Файл: Технические требования.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 05.12.2023

Просмотров: 32

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


Приложение №3 к Техническому заданию
ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

на выполнение работ по созданию подсистемы защиты информации автоматизированной информационной системы управления фондом капитального ремонта регионального оператора города Севастополя



  1. Общие сведения

    1. Объект защиты

Информационная система персональных данных (далее ИСПДн) – автоматизированная информационная система управления фондом капитального ремонта регионального оператора города Севастополя.

    1. Состав работ

Работы по созданию подсистемы включают в себя:

  • поставку программного и аппаратного обеспечения средств защиты информации и технических средств;

  • выполнение монтажа и настройки программного и аппаратного обеспечения средств защиты информации и технических средств.


    1. Основание проведения работ

Основаниями проведения настоящих работ являются:
  • наличие у Заказчика ИСПДн, в которых осуществляется обработка персональных данных сотрудников Заказчика и граждан, пользующихся услугами Заказчика (далее - субъекты персональных данных);

  • требования законодательства Российской Федерации в области обработки и защиты персональных данных.





  1. Назначение и цели создания подсистемы защиты объектов информатизации

    1. Назначение подсистемы защиты

Подсистема защиты персональных данных ИСПДн предназначена для обеспечения выполнения требований Федеральной службы по техническому и экспортному контролю России (далее - ФСТЭК России), Федеральной службы безопасности Российской Федерации (далее – ФСБ РФ) и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор).

    1. Цели создания подсистемы защиты объектов информатизации

Основными целями создания подсистемы защиты персональных данных ИСПДн являются:
  • защита персональных данных субъектов, обрабатываемых техническими средствами, от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа за счёт комплексного использования организационных, программных, программно-аппаратных средств и мер защиты;

  • защита персональных данных, передаваемых по открытым каналам связи, от утечки, искажения и подмены авторства сообщения;

  • выполнение требований ФСТЭК России, ФСБ РФ и Роскомнадзора по защите персональных данных.


  1. Общая характеристика объектов информатизации

В состав ИСПДн Заказчика входят:

  • 10 АРМ под управлением ОС семейства Windows.

  • Сервер Системы, расположенный в центре обработки данных Исполнителя.


  1. Требования к подсистеме защиты персональных данных

    1. Требования законодательства в сфере защиты персональных данных

Для объектов информатизации Заказчика мероприятиями по защите персональных данных, обрабатываемых на объектах информатизации Заказчика, будут являться меры, соответствующие выполнению требований:

  • Федерального закона РФ № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;

  • Федерального закона РФ № 152-ФЗ от 27 июля 2006 г.
    «О персональных данных»;

  • Постановления Правительства Российской Федерации № 211 от 21 марта
    2012 г. «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • Постановления Правительства Российской Федерации № 1119
    от 01 ноября 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

  • нормативно-методических документов ФСТЭК РФ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

  • нормативно-методических документов ФСБ РФ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.





    1. Требования к подсистеме защиты в целом

Для реализации мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, Исполнитель должен создать подсистему защиты персональных данных ИСПДн.

      1. Требования к структуре и функционированию подсистемы защиты персональных данных ИСПДн

        1. Требования к составу

Для создания подсистемы необходимо построить следующие подсистемы, используя поставляемые Исполнителем программное и аппаратное обеспечение в соответствии с разделом 5 настоящего Технического задания:

  • подсистема управления доступом, регистрации, учета и обеспечения целостности;

  • подсистема межсетевого экранирования и защиты каналов связи;

  • подсистема обнаружения вторжений;

  • подсистема антивирусной защиты.


          1. Подсистема управления доступом, регистрации, учета и обеспечения целостности

Описываемая подсистема должна включать в себя средство управления доступом субъектов доступа к объектам доступа - СЗИ от НСД Dallas-Lock 8.0-С.

Все АРМ Заказчика, участвующие в обработке персональных данных, должны быть оснащены Исполнителем средствами управления доступа пользователей.

          1. Подсистема межсетевого экранирования и защиты каналов связи

Описываемая подсистема должна включать в себя следующие компоненты:

  • Программное обеспечение для управления защищенной сетью в составе: ПО ViPNet Administrator, ПК для развертывания ПО ViPNet Administrator, СЗИ НСД Аккорд.

  • Программно-аппаратный комплекс ПАК VipNet HW1000 в количестве 1 ед.

  • персональный межсетевой экран с встроенной защитой каналов связи - ПО ViPNet Client 3.х (КС2).


Все АРМ Заказчика, участвующие в обработке персональных данных, должны быть оснащены Исполнителем персональным межсетевым экраном.

          1. Подсистема обнаружения вторжений

Описываемая подсистема должна включать в себя систему обнаружения вторжений - Security Studio Endpoint Protection: Antivirus, Personal Firewall, HIPS.

Все АРМ Заказчика, участвующие в обработке персональных данных, должны быть оснащены Исполнителем системой обнаружения вторжений.

          1. Подсистема антивирусной защиты

Описываемая подсистема должна включать в себя средство антивирусной защиты - Security Studio Endpoint Protection: Antivirus, Personal Firewall, HIPS.

Все АРМ Заказчика, участвующие в обработке персональных данных, должны быть оснащены Исполнителем средством антивирусной защиты.

        1. Требования к взаимосвязи между подсистемами и компонентами, смежными подсистемами

Смежными подсистемами являются:

  • локальная вычислительная сеть;

  • сеть международного информационного обмена – Интернет.


Решения по подключению смежных подсистем должны соответствовать действующим государственным стандартам в области связи и телекоммуникаций.


      1. Показатели назначения подсистемы защиты ИСПДн

        1. Подсистема управления доступом, регистрации, учёта и обеспечения целостности

Средство управления доступом пользователей должно обеспечить выполнение политики управления доступом, разграничения прав доступа, парольной политики Заказчика, контроль целостности средств защиты информации на АРМ Заказчика.

        1. Подсистема межсетевого экранирования и защиты каналов связи

Программное и аппаратное обеспечение подсистемы межсетевого экранирования и защиты каналов связи должно защищать АРМ от сетевых атак и попыток несанкционированного доступа при подключении к сети, а так же должно:

  • осуществлять фильтрацию защищенного и открытого трафиков по множеству параметров;

  • осуществлять контроль доступа в сеть приложений;

  • осуществлять построения шифрованного VPN туннеля.


        1. Подсистема обнаружения вторжений

Система обнаружения вторжений должна обеспечивать блокировку вредоносных процессов при их попытках воздействия на рабочие процессы АРМ.

        1. Подсистема антивирусной защиты

Средство антивирусной защиты должно защищать АРМ от воздействий вредоносного программного обеспечения.

      1. Требования к надёжности

Элементы подсистемы защиты ИСПДн должны удовлетворять условию круглосуточной работы, а также иметь возможность восстановления в случаях сбоев.

    1. Требования к организационному обеспечению

Исполнителем должны быть разработаны необходимые технические и организационно-распорядительные документы по защите персональных данных в соответствии с требованиями федеральных законов, документов ФСТЭК России, ФСБ России.

Документация должна соответствовать требованиям следующих руководящих документов в области обеспечения обработки и защиты информации:

  • Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» (ред. от 25.07.2011);

  • Федеральный закон от 27.07.2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;

  • Указ Президента Российской Федерации от 6.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

  • Постановление Правительства РФ от 15.09.2008 г. № 687 г. Москва «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 21 03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • Приказ ФСТЭК РФ от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Председателя Гостехкомиссии России от 30.08.2002 г. № 282;
  • Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации» (РД АС);
  • Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
  • Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
  • Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (введен в действия Приказом Председателя Гостехкомиссии России № 114 от 04.06.1999 г.);

  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008 г.;

  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14.02.2008 г.;

  • Методические рекомендации по обеспечению с помощью
    криптосредств безопасности персональных данных при их обработке в
    информационных системах персональных данных с использованием средств автоматизации, утвержденные 8 Центром ФСБ России от 21.02.2008 г. № 149(54-144);
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством
    8 Центра ФСБ России 21.02.2008 г. 112 149/6/6-622.

Перечень разрабатываемых документов:

  • Приказ о назначении администратора информационной безопасности.

  • Приказ о назначении ответственного пользователя средств криптографической защиты информации.

  • Приказ об определении границ контролируемой зоны ИСПДн

  • Приказ об утверждении перечня персональных данных, обрабатываемых в ИСПДн.

  • Приказ об утверждении перечня помещений, в которых осуществляется обработка персональных данных в ИСПДн

  • Приказ об утверждении перечня сотрудников, имеющих право доступа к информации, обрабатываемой в ИСПДн

  • Приказ об утверждении перечня должностей, сотрудников, замещение которых предусматривает осуществление обработки персональных данных в ИСПДн

  • Приказ об утверждении перечня должностей сотрудников, ответственных за проведение мероприятий по обезличиванию персональных данных, обрабатываемых в ИСПДн.

  • Приказ об утверждении Положения по организации и проведению работ по обеспечению безопасности персональных данных, включающее:

    • инструкцию администратора информационной безопасности;

    • инструкцию пользователя ИСПДн;

    • первичный инструктаж лица, допущенного к работе с персональными данными;

    • порядок взаимодействия по вопросам обеспечения безопасности персональных данных;

    • ответственность за нарушение требований законодательства;

    • правила внутреннего контроля соответствия обработки персональных данных в ИСПДн требованиям к защите персональных данных;

    • порядок приостановления предоставления персональных данных пользователям ИСПДн при обнаружении нарушений порядка предоставления персональных данных;

    • порядок проведения служебных проверок по фактам нарушения требований по обеспечению безопасности персональных данных;

    • порядок обезличивания персональных данных;

    • порядок уничтожения персональных данных;

    • порядок работы с электронными журналами ИСПДн;

    • инструкцию по организации мер антивирусной защиты в ИСПДн;

    • инструкцию по организации парольной защиты в ИСПДн;

    • инструкцию по порядку обращения со средствами защиты информации в ИСПДн;

    • инструкцию по резервированию и восстановлению информации в ИСПДн;

    • инструкцию по учету машинных носителей информации ИСПДн;

    • инструкцию по обработке персональных данных без использования средств автоматизации в ИСПДн;

    • инструкцию по криптографической защите информации в ИСПДн

Смотрите также файлы