Техническое задание (1209945), страница 3
Текст из файла (страница 3)
При выборе программных средств защиты с учетом необходимости обеспечения 3-го уровня защищенности персональных данных, а также актуальности для системы видеонаблюдения угроз 3-го типа и отсутствия взаимодействия системы с информационно-телекоммуникационными сетями международного информационного обмена должно выполняться требование приказа ФСТЭК № 21 об использовании систем обнаружения вторжений и средств антивирусной защиты не ниже 5 класса защиты.
В системе защиты должно использоваться только лицензионное, выпускаемое серийно, сертифицированное на соответствие требованиям документов ФСТЭК России, отвечающее требованиям контроля отсутствия в нем недекларированных возможностей программное обеспечение.
Выбор ПО должен проводиться с учетом обеспечения сопровождения его функционирования поставщиком выбранного ПО.
Базовой программной платформой должна являться операционная система MS Windows.
4.11.2 Требования к техническому обеспечению системы защиты
При создании системы защиты должны быть в максимальной степени использованы аппаратные платформы, использующиеся в системе видеонаблюдения. При невозможности выполнения этого условия, определяются необходимые дополнительные технические средства.
В системе защиты должны использоваться только сертифицированные на соответствие требованиям документов ФСТЭК России, выпускаемые серийно, в защищенном исполнении технические средства.
При выборе технических средств защиты с учетом необходимости обеспечения 3-го уровня защищенности ПДн должно выполняться требование приказа ФСТЭК № 21 об использовании средства вычислительной техники не ниже 5 класса.
Выбор технического обеспечения должен проводиться с учетом обеспечения сопровождения его функционирования поставщиком выбранного технического средства.
4.11.3 Требования к организационному обеспечению процесса создания системы защиты
Организационное обеспечение процесса создания системы должно быть достаточным для эффективного выполнения персоналом возложенных на него обязанностей.
Должны быть определены должностные лица, ответственные за разработку и внедрение технического проекта по созданию системы, сформированы принципы и регламенты взаимодействия участников проекта, проведено разграничение их функций.
К работе по внедрению проекта должны допускаться сотрудники, имеющие навыки работы, необходимые для выполнения возложенных на них обязанностей, ознакомленные с правилами эксплуатации и прошедшие обучение работе с системой.
5 Состав и содержание работ по созданию системы защиты
Состав и содержание работ по созданию системы защиты видеоинформации определены в соответствии с требованиями приказа ФСТЭК № 17, ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
Разработка и внедрение системы защиты видеоинформации проводится подразделениями организации – Хабаровским информационно-вычислительным центром – структурном подразделением главного вычислительного центра – филиала ОАО «РЖД» и Дальневосточным региональным центром безопасности – структурным подразделением ОАО «РЖД».
Выполнение работ по созданию системы защиты видеоинформации происходит поэтапно и включает следующие стадии:
-
формирование требований к системе защиты (предпроектная стадия;
-
разработка (проектирование) системы защиты;
-
внедрение системы защиты;
-
аттестация системы защиты на соответствие требованиям безопасности и ввод ее в действие.
Содержание работ на каждой стадии создания системы защиты приведено в таблице 5.1.
Таблица 5.1 – Стадии создания системы защиты и содержание работ
| Стадии создания системы защиты | Содержание работ | Документарное оформление работ |
| Формирование требований к системе защиты (предпроектная стадия) |
| Заключение по результатам аудита системы видеонаблюдения |
| Модель угроз безопасности | |
| Аналитическое обоснование | |
| Продолжение таблицы 5.1 | ||
| Стадии создания системы защиты | Содержание работ | Документарное оформление работ |
| Техническое задание | |
| Разработка (проектирование) системы защиты |
| Типовой проект, программа и методика испытаний, регламент взаимодействия участников проекта, другие документы, входящие в комплект документации по ГОСТ 34.201 |
| Акт сдачи-приемки | |
| Акт о проведении сертификации | |
| Технический паспорт, инструкция по эксплуатации, другие документы, входящие в комплект документации по ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 | |
| Внедрение системы защиты |
| Акт об окончании работ по установке |
| Приказ о назначении должностных лиц, правила разграничения доступа, инструкция пользователя, инструкция администратора, регламент | |
| Окончание таблицы 5.1 | ||
| Стадии создания системы защиты | Содержание работ | Документарное оформление работ |
| резервного копирования, другие организационно-распорядительные документы | ||
| План проведения обучения | |
| Протокол предварительных испытаний, Акт о передаче системы защиты в опытную эксплуатацию | |
| Протокол опытной эксплуатации | |
| Изменения в эксплуатационные документы | |
| Протокол приемочных испытаний | |
| Аттестация системы защиты на соответствие требованиям безопасности и ввод ее в действие |
| Протокол аттестационных испытаний, Заключение о соответствии системы требованиям о защите, Аттестат соответствия. |
| Акт о передаче системы защиты в промышленную эксплуатацию. | |
6 Порядок контроля и приемки системы
По завершении каждой стадии проекта проводится приемка результатов работы. Сроки приемки работ определяются программой испытаний и сроками проведения стадий выполнения работ в соответствии с требованиями на создание системы защиты. Результаты приемки оформляются в виде соответствующего документа и прилагаются к актам сдачи-приемки работ.
Система защиты в соответствии с требованиями ГОСТ 34.603 должна проходить следующие виды испытаний:
-
предварительные испытания,
-
опытную эксплуатацию,
-
приемочные испытания;
-
аттестационные испытания.
Состав, объём и методы испытаний определяются в программе и методике испытаний. Методика испытаний должна включать шаблоны документов, сопровождающих испытания, показатели объективной оценки качеств системы и результатов испытаний.
Испытания проводятся на основании приказа о создании комиссии для проведения испытаний. Контроль, прием и сдача проводимых работ осуществляются комиссией на основе программы и методики испытаний.
7 Требования к документированию
Документация, разрабатываемая в ходе создания системы защиты, должна соответствовать требованиям ГОСТ 34.201.
Окончательный перечень подлежащих разработке комплектов и видов документов определяется на этапе разработки технического проекта.
Формы документов, необходимых для выполнения и сдачи/приёмки работ, разрабатываются в рабочем порядке в процессе выполнения работ по настоящему техническому заданию.
Документация должна быть выполнена в трех экземплярах на бумажном носителе, а также на оптических дисках (CD-ROM) в одном экземпляре.
Источники разработки
-
ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
-
ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»;
-
ГОСТ 34.201 «Информационная технология (ИТ). Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
-
ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
-
ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
-
ГОСТ 34.603 «Виды испытаний автоматизированных систем».
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
