Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 7)

Заказчик должен предоставить технические средства, находящиеся в исправном состоянии, с исправно функционирующим и лицензионным общесистемным и прикладным программным обеспечением.

По результатам инспекции объектов информатизации Исполнитель может сделать предложения по доработке информационных подсистем Заказчика на соответствие требованиям, предъявляемым настоящим проектом.

1. 3.8.1.2 Предложения по доработке подсистем

С целью реализации оптимальной структуры СЗИ и контроля использования информационно-вычислительных ресурсов, Исполнитель должен проанализировать реализованные на объектах Заказчика схемы коммутации, маршрутизации и фильтрации сетевого трафика, схемы прохождения и обработки информационных потоков, а также разработать методику, позволяющую подготовить, настроить и интегрировать технические средства защиты информации в инфраструктуру Заказчика и согласовать её с Заказчиком в установленный срок.

Исполнитель должен подготовить предложения (дополнения к техническим решениям) по реализации оптимальных схем включения технических средств СЗИ в состав вычислительных сетей Заказчика и интеграции, развернутых на них программных сервисов.

1. 3.8.2 Поставка оборудования и программного обеспечения

Заказчик должен осуществить работы по закупке необходимых технических средств защиты информации, согласно ведомости покупных изделий, включая оборудование и программное обеспечение.

1. 3.8.3 Ввод в действие

1. 3.8.3.1 Установка и документирование СЗИ

Исполнитель должен провести монтаж и установку технических средств защиты информации на объект Заказчика, провести подключение поставленных технических средств защиты информации и технических средств Заказчика, а также обеспечить их интеграцию в ЛВС Заказчика.

Исполнитель должен документировать проделанные работы, по итогам которых должен представить Заказчику отчет, содержащий сведения, необходимые для работы технических служб.

Если в процессе проведения работ по установке и настройке СЗИ возникают какие-либо нештатные ситуации, а также ситуации, которые могут повлечь приостановление вышеуказанных работ, Исполнитель совместно с Заказчиком, принимает все возможные меры по устранению и ликвидации причин, которые привели к таким ситуациям.

3.8.3.2 Опытная эксплуатация

Исполнитель совместно с Заказчиком должен провести работы по опытной эксплуатации СЗИ на объектах ИСПДн.

1. 3.8.3.3 Выполнение мероприятий по подготовке персонала

Подсистемы, входящие в СЗИ, обладают самым разнообразным функционалом, предназначенным для защиты информации. Для управления всем функционалом СЗИ должны присутствовать специалисты, имеющие необходимую квалификацию в области защиты информации и администрирования установленных технических средств защиты информации.

Для обеспечения рационального подхода по комплектации кадров организации предлагается рассмотреть возможность направления специалиста на соответствующие курсы повышения квалификации в области информационной безопасности, а также технические курсы по соответствующим подсистемам защиты.

Для администратора безопасности Заказчика предлагается пройти учебный курс по защите персональных данных.

1. 3.8.3.4 Организация необходимых подразделений и рабочих мест

Для обеспечения выполнения требований законодательства по защите информации, а также эффективного функционирования СЗИ, необходимо наличие штатного специалиста, ответственного за защиту информации. Согласно Положению «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15.09.1993 г. № 912-51 и «Требованиям к защите персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства РФ от 01.11.2012 № 1119 Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю.

Таким образом, для обеспечения выполнения требований законодательства по защите информации, а также эффективного функционирования технических средств защиты информации, необходимо наличие штатного специалиста по защите информации, ответственного за защиту информации.

Специалист по защите информации, будет управлять и контролировать работу СЗИ ИСПДн.

Специалист по защите информации (администратор безопасности) для выполнения своих функций будет иметь возможность осуществлять необходимые действия с любого рабочего места в организации, при наличии необходимых прав доступа.

1. 3.8.3.5 Приемо-сдаточные испытания

В установленные сроки после окончания этапа работ по опытной эксплуатации Исполнитель должен разработать программу и методику приёмочных испытаний и согласовать её с Заказчиком.

Исполнитель совместно с Заказчиком должен провести работы, согласно разработанной Исполнителем программе и методике приемочных испытаний.

После окончания работ по приёмо-сдаточным испытаниям

Заказчик совместно с Исполнителем должны подписать акт о проведении приёмо-сдаточных испытаний.

1. 3.8.3.6 Предложения по доработке и развитию технических средств защиты информации

После окончания предыдущих этапов работ Исполнитель может сделать предложения Заказчику по развитию и доработке технических средств защиты информации, а также «обособленных» технических средств, функционирующих на площадках Заказчика на соответствие требованиям информационной безопасности и по защите персональных данных.

1. Заключение

Результатом проектирования СЗИ является создание программно-технического решения, представляющего собой совокупность взаимосвязано функционирующих подсистем, реализуемых как встроенными в операционные системы, так и наложенными СрЗИ, образующими единую СЗИ, которая выполняет требования технического задания и нормативных документов в области обеспечения информационной безопасности ПДн.

Совокупность предложенных механизмов защиты информации, а также реализация организационно-режимных мероприятий позволит создать эффективную систему обеспечения безопасности ПДн в информационных системах, исключающую реализацию угроз информационной безопасности. Изменение существующей конфигурации сети не требуется.

1. Список использованных источников

1. Доктрина информационной безопасности РФ: Утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895

2. Об основах охраны здоровья граждан в Российской Федерации: Федеральный закон Российской Федерации от 21 ноября 2011 г. №323-ФЗ.

3. Концепция создания единой государственной информационной системы в сфере здравоохранения: Утв. Приказом Министерства здравоохранения и социального развития РФ от 28 апреля 2011 г. № 364 “Об утверждении концепции создания единой государственной информационной системы в сфере здравоохранения”.

4. «Об информации, информационных технологиях и о защите информации»: Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ 1.

5. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Утв. Приказом ФСТЭК России от 11 февраля 2013 г. N 17.

6. Методический документ. Меры защиты информации в государственных информационных системах: Утв. ФСТЭК России 11 февраля 2014.

7. «О персональных данных»: Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ.

8. Требования к защите персональных данных при их обработке в информационных системах персональных данных: Утв. постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.

9. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: Утв. Приказом ФСТЭК России от 18 февраля 2013 г. N 21.

10. Информационное сообщение ФСТЭК России (по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ») от 15 июля 2013 г. № 240/22/2637

11. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах: Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

12. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах: Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.

13. ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы.

14. ГОСТ 34.201-89 Виды, комплектность и обозначения документов при создании автоматизированных систем.

15. РД 50-34.698-90. Автоматизированные системы. Требования к содержанию документов.

16. http://www.drweb.com/ – официальный сайт АВС Dr. Web.

17. http://www.dallaslock.ru/ – официальный сайт CрЗИ Dallas Lock.

18. http://www.infotecs.ru// – официальный сайт компании-производителя программного комплекса ViPNet Custom.

1. Список сокращений

АВС – антивирусное средство;

АРМ – автоматизированное рабочее место;

ДПР – Диспансер;

ИБ – информационная безопасность;

ИС – информационная система;

ИСПДн – информационная система персональных данных;

МедИС - Медицинская информационная система;

МИС – муниципальная информационная система;

МЭ – межсетевой экран;

НСД – несанкционированный доступ;

РМедИС - Республиканская медицинская информационная система;

САЗ – средство анализа защищённости;

СЗИ – система защиты информации;

СОВ – система обнаружения вторжений;

СрЗИ – средство защиты информации;

СрЗИ НСД – средство защиты информации от несанкционированного доступа;

ТС – технические средства.

1. Приложение А

2. Таблица А1 – Определение актуальных угроз

Характеристики

Список файлов ВКР