4.2. Состав требований
4.2.1 Требования к предпроектному обследованию объектов защиты.
Проведение инвентаризации информационных ресурсов, включающее:
идентификацию информационных ресурсов;
описание (характеристика) информационных ресурсов;
классификацию ресурсов с учетом их ценности;
идентификацию владельцев информационных ресурсов;
границы ответственности каждого владельца информационного ресурса;
уточнение категории обрабатываемой информации;
уточнение класса информационных систем.
Исследование информационных процессов, включающее:
исследование технологии обработки (передачи) информации в ИС;
анализ текущего состояния организационной структуры объектов защиты;
сбор информации о структуре информационных процессов;
сбор информации о структуре взаимодействия объектов защиты;
физические, функциональные и технологические связи как внутри ИС, так и с другими системами различного уровня и назначения;
определение степени участия персонала в обработке информации.
Исследование объектов защиты, включающее:
определение расположения объектов защиты относительно границ КЗ;
определение режимов физической защиты объектов защиты;
локализация мест обработки защищаемой информации;
определение перечня сведений, средств и систем, подлежащих защите;
определение конфигурации, топологии ИС и систем связи их компонентов;
определение режимов обработки информации в АИС;
исследование системы доступа к информационным ресурсам ИС;
анализ текущего состояния обеспечения информационной безопасности;
определение требований законодательства РФ к объектам защиты по обеспечению безопасности информации, с учетом актуальности угрозы внедрения в технические средства администрирования системы защиты персональных данных устройств негласного съема информации (закладочных устройств);
определение перечня и характеристик сертифицированных средств защиты информации для создания СЗИ.
4.2.2 Требования к разработке моделей угроз и действий нарушителя безопасности информации
Разработка моделей угроз и действий нарушителя необходимо проводить с учетом следующих видов угроз безопасности:
угрозы несанкционированного доступа внутри объектов защиты;
угрозы несанкционированного доступа из внешних сетей;
угрозы целостности защищаемых информационных ресурсов.
угрозы общедоступным информационным ресурсам объектов защиты;
Модели угроз и действий нарушителя должны содержать:
идентификацию и описание угроз по каждому информационному активу;
оценку последствий при реализации угроз информационным активам;
идентификацию актуальных угроз безопасности информации объектов защиты;
действия вероятного нарушителя безопасности информации применительно к конкретным условиям функционирования каждого объекта защиты.
4.2.3 Требования к разработке Технических проектов систем защиты информации объектов защиты
разработка комплекса базовых проектных решений систем защиты информации объектов защиты;
разработка перечня поставляемых средств защиты для каждого объекта защиты;
разработка организационных мероприятий по защите информации;
разработка технических мероприятий по защите информации;
согласование с Заказчиком проектных решений и средств защиты, организационных и технических мероприятий по защите информации.
4.2.4 Требование к подготовке к внедрению систем защиты информации объектов защиты
обеспечение бесперебойного функционирования объектов защиты при внедрении комплекса защитных мер.
4.2.5 Требования к реализации проекта (проектных решений) по созданию систем защиты информации объектов защиты
непрерывность функционирования объектов защиты;
сохранение состава и структуры объектов защиты;
сохранение порядка работы с объектами защиты;
интеграция с существующими информационными системами, средствами и системами защиты информации.
4.2.6 Требования к закупке Товара (технических, программных средств и средств защиты информации для систем защиты информации объектов защиты)
В рамках данного Договора Исполнителем должна быть осуществлена закупка и поставка лицензий на право использования программных средств защиты:
лицензии на сертифицированные программные средства построения VPN и межсетевого экранирования:
передача права на использование ПО «ViPNet Administrator» 3.х (или эквивалент), в количестве – 1 (одна) шт.
передача права на использование ПО «ViPNet Client 3.х (КС2)» (или эквивалент) в количестве – 5 (пять) шт.
лицензии на средства защиты информации от несанкционированного доступа:
передача права на использование СЗИ от НСД «Dallas Lock 8.0» (или эквивалент), в количестве – 5 (пять) шт.
лицензии на сертифицированные программные средства анализа защищенности и обнаружения уязвимостей автоматизированных систем:
передача права на использование ПО Средство анализа защищенности «Сканер-ВС» (или эквивалент), в количестве – 1(одна) шт.
лицензия на сертифицированные ФСТЭК России антивирусный продукт:
право на использование Dr.Web Enterprise Security Suite версии 6 на 5 (пять) рабочих мест.
В рамках данного Договора Исполнителем должна быть осуществлена закупка и поставка программно-аппаратных средств защиты информации:
Межсетевой экран, выполняющий, также функцию криптошлюза, построенный на программно-аппаратной платформе программно-аппаратного комплекса ViPNet Coordinator HW1000 в количестве – 1 (одна) шт.
В рамках данного Договора Исполнитель должен предоставить установочный комплект на право использования программных средств защиты - специальные сертифицированные медиа-паки, в состав которых входят:
CD в конверте с записанными сертифицированными приложениями;
формуляр — документ, подтверждающий, что данный(е) CD действительно содержат сертифицированные приложения;
заверенные копии сертификатов поставляемых в рамках данного Договора программных средств защиты.
4.2.7 Требования к установке и настройке технических, программных средств и средств защиты информации систем защиты информации объектов защиты
установка и настройка программных средств защиты, поставляемых в рамках настоящего Технического задания.
установка и настройка программно-аппаратных средств защиты, поставляемых в рамках настоящего Технического задания.
4.2.8 Требования к проведению приемо-сдаточных испытаний систем защиты информации объектов защиты
В рамках данного Договора Исполнитель должен обеспечить:
предварительные испытания и опытную эксплуатацию в комплексе с другими техническими и программными средствами;
проверка функционирования систем защиты информации объектов защиты в разных режимах;
оформление Акта сдачи-приемки.
4.2.9 Требования к разработке технической и эксплуатационной документации систем защиты информации объектов защиты
Исполнитель должен предоставить:
техническую документацию на каждое средство систем защиты информации объектов защиты;
эксплуатационную документацию на каждое средство систем защиты информации объектов защиты;
инструкции и руководства для пользователей и администраторов систем защиты информации объектов защиты.
4.2.10 Требования к разработке проектов организационно-распорядительной документации (ОРД) внедрения систем защиты информации объектов защиты
документация должна быть выполнена на русском языке.
окончательный состав ОРД согласовывается с Заказчиком.
проекты ОРД представляются Заказчику по электронной почте в виде электронных документов формата MS Word, MS Excel и PDF.
4.2.11 Требования к разработке организационно-распорядительной документации по взаимодействию с ФГБУ «ФЦТ»
пакет ОРД должен соответствовать требованиям нормативных документов, ФГБУ «ФЦТ».
документация должна быть выполнена на русском языке.
проекты ОРД представляются Заказчику по электронной почте в виде электронных документов формата MS Word, MS Excel и PDF.
4.2.12 Требования к подготовке и проведению аттестационных испытаний на соответствие требованиям безопасности информации систем защиты информации объектов защиты
Подготовка и проведение аттестационных испытаний на соответствие требованиям безопасности информации систем защиты информации объектов защиты должна содержать следующие этапы:
разработка и согласование с Заказчиком программы и методики аттестационных испытаний;
проверка информационных объектов Заказчика на соответствие требованиям по безопасности информации;
разработка Протоколов по результатам аттестационных испытаний объектов Заказчика на соответствие требованиям по безопасности информации;
подготовка Заключения о соответствии объектов Заказчика требованиям по безопасности информации;
выдача, в случае положительных результатов аттестационных испытаний, Аттестатов соответствия требованиям по безопасности информации.
4.4 Требования к системам защиты информации объектов защиты
4.4.1 Общие требования
защита информации в соответствии с ее категорией;
защита автоматизированных систем в соответствии с их классом;
средства защиты информации, предполагаемые к использованию, должны пройти процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации (№РОСС RU.0001.01БИ00), должны быть проверены на отсутствие не декларированных возможностей;
программное обеспечение только лицензионное или свободно распространяемое;
средства защиты информации совместимы со средствами обработки информации и между собой;
защита от несанкционированного доступа при многопользовательском режиме работы и разных правах доступа;
защита в соответствии с требованиями, предъявляемыми к распределенным АИС, взаимодействующим посредством ТКС Интернет;
обеспечение конфиденциальности, целостности и доступности защищаемых информационных ресурсов;
соответствие создаваемой СЗИ требованиям законодательства Российской Федерации.
4.4.2 Требования к средствам построения VPN и межсетевого экранирования
Средствами построения VPN и межсетевого экранирования оснащается каждый объект защиты, согласно положениям настоящего Технического задания.
К средствам построения VPN и межсетевого экранирования предъявляются следующие общие требования:
средства построения VPN и межсетевого экранирования должны быть выполнены в виде программного комплекса;
средства межсетевого экранирования должны иметь сертификат не ниже 3 класса по требованиям ФСТЭК «Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
средства межсетевого экранирования должны иметь сертификат на соответствие требованиям ФСТЭК России «Защита от НСД к информации. Ч. 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей» по уровню не ниже 3-го;
средства межсетевого экранирования должны иметь сертификат на соответствие требованиям ФСТЭК России для защиты информационных систем персональных данных (ИСПДн) класса не ниже К1;
используемые средства межсетевого экранирования должны обеспечивать, без дополнительной поставки аналогичных средств, возможность дальнейшей аттестации системы под класс защиты «1Г»;
используемые средства межсетевого экранирования должны иметь оценочный уровень доверия ОУД 4+ в соответствии с требованиями руководящего документа ФСТЭК «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»;
средства построения VPN должны иметь действующий сертификат ФСБ России к стойкости средств криптографической защиты информации по уровню не ниже КС 2.
Средства построения VPN и межсетевого экранирования должны обеспечивать следующий функционал:
прием и передача IP-пакетов по протоколам семейства TCP/IP;
возможность приоритезации IP-трафика;
возможности межсетевого экранирования;
фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: IP-адресов отправителя и получателя, сетевых интерфейсов, протоколов, номеров портов UDP/TCP, времени, направления IP-пакетов;
раздельная фильтрация шифрованного и открытого трафика;
пропускная способность при межсетевом экранировании должна позволять передавать трафик без внесения задержки (не менее 250 Mb/s).
совместимость и прозрачность при работе с сетевым оборудованием, реализующим NAT/PAT трансляцию сетевых адресов;
защиту информации в VPN сети;
шифрование информации на сетевом уровне;
регистрация событий, связанных с работой средства построения VPN;
возможность удаленного централизованного обновления адресной и ключевой информации комплекса с контролем прохождения обновления;
возможность удаленного централизованного обновления программного обеспечения программно-аппаратного комплекса с контролем прохождения обновления;
возможность работы с пересекающимися адресными пространствами подсетей;
контроль целостности программного обеспечения межсетевого экрана (криптошлюза);
возможность организации «горячего резервирования», в режиме отказоустойчивого активно-пассивного кластера;
возможность централизованного мониторинга основных событий, происходящих на межсетевом экране (криптошлюзе);
должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы;
число одновременно поддерживаемых защищенных соединений не ограничено;
статическая маршрутизация;
прозрачность для NAT-устройств (для защищенного трафика);
поддержка DHCP;
автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов;
возможность работы при изменении собственных IP-адресов, IP-адресов NAT–устройств, за устройствами с динамическими правилами NAT;
возможность каскадирования в сегментированных сетях с целью разграничения доступа;
технология назначения виртуальных IP -адресов для любых удаленных узлов;
функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в открытую сеть/Интернет);
пакетная фильтрация по IP -адресу (диапазон IP) источника и назначения, номера портов и тип протокола, типы и коды сообщений ICMP, направление пакетов, клиент или сервер в TCP -соединении;
контроль фрагментированных пакетов, предотвращение DoS -атак;
поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов);
поддержка раздельной фильтрации для открытого IP -трафика (функция межсетевого экрана) и шифруемого IP -трафика (функция криптошлюза);
антиспуфинг;
автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации;
IP TOS-мапирование поверх зашифрованных IP-пакетов (IP#241 или UDP), при шифровании приоритезация трафика сохраняется;
средства построения VPN не должны вносить задержки за счет потери защищенных соединений и необходимости их восстановления.
К программно-аппаратному комплексу, реализующему функции криптографического шлюза, предъявляются следующие дополнительные требования:
совместимость с программным обеспечением, реализующим функции управления защищённой сетью (администрирования), поставляемым в рамках настоящего Технического задания;
совместимость с программным обеспечением, реализующим функции криптографического клиента защищенной сети, поставляемым в рамках настоящего Технического задания;
поддержка шифрования по ГОСТ 28147-89 (256 бит);
аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора;
протоколы туннелирования по технологии ViPNet (инкапсуляция любого IP-трафика приложений в IP #241 и UDP);
парные симметричные ключи шифрования. Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации;
должны выполняться следующие требования по маршрутизации:
Статическая маршрутизация;
Прозрачность для NAT-устройств (для защищенного трафика);
Поддержка DHCP;
Наличие функций сервера доступа для удаленных VPN-клиентов с ПО ViPNet Client;
Автоматическая регулировка параметров MSS в TCP-сессиях;
Возможность работы при изменении собственных IP-адресов, IP-адресов NAT-устройств, возможность работы за устройствами с динамическими правилами NAT;
Возможность каскадирования в сегментированных сетях с целью разграничения доступа;
Технология назначения виртуальных IP-адресов для любых удаленных узлов;
Функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в открытую сеть/Интернет).
Требования к программному обеспечению администрирования защищенной сети:
совместимость с ПАК построения VPN и средствам межсетевого экранирования, поставляемым в рамках настоящего Технического задания;
централизованное управление сетью;
возможность создавать узлы защищенной сети (криптографические шлюзы и клиенты), удалять узлы защищенной сети, определять политики связей защищённых узлов между собой, определять политики безопасности и формировать списки прикладных задач для узлов защищенной сети;
совместимость с программным обеспечением, реализующим функции криптографического шлюза и клиента;
проведение автоматического обновления программного обеспечения криптошлюзов и криптографических клиентов;
наличие модуля гарантированной доставки обновления справочной и ключевой информации на криптошлюзы и криптографические клиенты;
поддержка операционных систем: Windows 2000 Professional; Windows XP Home/Professional; Windows 2000 Server; Windows 2003 Server (32bit); Windows 2008 Server (32bit).
Требования к программному обеспечению клиента защищенной сети:
совместимость с программным обеспечением, реализующим функции криптографического шлюза, поставляемым в рамках настоящего Технического задания;
совместимость с программным обеспечением, реализующим функции управления защищённой сетью (администрирования), поставляемым в рамках настоящего Технического задания;
функции персонального межсетевого экрана;
функции VPN-клиента (криптографического клиента);
функции криптопровайдера для прикладных программ, использующих функции подписи и шифрования;
функции клиента защищенной почтовой системы;
поддержка операционных систем: Windows 2000/Windows XP/Vista/Windows 7/Server 2003/Server 2008 (32 бит), Vista/Windows 7/Server 2008/Server 2008 R2 (64 бит);
применение на рабочем месте пользователя или сервере.
4.4.3 Требования к средствам защиты информации от НСД
СЗИ от НСД должны быть предназначены для применения на ПЭВМ типа IBM PC, под управлением операционных систем Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 в многопользовательском режиме их эксплуатации и поддержкой 32-х и 64-х битных версий.
СЗИ от НСД должны обеспечивать:
возможность настройки всех параметров СЗИ от НСД из единой консоли администрирования;
разграничение прав пользователей при работе на ПЭВМ. Разграничения должны касаться доступа к объектам файловой системы (FAT и NTFS), доступа к сети, доступа к сменным накопителям. Должен быть реализован независимый от механизмов ОС механизм разграничения прав доступа к объектам файловой системы. Разграничения должны касаться всех пользователей – локальных, сетевых, доменных, терминальных;
блокировку файлов по расширению;
генерация сложных паролей;
возможность ограничивать средствами СЗИ от НСД, круг доступных сетевых ресурсов (с точностью до отдельных удалённых рабочих станция и отдельных папок общего доступа);
аудит действий пользователей независимыми от ОС средствами (вход/выход, доступ к ресурсам, запуск процессов, печать документов, управление учетными записями и политиками безопасности). Должны вестись непрерывные журналы (т.е. новые записи не должны затирать более старые);
возможность локального и удалённого администрирования (управление пользователями, политиками безопасности, правами доступа, аудитом; просмотр журналов);
возможность регистрации доменных учетных записей с помощью маски (*\*);
возможность периодического контроля целостности файлов и программно-аппаратной среды, а также контроля по команде администратора и по расписанию;
очистку остаточной информации (принудительная зачистка определённых файлов и папок);
возможность организации режима замкнутой программной среды;
возможность самодиагностики основного функционала СЗИ от НСД;
ведение двух копий программных средств защиты информации;
возможность создания отчета по назначенным правам;
преобразование данных в файл-контейнер для хранения их на внешних носителях либо для передачи по различным каналам связи. Возможность использования встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера, в том числе сертифицированного;
удаленное администрирование СЗИ от НСД;
централизованное управление защищёнными рабочими станциями при помощи специального модуля. С помощью этого модуля должно осуществляться централизованное управление учётными записями пользователей, политиками, правами пользователей. Также этим модулем должен осуществляться периодический сбор журналов со всех защищённых рабочих станций;
возможность построения иерархии управления при помощи специального модуля - менеджера, управляющего несколькими модулями централизованного управления;
установка СЗИ НСД должна производится локально, с помощью модуля централизованного управления, средствами групповых политик AD;
сигнализация попыток НСД и деактивации СЗИ НСД. Отправка сообщений о попытках НСД на почту.
СЗИ от НСД должна быть полностью программной, но с возможностью подключения аппаратных средств считывания индивидуальных идентификаторов пользователей, включая идентификаторы Touch Memory (iButton), eToken Pro/Java (в том числе смарт-карты eToken), Rutoken, Rutoken ЭЦП.
4.4.4 Требования к средствам анализа защищенности
Средство анализа защищенности (далее Средство) предназначено для автоматизации и централизации процессов контроля и анализа сетевой безопасности, выявления активных компонентов сетевого взаимодействия и анализа их уязвимостей.
Областью применения Средства являются автоматизированные системы, обрабатывающие информацию, не содержащую сведений, составляющих государственную тайну.
Средство должно быть проверено на отсутствие недекларированных возможностей и иметь действующий сертификат на соответствие не ниже 4-му уровню контроля отсутствия недекларированных возможностей.
Основные параметры и характеристики Средства:
Средство должно включать в себя следующие компоненты:
графический интерфейс пользователя;
база знаний, содержащая информацию о проверках и уязвимостях;
модуль управления;
сканирующее ядро.
Интерфейс должен позволять пользователю подключаться к компонентам системы, просматривать и изменять их конфигурацию, создавать и модифицировать задачи на проведение сканирований, просматривать информацию о ходе выполнения задач и результаты их выполнения.
Средство должно обеспечивать выполнение следующих основных функций:
идентификация узлов, инвентаризация аппаратного и программного обеспечения;
выявление уязвимостей и ошибок конфигурирования;
планирование и автоматизация сканирования;
формирование отчетов;
имитация внешних атак и попыток несанкционированного доступа (НСД).
Средство должно реализовывать концепцию сканирования без установки агентов на контролируемые узлы.
Средство должно производить идентификацию уязвимостей и ошибок конфигурирования.
Средство должно производить оценку уровня критичности для выявленных уязвимостей и ошибок в конфигурации.
Средство должно предоставить пользователю краткое описание уязвимости или ошибки конфигурации, методов ее устранения.
Средство должно обеспечивать автоматический запуск задач на сканирование в соответствии с задаваемым пользователем расписанием.
4.4.5 Требования по стандартизации и унификации.
комплекс технических решений и средств защиты информации должен быть типовым;
масштабируемость системы: возможность подключения новых объектов и технических средств.
4.4.6 Лингвистическое обеспечение.
интерфейс средств защиты информации систем защиты информации объектов защиты должен быть реализован на русском языке;
комплект документации средств защиты информации систем защиты информации объектов защиты должен быть на русском языке;
должно быть обеспечено взаимодействие пользователей и администраторов на русском языке.
4.5 Требования к документированию
По результатам оказания Услуг Заказчику предоставляется:
4.5.1 Отчет по результатам предпроектного обследования должен содержать:
схемы расположения объектов защиты относительно границ КЗ;
описание режимов физической защиты объектов защиты;
места обработки защищаемой информации;
перечень сведений, подлежащих защите;
конфигурацию и топологию автоматизированных систем и систем связи в целом и их отдельных компонентов;
описание технологии обработки (передачи) информации;
описание режимов обработки информации в отдельных компонентах информационных систем объектов защиты;
описание системы доступа к информационным активам;
физические, функциональные и технологические связи как внутри объектов защиты, так и с другими системами различного уровня и назначения;
описание технологии обработки информации (сбор, систематизация, передача, хранение, систематизация);
описание средств, системного и прикладного программного обеспечения, режимов работы, технологического процесса обработки информации;
подробную и достаточную структурную схему технических средств (серверы, АРМ, сетевое оборудование и др.);
схемы информационных и управленческих потоков объектов защиты;
перечень и характеристика каналов утечки информации;
проект акта классификации объектов защиты;
перечень требований по модернизации существующей инфраструктуры объектов защиты (клиентского, серверного и телекоммуникационного оборудования);
перечень требований по модернизации охраны и организации режима помещений объектов защиты.
4.5.2 Технический проект систем защиты информации объектов защиты должен содержать:
пояснительную записку с изложением решений по комплексу организационных и технических мер и программно-техническим средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;
описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации.
4.5.3 Пакет проектов необходимой организационно-распорядительной документации (ОРД) внедрения систем защиты информации объектов защиты и взаимодействию с ФГБУ «ФЦТ» должен содержать:
Перечень проектов организационно-распорядительной документации по защите персональных данных:
№
п/п
|
Наименование документа
|
1.
|
Приказы
|
1.1
|
Приказ о введении режима обработки ПДн
|
1.2
|
Приказ о назначении ответственного за обработку ПДн
|
1.3
|
Приказ о назначении администраторов безопасности ИСПДн, ответственных за эксплуатацию средств защиты информации
|
1.4
|
Приказ о выделении помещения (помещений) для обработки ПДн, об определении границ контролируемой зоны
|
1.5
|
Приказ о допуске сотрудников к обработке ПДн.
|
1.6
|
Приказ о проведении мероприятий (работ) по защите ПДн
|
1.7
|
Приказ о назначении комиссии для классификации ИСПДн
|
1.8
|
Приказ о назначении комиссии по уничтожению документов с ПД
|
2.
|
Инструкции
|
2.1
|
Инструкция по порядку учета, хранения и уничтожения ПДн
|
2.2
|
Инструкция по порядку учета, хранения съемных носителей ПДн
|
2.3
|
Инструкция, определяющая порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка ПДн
|
2.4
|
Инструкции по эксплуатации средств защиты информации (СЗИ)
|
2.5
|
Инструкция по организации антивирусной защиты ИСПДн
|
2.6
|
Инструкция по организации парольной защиты ИСПДн
|
2.7
|
Инструкция по работе в Интернет (при необходимости)
|
3.
|
Положения
|
3.1
|
Положение о порядке организации и проведения работ по защите ПДн
|
4.
|
Планы
|
4.1
|
План мероприятий по технической защите информации
|
4.2
|
План внутренних проверок состояния защиты ПДн
|
5.
|
Журналы
|
5.1
|
Журнал учета носителей ПДн
|
5.2
|
Журнал учета паролей (при необходимости)
|
5.3
|
Журнал учета мероприятий по защите ПДн
|
5.4
|
Журнал учета криптосредств, эксплуатационной и технической документации к ним (при необходимости)
|
5.5
|
Журнал учета ключевых носителей (при необходимости)
|
6.
|
Перечни
|
6.1
|
Перечень используемых средств защиты информации
|
6.2
|
Перечень ПДн, подлежащих защите, и лист ознакомления к нему
|
6.3
|
Перечень ИСПДн (АРМ), участвующих в обработке ПДн
|
6.4
|
Перечень эксплуатационной и технической документации СрЗИ
|
7.
|
Списки
|
7.1
|
Список помещений, в которых разрешена обработка ПДн
|
7.2
|
Список лиц, допущенных в защищаемые помещения
|
7.3
|
Список лиц, допущенных к обработке ПДн
|
8.
|
Акты
|
8.1
|
Акт классификации ИСПДн
|
8.2
|
Акты установки СрЗИ
|
8.3
|
Акты уничтожения ПДн
|
9.
|
Модели
|
9.1
|
Модель угроз безопасности ПДн при их обработке в ИСПДн
|
10.
|
Должностные инструкции
|
10.1
|
Ответственного за обработку ПДн
|
10.2
|
Администратора безопасности ПДн
|
10.3
|
Памятка пользователю ИСПДн
|
11.
|
Другие
|
11.1
|
Согласие субъекта ПДн на обработку своих ПДн
|
11.2
|
Соглашение о неразглашении ПДн
|
11.10
|
Проект заявления в Роскомнадзор об обработке ПДн
|
4.5.4 Акты установки и настройки средств защиты информации
Акты установки и настройки средств защиты информации подписываются представителями Исполнителя и Заказчика.
4.5.5 Результаты проведения аттестационных испытаний оформляются следующими документами:
Протоколы аттестационных испытаний на соответствие требованиями по защите информации.
Заключения по результатам аттестационных испытаний на соответствие требованиями по информационной безопасности. Один экземпляр Заключения передается Заказчику для каждого объекта защиты.
Аттестаты соответствия информационных систем требованиям по безопасности информации для каждого объекта защиты.
Документация представляется Заказчику в единственном экземпляре на бумажном носителе и в двух экземплярах на машинном носителе (CD-ROM).
4.6. Требования к взаимодействию с Исполнителем:
Исполнитель обязан безвозмездно передать Заказчику права на использование оборудования и средства защиты информации, приобретенные в рамках данного Договора.
Заказчик предоставляет Исполнителю доступ в помещения, в которых производится настройка оборудования в рамках данного Договора.
Исполнитель закрепляет за Заказчиком персонального менеджера, а также предоставляет контактные данные (мобильный телефон и e-mail) и дополнительные контакты службы технической поддержки.
Уведомления информационного характера должны направляться как по электронной почте на адрес Заказчика, так и по телефону.
Исполнитель должен обладать всеми необходимыми для исполнения Договора лицензиями ФСТЭК России и ФСБ России:
- Лицензия ФСТЭК на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации;
- Лицензия ФСБ на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации;
- Лицензия ФСБ на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, на следующий вид деятельности: разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
При исполнении обязательств по Договору Исполнитель обязуется соблюдать требования законодательства Российской Федерации о персональных данных.
|