Техническое задание Перечень принятых сокращений и обозначений


Скачать 170.49 Kb.
Название Техническое задание Перечень принятых сокращений и обозначений
Тип Техническое задание
rykovodstvo.ru > Руководство эксплуатация > Техническое задание
Техническое задание
Перечень принятых сокращений и обозначений

АРМ



автоматизированное рабочее место

ИС

 

информационная система

ИСПДн



информационная система персональных данных

ЛВС



локальная вычислительная сеть

НСД



несанкционированный доступ

ОС



операционная система

ПДн



персональные данные

ПО



программное обеспечение

РД

 

руководящий документ

РКН

 

Федеральная служка по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

СЗИ



средство защиты информации

СКЗИ



средство криптографической защиты информации

СТР-К

 

специальные требования и рекомендации по технической защите конфиденциальной информации

ФЗ



федеральный закон

ФСБ

 

Федеральная служба безопасности

ФСТЭК

 

Федеральная служба по техническому и экспортному контролю (прежнее название - Гостехкомиссия)




  1. Общие сведения

Настоящая программа разработана с целью определения перечня работ, а также перечня и качества разрабатываемых документов при проведении Исполнителем комплекса мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
1.1. Условное обозначение информационных систем – Информационная система персональных данных Муниципального учреждения «Многофункциональный центр».
1.2. Заказчик

Заказчик – Муниципальное учреждение «Многофункциональный центр».

Юридический адрес: 353290 Краснодарский край, г. Горячий Ключ, ул. Ленина, 156.
1.3. Основание проведения работы

Основанием проведения настоящей работы является:

  • наличие в организации систем персональных данных (ИСПДн), в которых осуществляется обработка персональных данных (ПДн);

  • соответствие требованиям законодательства Российской Федерации.


1.4. В настоящем документе приведены:

  • описание назначения и цели работы;

  • краткая характеристика объектов защиты;

  • объем и требования к проводимым работам;

  • требования к средствам защиты;

  • состав подготавливаемых документов.


2. Назначение и цели работ

2.1. Назначение.

2.1.1. Определение требований к создаваемой системе защиты информации объектов информатизации (информационных систем персональных данных), которые предназначены для обработки персональных данных (ПДн) и проверка их выполнения.
2.2. Целью проведения работы является:

2.2.1. Разработка и реализация организационных и технических мер для создания условий обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, в соответствии с требованиями действующих нормативных документов ФСТЭК России.

2.2.2. Разработка технического решения по организации защиты ИСПДн с учетом угроз безопасности и требований документов ФСТЭК.

2.2.3. Подтверждение соответствия аттестуемой ИСПДн требованиям нормативных документов ФСТЭК России по безопасности информации по защите персональных данных
2.3. Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.
2.4. Определение требуемого уровня защищенности (класс защиты) средств защиты информации должно выполняться в соответствии с регламентирующими и нормативными документами.

3. Характеристика объектов защиты



3.1. Сведения об объектах защиты.

  1. Защите подлежит ИСПДн, построенная на базе локальной вычислительной сети и имеющая подключения к сети Интернет.




  1. Состав ИСПДн:

1 сервер и 14 ПЭВМ


  1. Характеристики ИСПДн

Категория персональных данных – 2;

Ориентировочный класс ИСПДн – К2;
Сервера функционирует под ОС Windows Server 2008 R2

Рабочие станции, предназначенные для обработки ПДн, функционируют под ОС Windows 7 Pro CIS and GE OEM.


  1. Характеристика имеющихся средств защиты информации

На всех серверах и ПЭВМ имеются средства антивирусной защиты.


  1. Условия эксплуатации объектов защиты

    1. Условия эксплуатации объекта определяются режимом работы ОРГАНИЗАЦИИ.

    2. На объектах защиты обеспечиваются нормальные условия эксплуатации.

    3. Эксплуатация и техническое обслуживание СЗИ должно осуществляться в рамках, по графикам эксплуатации и правилам технического обслуживания технических средств, эксплуатируемых на объектах.

    4. Правила эксплуатации и технического обслуживания средств защиты информации регламентируются эксплуатационной документацией предприятий-разработчиков.

    5. Режимы работы элементов СЗИ определяются режимами работы объектов информатизации.



  1. Объем и требования к проводимым работам




  1. Объем работ по созданию системы защиты и аттестации ИСПДн:


Процесс создания системы защиты и аттестации ИСПДн включает следующие работы:

  • Обследование ИСПДн специалистами заказчика.

  • Разработку Аналитического отчета по результатам обследования.

  • Разработку модели актуальных угроз безопасности персональных данных при их обработке в ИСПДн

  • Разработку требований по обеспечению безопасности персональных данных, определяющих совокупность организационных и технических мероприятий, необходимых для обеспечения заданного уровня безопасности.

  • Разработка технического решения по организации системы защиты ИСПДн и необходимых документов (Техническое задание на создание СЗПДн, Технический проект системы обеспечения безопасности ИСПДн)

  • Согласование решений.

  • Закупку необходимых средств защиты.

  • Установку и настройку средств защиты.

  • Проведение тестовой эксплуатации средств защиты.

  • Разработка проектов внутренних организационно-распорядительных документов.

  • Разработка проектов внутренних учетно-контрольных документов

  • Разработка программно-методического обеспечения для проведения комплексных аттестационных испытаний

  • Проведение аттестационных испытаний

  • Разработка отчетной документации



  1. Обследование ИСПДн проводится с целью:


- определения перечня объектов содержащих ПДн и подлежащих защите от НСД;

- определения условий расположения ИСПДн относительно границ контролируемой зоны;

- определения конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физических, функциональных и технологических связей, как внутри этих систем, так и с другими системами различного уровня и назначения;

- уточнения технических средств и систем, использующихся в ИСПДн, условия их расположения, общесистемные и прикладные программные средства;

- определения режима обработки ПДн в ИСПДн в целом и в отдельных компонентах;

- уточнения степени участия персонала в обработке ПДн, характера их взаимодействия между собой;

- определения угроз безопасности к конкретным условиям функционирования.
  1. Разработка Аналитического отчета об обследовании информационной системы, включает:


- результаты обследования ИСПДн

- описание персональных данных, обрабатываемых в ИСПДн

- детальное описание ИСПДн

- состав технических и программных средств ИСПДн и их размещение

- схемы сети с указанием имен и адресов устройств,

- схемы информационных потоков с указанием связей между устройствами и осуществляемых операций в ИСПДн и входных и выводимых данных
  1. Разработка модели актуальных угроз безопасности персональных данных при их обработке в ИСПДн и разработка требований по обеспечению безопасности персональных данных, определяющих совокупность организационных и технических мероприятий, необходимых для обеспечения заданного уровня безопасности осуществляется по методике и методическим рекомендациям ФСТЭК и включает:


- полный перечень угроз безопасности

- перечень актуальных угроз безопасности ИСПДн

- требования по обеспечению безопасности персональных данных, определяющих совокупность организационных и технических мероприятий, необходимых для обеспечения заданного уровня безопасности по каждой угрозе.
  1. Разработка технического решения по организации системы защиты ИСПДн с учетом угроз безопасности и требований документов ФСТЭК, включающего:


- техническое задание на систему защиты ПДн в информационной системе

- технический проект на СЗПДн
  1. Закупка, установка и настройка необходимых средств защиты информации от НСД и неправомерных действий, МЭ и т.п. согласно спецификации.

  2. Разработка проектов внутренних организационно-распорядительных документов по безопасности информации необходимых для аттестации ИСПДн:


• инструкции по работе в ИСПДн.

• акты классификации, приказы и т.п.
  1. Разработка проектов внутренних учетно-контрольных документов по безопасности информации:


• технического паспорта на ИСПДн;

• инструкции по эксплуатации средств защиты информации, и т.п.
  1. Разработка программно-методического обеспечения для проведения комплексных аттестационных испытаний ИСПДн:


• разработка программы-методики аттестационных испытаний;

• выбор, уточнение и доработка частных методик проведения аттестационных испытаний.
  1. Проведение комплексных аттестационных испытаний:


• проверка соответствия представленных заявителем исходных данных и документации реальным условиям оснащенности, размещения, монтажа и эксплуатации объекта информатизации;

• экспертная оценка модели актуальных угроз ПДн.

• проверка выполнения общих, организационно-режимных и организационно-технических требований по защите информации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;

• оценка уровня защищенности объекта информатизации от несанкционированного доступа (НСД) и неправомерных действий к ПДн.
  1. Разработка отчетной документации по результатам проведения комплексных аттестационных испытаний:


• заключения по результатам аттестационных испытаний с выводами комиссии о соответствии проверенного объекта установленным требованиям;

• «Аттестата соответствия...» на объект информатизации при положительном заключении.

  1. Требования по стандартизации и унификации.

    1. Выполнение работ, предусмотренных настоящим техническим заданием, должно производиться с учетом требований указанных ниже документов.


  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

  • Федеральный закон Российской Федерации от 08 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;

  • «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр.-1895;

  • Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Перечень сведений конфиденциального характера»;

  • Указ Президента Российской Федерации от 17 марта 2008 г. 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

  • Совместный приказ от 13 февраля 2008 года ФСТЭК России № 55, ФСБ России №86 и Министерства информационных технологий и связи Российской Федерации № 20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

  • РД Гостехкомиссии РФ. «Положение об обязательной сертификации продукции по требованиям безопасности информации» 1994 г.;

  • РД Гостехкомиссии РФ. «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» 1992 г.;

  • РД Гостехкомиссии РФ. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» 1992 г.;

  • РД Гостехкомиссии РФ. «Защита от несанкционированного доступа к информации. Термины и определения» 1992 г.;

  • РД Гостехкомиссии РФ. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» 1997 г.;

  • РД Гостехкомиссии РФ. «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, Москва, 1999 г.;

  • «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Гостехкомиссия России, Москва, 2002 г.;

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.;

  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.;

  • «Положение о методах и способах защиты информации в информационных системах персональных данных». Утвержден директором ФСТЭК России 5 февраля 20010 г.;

  • «Положение по аттестации объектов информатизации по требованиям безопасности информации». Утверждено Государственной технической комиссией при Президенте РФ 25.11.1994 г.;



  1. Требования к выбору средств защиты




  1. В состав системы защиты должны входить следующие основные подсистемы:


  • подсистема управления доступом (в т.ч. при сетевом взаимодействии);

  • подсистема регистрации и учета;

  • подсистема обеспечения целостности;

  • подсистема антивирусной защиты;

  • подсистема межсетевого экранирования;

  • подсистема обнаружения вторжений;

  • подсистема анализа защищенности;

  • подсистема защиты информации от утечки по техническим каналам.
  1. При создании СЗПДн информационной системы должны использоваться сертифицированные по требованиям ФСТЭК России и ФСБ России программные и аппаратные средства защиты информации.

  2. При построении СЗПДн должны быть выполнены требования по обеспечению безопасности ПДн при их обработке в информационных системах согласно Федеральному закону Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», введенному в действие постановлением Правительства Российской Федерации от 17 ноября 2007 года №781, а также приказом ФСТЭК России от 5 февраля 2010 года №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».

  3. Средства защиты ПДн должны быть совместимы с программными и аппаратными средствами автоматизированной обработки и защиты информации, используемыми в ИСПДн в настоящее время.

  4. Средства защиты от НСД на сервере должны реализовывать требования при многопользовательском режиме обработки ПДн и различных правах доступа к ним субъектов доступа.

  5. Средства защиты от НСД на рабочих станциях должны реализовывать требования при однопользовательском режиме обработки ПДн.

  6. Система антивирусной защиты должна базироваться на имеющихся средствах антивирусной защиты и реализовывать требования по защите от вирусов и программно-математического воздействия.

  7. Должны быть выполнены требования защиты информации при межсетевом взаимодействии в ИСПДн при подключении к сетям общего пользования.

  8. При передаче данных по открытым каналам связи должны быть выполнены требования защиты информации с использованием сертифицированных криптографических средств.

  9. Анализ защищенности для распределенных ИС и ИС, подключенных к сетям международного информационного обмена, должен обеспечиваться путем использования в составе ИС средств анализа защищенности (сканеров безопасности).

  10. Обнаружение вторжений для ИС, подключенных к сетям международного информационного обмена, должно обеспечиваться путем использования в составе ИС средств обнаружения вторжений и могут использоваться компоненты СЗИ НСД, системы АВЗ и системы МЭ.

  11. Должны быть выполнены требования по защите информации от утечки по техническим каналам.




  1. Требования к оформлению документации.


Проектная документация на СЗПДн должна соответствовать требованиям ГОСТ 34.201-89 и РД 50-34.698-90.

В результате выполнения работ по созданию СЗПДн должны быть разработаны следующие документы:

  • Отчет обследования информационной системы персональных данных

  • Модель актуальных угроз безопасности персональных данных при их обработке в ИСПДн

  • Требования по обеспечению безопасности персональных данных

  • Техническое задание на создание СЗПДн

  • Эскизный проект системы обеспечения безопасности ИСПДн

  • Акты установки средств защиты информации

  • Акт приемо-сдаточных испытаний системы защиты информации


В результате выполнения работ по разработке организационно-распорядительной документации и аттестации должны быть разработаны следующие документы:

  • Эксплуатационная документация ИСПДн, в составе:

  • Акт классификации ИСПДн;

  • Положение об обработке персональных данных.

  • Технический паспорт автоматизированной системы (АС), в т.ч.:

    • план контролируемой зоны;

    • структурная (топологическая) схема с указанием информационных связей между устройствами;

    • схема размещения и расположения ОТСС и ВТСС на объекте с привязкой к границам контролируемой зоны;

    • схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны;

    • схема электропитания и заземления объекта;

    • схема прокладки кабелей электропитания, шины заземления, линий и коммуникаций;

    • состав и схемы размещения используемых средств защиты информации.

  • Перечни технических и программных средств, входящих в состав АС.

  • Перечни защищаемых информационных ресурсов АС.

  • Описание технологического процесса при обработке информации в информационной системе ПДн

  • Списки лиц, допущенных к компонентам АС.

  • Матрица доступа пользователей к ресурсам АС.

  • Инструкция пользователя АС.

  • Инструкция администратора информационной безопасности АС.

  • Инструкция по организации парольной защиты АС.

  • Инструкция по организации антивирусной защиты АС.

  • Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС.

  • Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС.

  • Инструкция по доступу к ресурсам сети Интернет и по работе с электронной почтой

  • Журнал учета обращений субъектов персональных данных

  • Журнал учета нештатных ситуаций в информационной системе

  • Журнал учета носителей информации

  • Комплект документов по результатам аттестации объекта информатизации:

  • Протоколы аттестационных испытаний

  • Заключение по результатам аттестации объекта информатизации на соответствие требованиям по безопасности информации

  • Аттестат соответствия объекта информатизации требованиям безопасности информации


  1. Программа аттестации объекта информатизации


Программа разработана в соответствии с СТР-К, утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. № 282 и на основе анализа исходных данных.


п/п

Наименование работы

1.

Анализ и оценка исходных данных на объекте информатизации.

2.

Проверка соответствия представленных исходных данных реальным условиям размещения, монтажа и эксплуатации основных технических средств и систем (ОТСС) и вспомогательных технических средств и систем (ВТСС) объекта информатизации.

3.

Изучение технологического процесса обработки и хранения информации, анализ информационных потоков на объекте информатизации.

4.

Проверка комплекта документов, необходимого для проведения аттестации объекта информатизации.

5.

Испытания технических и программных средств защиты информации объекта информатизации.

6.

Контроль эффективности защиты информации, обрабатываемой средствами вычислительной техники автоматизированной системы (СВТ АС) от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).

7.

Контроль эффективности защиты информации, обрабатываемой СВТ АС, от несанкционированного доступа (НСД).

8.

Анализ результатов работы аттестационной комиссии. Оформление протоколов, Заключения и Аттестата соответствия по результатам аттестационных испытаний на объект информатизации.



  1. Требования по обеспечению режима конфиденциальности при выполнении работ

  1. При проведении работ должна быть обеспечена конфиденциальность всей научной, технической, финансовой и другой информации, полученной от другой стороны или от третьих сторон.

  2. Передача материалов работ, о создаваемой системе защиты информации на объекте, сторонним организациям, а также публикация их в открытой печати без разрешения другой стороны не допускается.



Похожие:

Техническое задание Перечень принятых сокращений и обозначений icon Антимикробное и инсекто-акарицидное действие биоцида Агро-Велт и...
Перечень сокращений, условных обозначений, символов, единиц и терминов
Техническое задание Перечень принятых сокращений и обозначений icon 1. Перечень используемых определений, обозначений и сокращений
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную...
Техническое задание Перечень принятых сокращений и обозначений icon Перечень условных обозначений и сокращений
К примеру, замена заготовок на станках, фасовка продукции небольших размеров, извлечение деталей или их заготовок из печей каления...
Техническое задание Перечень принятых сокращений и обозначений icon Перечень условных обозначений, символов, единиц, сокращений и терминов
Даже в самом обыкновенном автомобиле скрывается более двадцати таких элементов, где они, в частности, контролируют состояние беспроводных...
Техническое задание Перечень принятых сокращений и обозначений icon Перечень принятых сокращений
Руководство по эксплуатации предназначено для руководства к действиям при эксплуатации, техническом обслуживании, транспортировании...
Техническое задание Перечень принятых сокращений и обозначений icon Словарик иностранных часовых сокращений и обозначений
Академия независимых производителей часов ( Academie Horlogere des Createurs Independants )
Техническое задание Перечень принятых сокращений и обозначений icon Методические рекомендации список сокращений и условных обозначений...

Техническое задание Перечень принятых сокращений и обозначений icon 2013 Список условных обозначений и принятых аббревиатур. Ачф
Основным методом разработки рпо выбран метод последовательных приближений, в соответствии с которым процесс создания Правил разбит...
Техническое задание Перечень принятых сокращений и обозначений icon Техническое задание на проектирование и строительство сетей по технологии
Все определения терминов, определений и сокращений указаны в Приложении №8 к техническому заданию
Техническое задание Перечень принятых сокращений и обозначений icon Техническое задание. Назначение
Пао «Ростелеком» (далее – Техническое задание) устанавливает порядок действий и определяет перечень обязанностей сотрудников Исполнителя...
Техническое задание Перечень принятых сокращений и обозначений icon Техническое задание по организации питания в столовой ООО рн туапсинский нпз
Настоящее техническое задание определяет перечень, объем и порядок оказания услуг
Техническое задание Перечень принятых сокращений и обозначений icon Техническое задание Предмет закупки
Перечень видов услуг на основе справочника окдп, для закупки которых применяется типовое техническое задание
Техническое задание Перечень принятых сокращений и обозначений icon 1. 5. Перечень определений и принятых сокращений1

Техническое задание Перечень принятых сокращений и обозначений icon Техническое задание Предмет закупки: Аренда грузового автомобиля...
Перечень видов услуг на основе справочника окдп, для закупки которых применяется типовое техническое задание
Техническое задание Перечень принятых сокращений и обозначений icon Перечень используемых сокращений
Маис мфц – Межотраслевая автоматизированная информационная система обеспечения деятельности многофункционального центра
Техническое задание Перечень принятых сокращений и обозначений icon Техническое задание взаимодействия Самарского филиала пао «Ростелеком»
Заказчика, в том числе по устранению повреждений на сетях связи пао «Ростелеком» (далее Техническое задание) устанавливает порядок...

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск