Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

1. Требования к Системам защиты информации.

1. Общие требования

Архитектура СЗИ в совокупности с механизмом поддержки функциональных подсистем не должна накладывать каких-либо существенных ограничений на информационные технологии, используемые в ИСПДн отдела бухгалтерского учета и отчетности.

Архитектура СЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ИСПДн отдела бухгалтерского учета и отчетности, в том числе при проведении технического обслуживания и ремонта.

Эффективность СЗИ должна достигаться комплексным применением различных средств и методов.

СЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений.

1. Требования к вариантам исполнения системы

СЗИ должна строиться для всех типов объектов, на которых присутствует или будет присутствовать информация, подлежащая защите. Необходимый набор мер и средств защиты определяется на основании модели угроз и уровня защищенности ПДн.

1. Требования к численности и квалификации персонала, режиму его работы

1. Требования к квалификации администратора с обязанностями администратора безопасности.

Сотрудники, имеющие высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.

Квалификация специалистов должна быть достаточной для осуществления ими настройки общесистемных, прикладных и сетевых сервисов ИСПДн, а также эксплуатации средств защиты.

Специалисты должны осуществлять обслуживание и эксплуатацию ИСДПн по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности ИСПДн отдела бухгалтерского учета и отчетности.

1. Требования к квалификации пользователя ИСПДн

Квалификация и численность пользователей ИСПДн должна быть достаточной для осуществления ими обработки персональных данных в соответствии с инструкциями пользователей ИСПДн.

1. Порядок подготовки персонала, контроль знаний и навыков

Регулярное обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними с принятием зачетов.

1. Показатели назначения

Системно-технические решения СЗИ должны обеспечить минимизацию вероятности реализации актуальных угроз, описанных в Модели нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных отдела бухгалтерского учета и отчетности.

Экономический эффект от создания СЗИ должен проявляться в снижении вероятной величины материального и морального ущерба по отношению к субъектам и оператору ПДн.

1. Требования к надежности

Аппаратно-программные компоненты СЗИ должны быть рассчитаны для функционирования в режиме круглосуточной работы и позволять осуществлять выполнение процедур резервирования и восстановления системы после сбоев.

1. Требования к безопасности

В процессе обслуживания и эксплуатации оборудования СЗИ должна обеспечиваться безопасность персонала.

Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.

Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.

1. Требования к эргономике и технической эстетике

Для обработки информации использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ, например, ГОСТ 29216-91, ГОСТ Р 50948-2001, ГОСТ Р 50949-2001, СанПиН 2.2.2/2.4.1340-03.

1. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗИ

Условия и регламент (режим) эксплуатации, виды и периодичность обслуживания технических средств системы в соответствии с эксплуатационной документацией.

Физический доступ неуполномоченных лиц к компонентам СЗИ должен быть запрещен.

Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗИ.

1. Требования к защите информации от несанкционированного доступа

Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

1. Требования к сохранности информации при авариях

Перечень событий, при которых должна быть обеспечена сохранность информации в системе: пожар в здании; взрыв; просадка грунта с частичным обрушением здания. Отказ элементов ИСПДн и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования.

Механизмы обеспечения сохранности информации могут уточняться на этапе проектирования СЗИ.

1. Требования к защите от влияний внешних воздействий

Защита информации, обрабатываемой в ИСПДн, от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах размещения СВТ ИСПДн.

1. Требования к патентной чистоте

При создании СЗИ должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.

1. Требования к стандартизации и унификации

Решения по использованию технических средств и ПО в СЗИ должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.

Должна обеспечиваться совместимость технических средств и ПО СЗИ с техническими средствами и ПО, используемыми в ИСПДн.

Требования по стандартизации и унификации могут уточняться на этапе проектирования СЗИ.

1. Требования к видам обеспечения

1. Требования к программному обеспечению

Предлагаемое к использованию программное обеспечение должно быть лицензионным.

Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.

В процессе эксплуатации СЗИ лицензии на применяемое ПО должны поддерживаться в актуальном состоянии.

Средства защиты информации, входящие в состав СЗИ, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России.

Требования к программному обеспечению могут уточняться на этапе проектирования СЗИ.

1. Требования к техническому обеспечению

Решения по использованию технических средств должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данных ТС.

В составе СЗИ должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные на соответствие требованиям руководящих документов ФСТЭК России.

В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18.02.2013 г. №21 при использовании в информационных системах, сертифицированных по требованиям безопасности информации средств защиты информации:

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

• средства вычислительной техники не ниже 6 класса;

• системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

• межсетевые экраны 5 класса.

В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом ФСБ России от 10.07.2014 г. №378 при использовании средств криптографической защиты (СКЗИ), сертифицированных по требованиям безопасности для обеспечения 3 уровня защищенности персональных данных применяются СКЗИ класса КС1 и выше.

В соответствии с выбранными мерами, система защиты должна включать в себя средство доверенной загрузки и средство контроля съемных машинных носителей информации.

В соответствии с Требованиями к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27.09.2013 №119 и Требованиями к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28.07.2014 №87, при необходимости обеспечения 3 уровня защищенности персональных данных, применяются средства доверенной загрузки и средства контроля съемных машинных носителей соответствующие 4 классу защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного обмена.

Для данной информационной системы необходимо применить:

• средства вычислительной техники 6 класса;

• системы обнаружения вторжений и средства антивирусной защиты 5 класса;

• межсетевые экраны 5 класса.

• средства контроля носителей 5 класса;

• средства доверенной загрузки 5 класса;

• СКЗИ класса КС2.

Требования к техническому обеспечению могут уточняться на этапе проектирования СЗИ.

1. Требования к режимам функционирования системы

В разработанной СЗИ должны быть реализованы следующие режимы функционирования:

• режим установки и конфигурирования;

• рабочий режим.

Режим конфигурирования должен быть предназначен для первичной настройки СЗИ и должен выполняться на этапе пуско-наладочных работ. В этом режиме должно происходить настраивание СЗИ путем создания правил, создания, редактирования и применения политик, шаблонов, настроек необходимых видов доступа. Режим установки и конфигурирования должен подразумевать работы по установке и начальной настройке установленного программного обеспечения.

Рабочий режим должен быть единственным допустимым режимом штатного функционирования системы. В рабочий режим система должна переводиться после режима отладки, когда становится ясно, что система функционирует верно, корректно отрабатываются необходимые политики, правила и шаблоны.

1. Требования к организационно-распорядительной документации

В соответствии с требованиями нормативно-правовых актов в области защиты информации, система защиты персональных данных, обрабатываемых в ИСПДн отдела бухгалтерского учета и отчетности должна включать в себя перечень разработанных организационно-распорядительных, эксплуатационных и технических документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации системы защиты персональных данных.

Перечень должен включать в себя:

• План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных;

• Перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в ИСПДн;

• Правила обработки персональных данных;

• Инструкцию по организации антивирусной защиты;

• Порядок доступа служащих в помещения, в которых ведется обработка персональных данных;

• Инструкцию по организации парольной защиты ИСПДн;

• Инструкцию пользователя ИСПДн;

• Положение о защите персональных данных;

• Перечень мест хранения съемных машинных носителей персональных данных;

• Приказ о назначении администратора безопасности ИСПДн;

• Перечень лиц, допущенных к обработке персональных данных;

• Политику информационной безопасности персональных данных, циркулирующих в ИСПДн отдела бухгалтерского учета и отчетности;

• Инструкцию лица, ответственного за обеспечение безопасности персональных данных;

• Инструкцию администратора информационной безопасности ИСПДн отдела бухгалтерского учета и отчетности;

• Инструкцию администратора ИСПДн отдела бухгалтерского учета и отчетности;

• Инструкцию по использованию сети Интернет;

• Инструкцию по резервированию и восстановлению работоспособности технических средств, программного обеспечения баз данных и средств защиты информации;

• Инструкцию по порядку учета и хранения машинных и съемных носителей информации;

• Инструкцию по работе с СКЗИ, сертификатами ключей подписи, открытыми и закрытыми ключами электронной цифровой подписи (ЭЦП);

• Инструкцию ответственного пользователя криптосредств;

• Перечень лиц, допущенных к техническому обслуживанию ИСПДн отдела бухгалтерского учета и отчетности;

• Перечень защищаемых ресурсов ИСПДн отдела бухгалтерского учета и отчетности;

• Перечень регистрируемых событий безопасности в ИСПДн

• Перечень персональных данных;

• Матрицу разграничения доступа ИСПДн;

• Типовую форму Журнала учета и выдачи персональных идентификаторов (ПИ);

• Типовую форму Журнала учета мероприятий по контролю за соблюдением режима защиты конфиденциальной информации (персональных данных);

• Типовую форму Журнала учета съемных носителей информации (СНИ), содержащих персональные данные;

• Типовую форму Журнала учета проведения инструктажа пользователя, допущенного к работе с СКЗИ;

• Типовую форму Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;

• Типовую форму Журнала поэкземплярного учета СрЗИ, эксплуатационной и технической документации к ним, ключевых документов;

• Типовую форму Журнала периодического тестирования средств защиты информации;

• Типовую форму Журнала проверок электронных журналов.

ТЗ ИСПДн «Отдела бухгалтерского учета и отчётности»

код ТЗ

СОСТАВИЛ

Наименование организации, предприятия	Должность исполнителя	Фамилия, имя, отчество	Подпись	Дата
ДВГУПС	Студент группы 25К	Пичуев В.А.

Характеристики

Список файлов ВКР