Разработка проекта технического задания на создание системы защиты информационной системы обработки персональных данных ООО "Путешественник"

Размещено на http://www.allbest.ru/

САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ

Кафедра Безопасные информационные технологии

Лабораторная работа №4:

«Разработка проекта технического задания на создание системы защиты информационной системы обработки персональных данных»

Выполнил:

студент гр. 4131

Малкин Андрей

Санкт-Петербург 2012

Содержание

1. Общие сведения

2. Назначение и цели создания СЗПДн

2.1 Назначение СЗПДн

2.2 Цели создания СЗПДн

3. Общая характеристика ИС

3.1 Объект работ

3.2 Характеристика информационных систем

4. Требования к СЗПДн

4.1 Общие требования

4.2 Требования к структуре и функциям СЗПДн

4.2.1 Требования к подсистеме управления доступом

4.2.2 Требования к подсистеме регистрации и учета

4.2.3 Требования к подсистеме контроля целостности

4.2.4 Требования к подсистеме криптографической защиты

4.2.5 Требования к подсистеме межсетевого экранирования

4.2.6 Требование к подсистеме защиты от утечек

4.2.7 Требования подсистеме обнаружения атак

4.2.8 Требования к подсистеме анализа защищённости

4.2.9 Требования к подсистеме антивирусной защиты

4.2.10 Требования к подсистеме централизованного управления

4.3 Требования к вариантам исполнения системы

4.4 Требования к режимам функционирования системы

4.5 Требования к численности и квалификации персонала, режиму его работы

4.6 Показатели назначения

4.7 Требования к надежности

4.8 Требования безопасности

4.9 Требования к эргономике и технической эстетике

4.10 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗПДн

4.11 Требования по сохранности информации при авариях

4.12 Требования к защите от влияния внешних воздействий

4.13 Требования к патентной чистоте

4.14 Требования по стандартизации и унификации

5. Требования к видам обеспечения

5.1 Требования к программному обеспечению

5.2 Требования к техническому обеспечению

5.3 Требования к организационному обеспечению

6. Обязательные требования к Исполнителю

7. Источники разработки

8. Перечень принятых сокращений

1. Общие сведения

Настоящее Техническое задание определяет требования к программному, организационному и техническому обеспечению системы защиты персональных данных (СЗПДн), обрабатываемых в информационных системах персональных данных (ИСПДн) ООО «Путешественник».

Настоящее ТЗ разработано в соответствии с действующим законодательством Российской Федерации.

Разработка ТЗ должна осуществляться на основании разработанной частной модели угроз. При этом некоторые требования могут упрощаться, если это оправдано с точки зрения Модели угроз или Модели нарушителя.

Полное наименование и обозначение системы: «Система защиты персональных данных, обрабатываемых в информационных системах персональных данных ООО «Путешественник».

Сокращенное наименование системы: СЗПДн.

Шифр разработки: «СЗПДн».

Наименования организации-заказчика и организации-исполнителя:

Заказчик - ООО «Путешественник»

Исполнитель - ООО «Молния»

Разработку и ввод в эксплуатацию СЗПДн необходимо осуществлять на основании документа о разработке частной модели угроз в системах обработки ПДн ООО «Путешественник».

Сроки работ:

Плановый срок начала работ - 10.01.2013.

Плановый срок завершения работ - 25.01.2013.

По завершении этапов работ Исполнитель предъявляет Заказчику комплект документации, предусмотренной настоящим ТЗ.

Порядок оформления и предъявления Заказчику результатов работ определяется на основании действующих стандартов и договорных документов между Заказчиком и Исполнителем.

При разработке ТЗ использовались следующие нормативно-технические документы и методические материалы:

· Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

· Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

· Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

· Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

· Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

· Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;

· Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

· Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 апреля 2008 г. № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

· Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»;

· Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;

· Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;

· Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

· Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

· Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

· Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

· РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;

· ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;

· ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;

· ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

2. Назначение и цели создания СЗПДн

2.1 Назначение СЗПДн

Назначением СЗПДн является обеспечение информационной безопасности (ИБ) персональных данных (ПДн), обрабатываемых в информационной системе персональных данных (ИСПДн) ООО «Путешественник».

СЗПДн призвана обеспечить конфиденциальность, целостность, доступность и другие характеристики защищенности ПДн при их обработке в ИСПДн.

Объектом защиты СЗПДн является типовая ИСПДн, описание которой приведено в разделе 3 настоящего ТЗ.

2.2 Цели создания СЗПДн

Основными целями создания СЗПДн являются:

· выполнение требований нормативных правовых актов Российской Федерации, руководящих документов ФСТЭК России, ФСБ России, регламентирующих вопросы защиты персональных данных;

· обеспечение защиты информации, обрабатываемой техническими средствами, от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней, за счет комплексного использования организационных, программных, программно-аппаратных средств и мер защиты;

· обеспечение защиты информации, представленной в виде носителей на бумажной, магнитной основе от хищения, утраты, уничтожения, искажения и подделки;

· обеспечение доступности информационных ресурсов Организации пользователям ИС.

Критериями оценки достижения поставленных целей по созданию СЗПДн являются:

· соответствие требованиям по обеспечению безопасности ПДн в ИСПДн соответствующего класса, определенным в приказе ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;

· выполнение требований настоящего ТЗ.

Подтверждением соответствия достигнутых результатов заданным целям в рамках настоящего ТЗ является аттестация ИСПДн на соответствие требованиям безопасности информации.

персональный антивирусный защита атака

3. Общая характеристика ИС

3.1 Объект работ

Объектами защиты являются следующие информационные системы персональных данных (ИСПДн) Организации:

- ИС ПДн Сотрудников ООО «Путешественик»

- ИС ПДн Клиентов ООО «Путешественик»

- ИС ПДн Поставщиков ООО «Путешественик»

Все перечисленные ИС расположены в главном офисе компании, по адресу: Санкт-Петербург, ул. Профессора Попова, д. 5.

3.2 Характеристика информационных систем

В ИСПДн содержатся и обрабатываются персональные данные (ПДн) работников, клиентов и поставщиков ООО «Путешественик». Все ИСПДн являются локальными многопользовательскими системами, имеющими подключение к сетям связи общего пользования.

Автоматизированные рабочие места (АРМ) и сервера функционируют под управлением операционной системы (ОС) MS Windows 7 Enterprise SP1, Windows Server 2012 Standart.

Предварительный перечень и класс ИСПДн Организаций приведен в таблице 3.1.

Таблица 3.1 - Состав ИСПДн:

№	Наименование ИСПДн	Состав	Класс ИСПДн
1	ИС ПДн Сотрудников ООО «Путешественик»	4 АРМ, 1 сервер	К1
2	ИС ПДн Клиентов ООО «Путешественик»	12 АРМ, 1 сервер	К3
3	ИС ПДн Поставщиков ООО «Путешественик»	10 АРМ, 1 сервер	К2

Кроме того:

- на всех рабочих станциях и серверах установлено лицензионное сертифицированное антивирусное программное обеспечение.

- сервера и рабочие станции ИСПДн объединены в локальную вычислительную сеть, имеющую подключения к сети международного информационного обмена.

- все технические средства информационной системы расположены в пределах государственной границы Российской Федерации.

4. Требования к СЗПДн

4.1 Общие требования

Архитектура КСЗИ в совокупности с механизмом поддержки функциональных подсистем не должна накладывать каких-либо существенных ограничений на информационные технологии, используемые в ИС;

Архитектура КСЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ИС, в том числе при проведении технического обслуживания и ремонта;

Эффективность КСЗИ должна достигаться комплексным применением различных средств и методов;

КСЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений;

Приводимые в настоящем документе требования по обеспечению безопасности информации должны обеспечивать уровень защищенности информации, соответствующий требованиям, установленными «Положением о методах и способах защиты информации в информационных системах персональных данных» ФСТЭК России.

4.2 Требования к структуре и функциям СЗПДн

В состав СЗПДн должны входить следующие подсистемы:

· подсистема управления доступом;

· подсистема регистрации и учета;

· подсистема контроля целостности;

· подсистема криптографической защиты;

· подсистема межсетевого экранирования;

· подсистема защиты от утечек;

· подсистема обнаружения атак;

· подсистема анализа защищённости;

· подсистема антивирусной защиты;

· подсистема централизованного управления.

Структура СЗПДн может изменяться и уточняться по результатам разработки частной модели угроз на предпроектной стадии, с учетом обоснования необходимых изменений в ЧТЗ.

4.2.1 Требования к подсистеме управления доступом

Подсистема управления доступом должна обеспечивать выполнение следующих базовых требований:

· должна выполняться идентификация и аутентификация пользователя при входе в операционную систему АРМ по паролю условно-постоянного действия не менее 6 символов;

· должна быть реализована возможность применения механизмов дискреционного принципа доступа;

· должны быть реализованы механизмы блокировки системы при заданном количестве неудачных попыток ввода идентификатора и пароля при входе в систему;

· должно обеспечиваться блокирование доступа к СВТ при превышении установленного интервала времени неактивности данного СВТ;

· Для ИС, в отношении которых признаются актуальными угрозы нарушения безопасности обработки ПДн и/или утечки информации за счет действий внутреннего нарушителя дополнительно должно обеспечиваться выполнение следующих требований:

· должны быть реализованы механизмы идентификации и строгой двухфакторной аутентификации пользователей с применением внешних устройств аутентификации на основе технологии персональных ключей;

· должны быть реализованы механизмы идентификации и строгой двухфакторной аутентификации пользователей с применением внешних устройств аутентификации на основе технологии персональных электронных ключей;

· должен осуществляется контроль доступа пользователей к периферийным устройствам;

· должна осуществляться динамическая и статическая блокировка доступа к внешним устройствам.

4.2.2 Требования к подсистеме регистрации и учета

Подсистема регистрации и учета должна обеспечивать:

· регистрацию входа/выхода пользователей в систему и из системы;

· регистрацию результата попытки входа: успешная или неуспешная, несанкционированная, идентификатор субъекта, предъявленный при попытке доступа (имя пользователя):

· при вводе в процессе аутентификации неправильного сочетания имя пользователя/пароль фиксацию в системном журнале времени неудачной попытки входа, предъявленного имени пользователя и имени домена для входа;

· регистрацию в системном журнале время выхода, имя пользователя, домен входа, идентификатор входа и тип входа при выходе пользователя из системы;

· регистрацию доступа к контролируемым файлам;

· регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

· регистрацию отправки документов на печать.

4.2.3 Требования к подсистеме контроля целостности

В подсистеме контроля целостности:

· должно проводиться периодическое тестирование целостности компонент (системных файлов) - при входе пользователя и/или загрузке системы и далее периодически в процессе функционирования системы;

· должна быть реализована возможность экспорта/импорта настроек для быстрого восстановления системы в случае сбоев или отказов системы.

4.2.4 Требования к подсистеме криптографической защиты

Подсистема криптографической защиты должна обеспечивать:

· шифрование данных, содержащихся в областях оперативной памяти, файлов и IP-трафика;

· вычисление имитовставки для данных, содержащихся в областях оперативной памяти, файлов и для IP-трафика;

· вычисление значения хэш-функции и электронной цифровой подписи для данных, содержащихся в областях оперативной памяти, и файлов;

· возможность формирования ключей шифрования и электронной цифровой подписи на основе алгоритмов, соответствующих ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89.

· возможность самостоятельного формирования криптографических ключей без необходимости обращения в специализированные организации за исходным ключевым материалом;

· шифрование информации на различных ключах.

· В части обеспечения безопасного межсетевого взаимодействия подсистема криптографической защиты должна обеспечивать:

· реализацию технологий виртуальной частной вычислительной сети (ВЧВС), при этом ВЧВС должна поддерживать технологии взаимодействия составляющих по схемам: «сервер-сервер», «сервер-клиент», «клиент-клиент»;

· аутентификацию пользователей и сетевых объектов ВЧВС, в том числе на основе использования системы симметричных ключей;

· поддержку защищенной работы удаленного администратора;

· организацию контролируемого и безопасного подключения внешних пользователей для защищенного обмена информацией;

· защиту (конфиденциальность и целостность) любого вида трафика, передаваемого между компьютерами пользователей и сервером;

· защиту писем электронной почты с помощью электронной цифровой подписи (ЭЦП).

4.2.5 Требования к подсистеме межсетевого экранирования

Подсистема межсетевой безопасности должна обеспечивать:

· фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;

· фильтрацию на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя;

· фильтрацию на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя;

· фильтрацию с учетом даты и времени;

· фильтрацию по отдельным правилам IP-трафика ВЧВС (зашифрованный IP-трафик) и IP-трафика, не относящегося к обмену данными внутри ВЧВС (незашифрованный IP-трафик);

· идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

· предотвращение доступа неидентифицированного пользователя или пользователя, подлинность идентификации которого при аутентификации не подтвердилась;

· идентификацию и аутентификацию администратора межсетевого экрана при его удаленных запросах методами, устойчивыми к пассивному и активному перехвату информации;

· регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);

· регистрацию и учет запросов на установление виртуальных соединений;

· локальную сигнализацию попыток нарушения правил фильтрации;

· регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

· возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации;

· контроль целостности своей программной и информационной части;

· контроль целостности программной и информационной части межсетевого экрана по контрольным суммам.

4.2.6 Требование к подсистеме защиты от утечек

Подсистема защиты от утечек должна обеспечивать:

· перехват почтового трафика, веб-трафика, трафика систем «мгновенного» обмена сообщениями;

· перехват сетевого трафика и/или локально сформированных заданий печати в форматах, используемых ОС MS Windows XP и MS Windows Server 2003;

· анализ содержимого перехваченного трафика с целью выявления нарушений с использованием следующих технологий: поиск ключевых слов, регулярных выражений, шаблонов, поиск фрагментов конфиденциальных документов, использование словарей, контекстного анализа, лингвистического анализа;

· фильтрацию перехваченного трафика путем выдачи разрешения и/или запрета на доставку определённых данных;

· сбор и хранение всех исходящих сообщений, заданий печати и копий файлов, с возможностью полнотекстового поиска по архиву, в том числе и в присоединенных к сообщениям файлах.

4.2.7 Требования к подсистеме обнаружения атак

Подсистема обнаружения атак должна обеспечивать:

· защиту отдельных компьютеров и серверов от несанкционированного доступа за счет сетевых атак из внешних сетей;

· обнаружение атак на сетевом и транспортном уровнях;

· использование сигнатурного метода анализа;

· протоколирование всех событий, возникающих при срабатывании правил обнаружения;

· аудит протоколированных событий.

4.2.8 Требования к подсистеме анализа защищённости

Подсистема анализа защищённости должна обеспечивать:

· обнаружение и учет защищаемых ресурсов, в том числе информационных ресурсов ИС, аппаратных средств ИС, серверов, рабочих станций и мобильных компьютеров, сетевого оборудования, специализированных средств защиты (межсетевых экранов и т. д.);

· обнаружение новых сетевых ресурсов, путём проведения сканирования сетевых ресурсов ИС, а также штатными механизмами, предусмотренными в процедурах контроля изменений;

· определение доступности сетевого узла, доступных сетевых служб, версии ОС или типа устройства, сетевых параметров узла, доступных сетевых ресурсов, списка установленных приложений;

· анализ в режиме тестирования на проникновение (без дополнительных привилегий);

· системное сканирование(при наличии привилегий на узле);

· анализ следующих компонентов системы: настройки сетевого взаимодействия, параметры инициализации (загрузки) системы, политика аутентификации, параметры авторизации и разграничения доступа, настройки синхронизации времени, настройки системы аудита, базовые параметры безопасности, настройки встроенных и дополнительных средств защиты;

· контроль соответствия состояния узлов, ОС и приложений политикам безопасности;

· сохранение результатов работы.

4.2.9 Требования к подсистеме антивирусной защиты

Подсистема антивирусной защиты должна строиться на основе антивирусных средств, сертифицированных по требованиям ФСБ России и обеспечивать:

· проверку файлов, веб-страниц, почтовых сообщений;

· проактивную защиту от неизвестных угроз;

· защиту от хакерских атак;

· защиту от спама и фишинга в почтовых программах;

· самозащиту АВС от попыток выключения со стороны вредоносного ПО;

· регулярные и экстренные обновления;

· проверка определенных файлов (все файлы, логические диски, каталоги и т.д.);

· проверка оперативной памяти и всех файлов автозапуска;

· непрерывный, в течение всего времени работы, контроль вирусной ситуации;

· целостность передаваемой информации между компонентами антивирусных средств посредством механизма контрольных сумм;

· нейтрализацию (или удаление) программного кода компьютерного вируса в зараженных объектах;

· блокирование компьютерных вирусов;

· централизованное управление.

4.2.10 Требования к подсистеме централизованного управления

Подсистема централизованного управления должна осуществлять:

· мониторинг контролируемых рабочих станций в режиме реального времени;

· мониторинг печати на контролируемых рабочих станциях;

· сбор данных, полученных от контролируемых рабочих станций;

· анализ полученных данных;

· управление распределенной ВЧВС (включая систему распределенных сетевых экранов) и политикой информационной безопасности в сети из одного центра;

· централизованное управление антивирусной сетью;

· централизованное управление подсистемой анализа защищенности.

4.3 Требования к вариантам исполнения системы

КСЗИ должна строиться для всех типов объектов, на которых присутствует или будет присутствовать информация, подлежащая защите. Необходимый набор мер и средств защиты определяется на основании частной модели угроз.

4.4 Требования к режимам функционирования системы

В разработанной КСЗИ должны быть реализованы следующие режимы функционирования:

· режим установки и конфигурирования,

· режим отладки,

· рабочий режим.

Режим конфигурирования должен быть предназначен для первичной настройки КСЗИ и должен выполняется на этапе пуско-наладочных работ. В этом режиме должно происходить настраивание КСЗИ путем создания правил, создания, редактирования и применения политик, шаблонов, настроек необходимых видов доступа. Режим установки и конфигурирования должен подразумевать работы по установке и начальной настройке установленного программного обеспечения.

Режим отладки должен быть предназначен для отладки СЗИ и должен выполняться на этапе ввода в эксплуатацию после режима конфигурирования. В этом режиме должно происходить журналирование отработки необходимых компонент СЗИ, отлаживание реакций, видов и методов реагирования компонент на происходящие воздействия.

Рабочий режим должен быть единственным допустимым режимом штатного функционирования системы. В рабочий режим система должна переводиться после режима отладки, когда становится ясно, что система функционирует верно, корректно отрабатываются необходимые политики, правила и шаблоны.

4.5 Требования к численности и квалификации персонала, режиму его работы

Квалификация и численность персонала должна быть достаточной для осуществления им настройки общесистемных, прикладных и сетевых сервисов ИСПДн, а также настройки СЗИ ИСПДн.

Персонал ИСПДн должен осуществлять обслуживание и эксплуатацию ИСПДн по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности ИСПДн в целом и СЗИ ИСПДн.

4.6 Показатели назначения

Системно-технические решения СЗПДн должны обеспечить минимизацию вероятности реализации актуальных угроз ИБ ИСПДн, описанных в частной модели угроз данной ИСПДн.

Экономический эффект от создания СЗПДн должен проявляться в снижении вероятной величины материального и морального ущерба по отношению к субъектам и оператору ПДн.

4.7 Требования к надежности

Аппаратно-программные компоненты СЗПДн должны быть рассчитаны для функционирования в режиме круглосуточной работы и позволять осуществлять выполнение процедур резервирования и восстановления системы после сбоев.

4.8 Требования безопасности

В процессе обслуживания и эксплуатации оборудования СЗПДн должна обеспечиваться безопасность персонала.

Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.

Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.

4.9 Требования к эргономике и технической эстетике

Не предъявляются.

4.10 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗПДн

Физический доступ неуполномоченных лиц к СВТ ИСПДн должен быть запрещен.

Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗПДн.

4.11 Требования по сохранности информации при авариях

Должна обеспечиваться сохранность информации при авариях в ИСПДн.

Механизмы обеспечения сохранности информации могут уточняться на этапе проектирования СЗПДн.

4.12 Требования к защите от влияния внешних воздействий

Защита информации, обрабатываемой в ИСПДн, от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах размещения СВТ ИСПДн.

4.13 Требования к патентной чистоте

При создании СЗПДн должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.

При поставке программного обеспечения должны быть выполнены требования Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 г., а также международные патентные соглашения.

4.14 Требования по стандартизации и унификации

Решения по использованию технических средств и ПО в СЗПДн должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.

Должна обеспечиваться совместимость технических средств и ПО СЗПДн с техническими средствами и ПО, используемыми в ИСПДн.

Требования по стандартизации и унификации могут уточняться на этапе проектирования СЗПДн.

5. Требования к видам обеспечения

5.1 Требования к программному обеспечению

Предлагаемое к использованию программное обеспечение должно быть лицензионно-чистым.

Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.

В процессе эксплуатации СЗПДн лицензии на применяемое ПО должны поддерживаться в актуальном состоянии.

Средства защиты информации, входящие в состав СЗПДн, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России.

Требования к программному обеспечению, используемому для защиты информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное ПО) в части необходимости обеспечения контроля отсутствия недекларированных возможностей (НДВ) должны быть определены в ЧТЗ (для ИСПДн класса К1 должен быть обеспечен 4 уровень контроля отсутствия НДВ в обязательном порядке, для ИСПДн классов К2 и К3 - по решению оператора ИСПДн).

Требования к программному обеспечению могут уточняться на этапе проектирования СЗПДн.

5.2 Требования к техническому обеспечению

Решения по использованию технических средств должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данных ТС.

В составе СЗПДн должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные на соответствие требованиям руководящих документов ФСТЭК России.

Требования к техническому обеспечению могут уточняться на этапе проектирования СЗПДн.

5.3 Требования к организационному обеспечению

Должна осуществляться физическая охрана помещений, в которых находятся СВТ ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время.

Мониторы АРМ должны располагаться таким образом, чтобы препятствовать возможности несанкционированного визуального съема информации с них.

Должны быть проведены мероприятия по защите от утечки ПДн по техническим каналам, в случае если угрозы данной утечки определены в Модели угроз как актуальные.

6. Обязательные требования к Исполнителю

У Исполнителя работ необходимо наличие следующих действующих лицензий:

· ФСТЭК России на право осуществления деятельности по технической защите конфиденциальной информации.

· ФСТЭК России на проведение работ, связанных с созданием средств защиты информации.

· ФСБ России на право осуществлять разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

· ФСБ России на право осуществлять деятельность по распространению шифровальных средств.

· ФСБ России на право осуществлять деятельность по техническому обслуживанию шифровальных средств.

Исполнитель должен иметь службу поддержки и возможность бесплатного предоставления услуг по осуществлению технической поддержки СЗПДн. Для устранения неполадок в защите любой из ИСПДн ООО «Путешественник» Исполнитель обязан обеспечить прибытие специалистов на объект Заказчика в течение 2-х рабочих часов после обращения Заказчика к Исполнителю по телефону или в электронной форме.

7. Источники разработки

При разработке проектных решений необходимо руководствоваться официальными документами фирм-производителей применяемых аппаратных средств и программного обеспечения, документами третьих сторон, осуществляющих тестирование и эксплуатацию решений, материалами, предоставляемыми Заказчиком.

Проектные решения должны обеспечивать соблюдение следующих федеральных законов, постановлений Правительства Российской Федерации и нормативных актов:

· Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

· Федеральный закон от 08 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;

· РД Гостехкомиссии России «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники»;

· Руководящие документы ФСТЭК России, ФСБ России и Правительства Москвы, регламентирующие мероприятия в области защиты информации

8. Перечень принятых сокращений

АРМ - Автоматизированное рабочее место

ГОСТ - Государственный стандарт

ИС - Информационная система

ИСПДн - Информационная система персональных данных

КСЗИ - Комплексная система защиты информации

ОС - Операционная система

ПДн - Персональные данные

ПО - Программное обеспечение

РД - Руководящие документы

РФ - Российская Федерация

СЗ - Система защиты

СЗПДн - Система защиты персональных данных

СВТ - Средство вычислительной техники

ТС - Техническое средство

ТЗ - Техническое задание

ФАПСИ - Федеральное агентство правительственной связи

ФЗ - Федеральный закон

ФСБ - Федеральная служба безопасности

ФСТЭК - Федеральная служба технического и экспортного контроля

ЧТЗ - Частное техническое задание

ЭЦП - Электронно-цифровая подпись

Размещено на Allbest.ru

...