанавливаться только при выведении ПС из эксплуатации. На этапе разработки, ввода в эксплуатацию и использования этот вопрос рассматривать не требуется.

Порядок организации процессов жизненного цикла программных средств информационных систем и информационных технологий таможенных органов (утв. Приказом ФТС России от 3 февраля 2010 г. № 183)

7.6. В проекте приказа о выводе из эксплуатации ПС должно быть отражено:

• обеспечение доступности данных, содержащихся в выводимых из эксплуатации ПС, и дальнейшее использование выводимых из эксплуатации ПС;
• сроки хранения ПС, программной документации, информационных ресурсов (при необходимости), созданных в результате эксплуатации ПС.

С моей точки зрения, такой подход к определению сроков хранения создает реальную угрозу утраты информации и документов, которые хранятся в этих системах и базах данных. Как показывает практический опыт, принимать решение о сроках хранения электронной информации необходимо еще на этапе проектирования систем, в который эта информация будет храниться, поскольку от сроков хранения (особенно если они более 5 лет) будут существенно зависеть технические решения.

Кроме того, в качестве приложения к Порядку приведены «Типовые требования по безопасности информации, предъявляемые к программным средствам информационных систем и информационных технологий таможенных органов». В них также установлен срок оперативного хранения для одного-единственного электронного документа, документирующего работу самой информационной системы – журнала регистрации и учета работы пользователей:

«Типовые требования по безопасности информации, предъявляемые к программным средствам информационных систем и информационных технологий таможенных органов» (Приложение № 1 к Порядку организации процессов жизненного цикла программных средств информационных систем и информационных технологий таможенных органов)

4. Требования по регистрации и учету работы пользователей включают:
…Регистрация параметров и событий должна осуществляться в специальном журнале. … Данные журнала не могут модифицироваться администратором или пользователем и хранятся не менее 1 года, после чего выгружаются в специальный архивный файл. Правила хранения архивного файла устанавливаются организационно-распорядительным документом таможенного органа.

Не забыли таможенники и об обеспечении межведомственного взаимодействия, причем как с информационными системами самих таможенных органов, так и «с международными сетями информационного обмена»:

«Типовые требования по безопасности информации, предъявляемые к программным средствам информационных систем и информационных технологий таможенных органов» (Приложение № 1 к Порядку организации процессов жизненного цикла программных средств информационных систем и информационных технологий таможенных органов)

9. При необходимости информационного обмена компонентов ПС, входящих в ЕАИС таможенных органов, с международными сетями информационного обмена и (или) с иными внешними телекоммуникационными сетями такой информационный обмен может быть реализован только с использованием автоматизированной системы внешнего доступа ГНИВЦ ФТС России, если иное не регламентируется нормативными актами ФТС России.

В документации ПС должны приводиться описания технологий информационного обмена (с обязательным приложением копий утвержденных схем).

10. При необходимости взаимодействия создаваемых (модернизируемых) ПС с ресурсами ЦБД ЕАИС таможенных органов необходимо указывать наименования ресурсов и ролей доступа в строгом соответствии с перечнем информационных ресурсов ЦБД ЕАИС таможенных органов, программных средств доступа к ним, включенных в ФАП ФТС России, и типовых ролей доступа, которые используются при работе ПС.

В случае, если работа ПС предусматривает выгрузку данных либо изменение данных ЦБД ЕАИС таможенных органов, то документация должна содержать подробный алгоритм обработки данных с указанием конкретных таблиц баз данных, с ресурсами которых планируется работа ПС.

Чего не удалось обнаружить в документе, так это требований к обеспечению сохранности самой информации, которая будет накапливаться и храниться в этих информационных системах и базах данных на протяжении всего её жизненного цикла (требование к созданию резервных копий (п.11 Типовых требований) – не в счет).

Источник: Консультант+
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=EXP;n=475800;div=LAW;mb=LAW;opt=1;ts=712EA7BBC3531ADD927A26521BE21358