Техническое задание
Перечень принятых сокращений и обозначений
АРМ
|
–
|
автоматизированное рабочее место
|
ИС
|
|
информационная система
|
ИСПДн
|
–
|
информационная система персональных данных
|
ЛВС
|
–
|
локальная вычислительная сеть
|
НСД
|
–
|
несанкционированный доступ
|
ОС
|
–
|
операционная система
|
ПДн
|
–
|
персональные данные
|
ПО
|
–
|
программное обеспечение
|
РД
|
|
руководящий документ
|
РКН
|
|
Федеральная служка по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
|
СЗИ
|
–
|
средство защиты информации
|
СКЗИ
|
–
|
средство криптографической защиты информации
|
СТР-К
|
|
специальные требования и рекомендации по технической защите конфиденциальной информации
|
ФЗ
|
–
|
федеральный закон
|
ФСБ
|
|
Федеральная служба безопасности
|
ФСТЭК
|
|
Федеральная служба по техническому и экспортному контролю (прежнее название - Гостехкомиссия)
|
Общие сведения
Настоящая программа разработана с целью определения перечня работ, а также перечня и качества разрабатываемых документов при проведении Исполнителем комплекса мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
1.1. Условное обозначение информационных систем – Информационная система персональных данных Муниципального учреждения «Многофункциональный центр».
1.2. Заказчик
Заказчик – Муниципальное учреждение «Многофункциональный центр».
Юридический адрес: 353290 Краснодарский край, г. Горячий Ключ, ул. Ленина, 156.
1.3. Основание проведения работы
Основанием проведения настоящей работы является:
наличие в организации систем персональных данных (ИСПДн), в которых осуществляется обработка персональных данных (ПДн);
соответствие требованиям законодательства Российской Федерации.
1.4. В настоящем документе приведены:
описание назначения и цели работы;
краткая характеристика объектов защиты;
объем и требования к проводимым работам;
требования к средствам защиты;
состав подготавливаемых документов.
2. Назначение и цели работ
2.1. Назначение.
2.1.1. Определение требований к создаваемой системе защиты информации объектов информатизации (информационных систем персональных данных), которые предназначены для обработки персональных данных (ПДн) и проверка их выполнения.
2.2. Целью проведения работы является:
2.2.1. Разработка и реализация организационных и технических мер для создания условий обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, в соответствии с требованиями действующих нормативных документов ФСТЭК России.
2.2.2. Разработка технического решения по организации защиты ИСПДн с учетом угроз безопасности и требований документов ФСТЭК.
2.2.3. Подтверждение соответствия аттестуемой ИСПДн требованиям нормативных документов ФСТЭК России по безопасности информации по защите персональных данных
2.3. Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.
2.4. Определение требуемого уровня защищенности (класс защиты) средств защиты информации должно выполняться в соответствии с регламентирующими и нормативными документами.
3. Характеристика объектов защиты
3.1. Сведения об объектах защиты.
Защите подлежит ИСПДн, построенная на базе локальной вычислительной сети и имеющая подключения к сети Интернет.
1 сервер и 14 ПЭВМ
Категория персональных данных – 2;
Ориентировочный класс ИСПДн – К2;
Сервера функционирует под ОС Windows Server 2008 R2
Рабочие станции, предназначенные для обработки ПДн, функционируют под ОС Windows 7 Pro CIS and GE OEM.
Характеристика имеющихся средств защиты информации
На всех серверах и ПЭВМ имеются средства антивирусной защиты.
-
Условия эксплуатации объектов защиты
Условия эксплуатации объекта определяются режимом работы ОРГАНИЗАЦИИ.
На объектах защиты обеспечиваются нормальные условия эксплуатации.
Эксплуатация и техническое обслуживание СЗИ должно осуществляться в рамках, по графикам эксплуатации и правилам технического обслуживания технических средств, эксплуатируемых на объектах.
Правила эксплуатации и технического обслуживания средств защиты информации регламентируются эксплуатационной документацией предприятий-разработчиков.
Режимы работы элементов СЗИ определяются режимами работы объектов информатизации.
-
Объем и требования к проводимым работам
-
Объем работ по созданию системы защиты и аттестации ИСПДн:
Процесс создания системы защиты и аттестации ИСПДн включает следующие работы:
Обследование ИСПДн специалистами заказчика.
Разработку Аналитического отчета по результатам обследования.
Разработку модели актуальных угроз безопасности персональных данных при их обработке в ИСПДн
Разработку требований по обеспечению безопасности персональных данных, определяющих совокупность организационных и технических мероприятий, необходимых для обеспечения заданного уровня безопасности.
Разработка технического решения по организации системы защиты ИСПДн и необходимых документов (Техническое задание на создание СЗПДн, Технический проект системы обеспечения безопасности ИСПДн)
Согласование решений.
Закупку необходимых средств защиты.
Установку и настройку средств защиты.
Проведение тестовой эксплуатации средств защиты.
Разработка проектов внутренних организационно-распорядительных документов.
Разработка проектов внутренних учетно-контрольных документов
Разработка программно-методического обеспечения для проведения комплексных аттестационных испытаний
Проведение аттестационных испытаний
Разработка отчетной документации
-
Обследование ИСПДн проводится с целью:
- определения перечня объектов содержащих ПДн и подлежащих защите от НСД;
- определения условий расположения ИСПДн относительно границ контролируемой зоны;
- определения конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физических, функциональных и технологических связей, как внутри этих систем, так и с другими системами различного уровня и назначения;
- уточнения технических средств и систем, использующихся в ИСПДн, условия их расположения, общесистемные и прикладные программные средства;
- определения режима обработки ПДн в ИСПДн в целом и в отдельных компонентах;
- уточнения степени участия персонала в обработке ПДн, характера их взаимодействия между собой;
- определения угроз безопасности к конкретным условиям функционирования.
-
Разработка Аналитического отчета об обследовании информационной системы, включает:
- результаты обследования ИСПДн
- описание персональных данных, обрабатываемых в ИСПДн
- детальное описание ИСПДн
- состав технических и программных средств ИСПДн и их размещение
- схемы сети с указанием имен и адресов устройств,
- схемы информационных потоков с указанием связей между устройствами и осуществляемых операций в ИСПДн и входных и выводимых данных
-
Разработка модели актуальных угроз безопасности персональных данных при их обработке в ИСПДн и разработка требований по обеспечению безопасности персональных данных, определяющих совокупность организационных и технических мероприятий, необходимых для обеспечения заданного уровня безопасности осуществляется по методике и методическим рекомендациям ФСТЭК и включает:
- полный перечень угроз безопасности
- перечень актуальных угроз безопасности ИСПДн
- требования по обеспечению безопасности персональных данных, определяющих совокупность организационных и технических мероприятий, необходимых для обеспечения заданного уровня безопасности по каждой угрозе.
-
Разработка технического решения по организации системы защиты ИСПДн с учетом угроз безопасности и требований документов ФСТЭК, включающего:
- техническое задание на систему защиты ПДн в информационной системе
- технический проект на СЗПДн
-
Закупка, установка и настройка необходимых средств защиты информации от НСД и неправомерных действий, МЭ и т.п. согласно спецификации.
-
Разработка проектов внутренних организационно-распорядительных документов по безопасности информации необходимых для аттестации ИСПДн:
• инструкции по работе в ИСПДн.
• акты классификации, приказы и т.п.
-
Разработка проектов внутренних учетно-контрольных документов по безопасности информации:
• технического паспорта на ИСПДн;
• инструкции по эксплуатации средств защиты информации, и т.п.
-
Разработка программно-методического обеспечения для проведения комплексных аттестационных испытаний ИСПДн:
• разработка программы-методики аттестационных испытаний;
• выбор, уточнение и доработка частных методик проведения аттестационных испытаний.
-
Проведение комплексных аттестационных испытаний:
• проверка соответствия представленных заявителем исходных данных и документации реальным условиям оснащенности, размещения, монтажа и эксплуатации объекта информатизации;
• экспертная оценка модели актуальных угроз ПДн.
• проверка выполнения общих, организационно-режимных и организационно-технических требований по защите информации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
• оценка уровня защищенности объекта информатизации от несанкционированного доступа (НСД) и неправомерных действий к ПДн.
-
Разработка отчетной документации по результатам проведения комплексных аттестационных испытаний:
• заключения по результатам аттестационных испытаний с выводами комиссии о соответствии проверенного объекта установленным требованиям;
• «Аттестата соответствия...» на объект информатизации при положительном заключении.
-
Требования по стандартизации и унификации.
-
Выполнение работ, предусмотренных настоящим техническим заданием, должно производиться с учетом требований указанных ниже документов.
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Федеральный закон Российской Федерации от 08 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;
«Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр.-1895;
Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Перечень сведений конфиденциального характера»;
Указ Президента Российской Федерации от 17 марта 2008 г. 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
Совместный приказ от 13 февраля 2008 года ФСТЭК России № 55, ФСБ России №86 и Министерства информационных технологий и связи Российской Федерации № 20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
РД Гостехкомиссии РФ. «Положение об обязательной сертификации продукции по требованиям безопасности информации» 1994 г.;
РД Гостехкомиссии РФ. «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» 1992 г.;
РД Гостехкомиссии РФ. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» 1992 г.;
РД Гостехкомиссии РФ. «Защита от несанкционированного доступа к информации. Термины и определения» 1992 г.;
РД Гостехкомиссии РФ. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» 1997 г.;
РД Гостехкомиссии РФ. «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, Москва, 1999 г.;
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Гостехкомиссия России, Москва, 2002 г.;
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.;
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.;
«Положение о методах и способах защиты информации в информационных системах персональных данных». Утвержден директором ФСТЭК России 5 февраля 20010 г.;
«Положение по аттестации объектов информатизации по требованиям безопасности информации». Утверждено Государственной технической комиссией при Президенте РФ 25.11.1994 г.;
-
Требования к выбору средств защиты
-
В состав системы защиты должны входить следующие основные подсистемы:
подсистема управления доступом (в т.ч. при сетевом взаимодействии);
подсистема регистрации и учета;
подсистема обеспечения целостности;
подсистема антивирусной защиты;
подсистема межсетевого экранирования;
подсистема обнаружения вторжений;
подсистема анализа защищенности;
подсистема защиты информации от утечки по техническим каналам.
-
При создании СЗПДн информационной системы должны использоваться сертифицированные по требованиям ФСТЭК России и ФСБ России программные и аппаратные средства защиты информации.
-
При построении СЗПДн должны быть выполнены требования по обеспечению безопасности ПДн при их обработке в информационных системах согласно Федеральному закону Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», введенному в действие постановлением Правительства Российской Федерации от 17 ноября 2007 года №781, а также приказом ФСТЭК России от 5 февраля 2010 года №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».
-
Средства защиты ПДн должны быть совместимы с программными и аппаратными средствами автоматизированной обработки и защиты информации, используемыми в ИСПДн в настоящее время.
-
Средства защиты от НСД на сервере должны реализовывать требования при многопользовательском режиме обработки ПДн и различных правах доступа к ним субъектов доступа.
-
Средства защиты от НСД на рабочих станциях должны реализовывать требования при однопользовательском режиме обработки ПДн.
-
Система антивирусной защиты должна базироваться на имеющихся средствах антивирусной защиты и реализовывать требования по защите от вирусов и программно-математического воздействия.
-
Должны быть выполнены требования защиты информации при межсетевом взаимодействии в ИСПДн при подключении к сетям общего пользования.
-
При передаче данных по открытым каналам связи должны быть выполнены требования защиты информации с использованием сертифицированных криптографических средств.
-
Анализ защищенности для распределенных ИС и ИС, подключенных к сетям международного информационного обмена, должен обеспечиваться путем использования в составе ИС средств анализа защищенности (сканеров безопасности).
-
Обнаружение вторжений для ИС, подключенных к сетям международного информационного обмена, должно обеспечиваться путем использования в составе ИС средств обнаружения вторжений и могут использоваться компоненты СЗИ НСД, системы АВЗ и системы МЭ.
-
Должны быть выполнены требования по защите информации от утечки по техническим каналам.
-
Требования к оформлению документации.
Проектная документация на СЗПДн должна соответствовать требованиям ГОСТ 34.201-89 и РД 50-34.698-90.
В результате выполнения работ по созданию СЗПДн должны быть разработаны следующие документы:
Отчет обследования информационной системы персональных данных
Модель актуальных угроз безопасности персональных данных при их обработке в ИСПДн
Требования по обеспечению безопасности персональных данных
Техническое задание на создание СЗПДн
Эскизный проект системы обеспечения безопасности ИСПДн
Акты установки средств защиты информации
Акт приемо-сдаточных испытаний системы защиты информации
В результате выполнения работ по разработке организационно-распорядительной документации и аттестации должны быть разработаны следующие документы:
Эксплуатационная документация ИСПДн, в составе:
Акт классификации ИСПДн;
Положение об обработке персональных данных.
-
Технический паспорт автоматизированной системы (АС), в т.ч.:
план контролируемой зоны;
структурная (топологическая) схема с указанием информационных связей между устройствами;
схема размещения и расположения ОТСС и ВТСС на объекте с привязкой к границам контролируемой зоны;
схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны;
схема электропитания и заземления объекта;
схема прокладки кабелей электропитания, шины заземления, линий и коммуникаций;
состав и схемы размещения используемых средств защиты информации.
Перечни технических и программных средств, входящих в состав АС.
Перечни защищаемых информационных ресурсов АС.
Описание технологического процесса при обработке информации в информационной системе ПДн
Списки лиц, допущенных к компонентам АС.
Матрица доступа пользователей к ресурсам АС.
Инструкция пользователя АС.
Инструкция администратора информационной безопасности АС.
Инструкция по организации парольной защиты АС.
Инструкция по организации антивирусной защиты АС.
Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС.
Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС.
Инструкция по доступу к ресурсам сети Интернет и по работе с электронной почтой
Журнал учета обращений субъектов персональных данных
Журнал учета нештатных ситуаций в информационной системе
Журнал учета носителей информации
Комплект документов по результатам аттестации объекта информатизации:
Протоколы аттестационных испытаний
Заключение по результатам аттестации объекта информатизации на соответствие требованиям по безопасности информации
Аттестат соответствия объекта информатизации требованиям безопасности информации
-
Программа аттестации объекта информатизации
Программа разработана в соответствии с СТР-К, утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. № 282 и на основе анализа исходных данных.
№ п/п
|
Наименование работы
|
1.
|
Анализ и оценка исходных данных на объекте информатизации.
|
2.
|
Проверка соответствия представленных исходных данных реальным условиям размещения, монтажа и эксплуатации основных технических средств и систем (ОТСС) и вспомогательных технических средств и систем (ВТСС) объекта информатизации.
|
3.
|
Изучение технологического процесса обработки и хранения информации, анализ информационных потоков на объекте информатизации.
|
4.
|
Проверка комплекта документов, необходимого для проведения аттестации объекта информатизации.
|
5.
|
Испытания технических и программных средств защиты информации объекта информатизации.
|
6.
|
Контроль эффективности защиты информации, обрабатываемой средствами вычислительной техники автоматизированной системы (СВТ АС) от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).
|
7.
|
Контроль эффективности защиты информации, обрабатываемой СВТ АС, от несанкционированного доступа (НСД).
|
8.
|
Анализ результатов работы аттестационной комиссии. Оформление протоколов, Заключения и Аттестата соответствия по результатам аттестационных испытаний на объект информатизации.
|
-
Требования по обеспечению режима конфиденциальности при выполнении работ
-
При проведении работ должна быть обеспечена конфиденциальность всей научной, технической, финансовой и другой информации, полученной от другой стороны или от третьих сторон.
-
Передача материалов работ, о создаваемой системе защиты информации на объекте, сторонним организациям, а также публикация их в открытой печати без разрешения другой стороны не допускается.
|
