4.Техническое задание (1209965), страница 3
Текст из файла (страница 3)
Реализация функций защиты информации в ИСПДн должна осуществляться сертифицированными средствами защиты информации. Реализация требований ФСТЭК и ФСБ России по обеспечению безопасности информации представлена в таблице 5.2.
Таблица 5.2 – Перечень мер по обеспечению информационной безопасности
| № п/п | Содержание и наименование меры |
| 1 | ИАФ1. Идентификация и аутентификация пользователей, являющихся работниками оператора |
| 2 | ИАФ3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| 3 | ИАФ4. Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| 4 | ИАФ5. Защита обратной связи при вводе аутентификационной информации |
| 5 | УПД1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| 6 | УПД3. Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
| 7 | УПД4. Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| 8 | УПД5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| 9 | УПД6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| 10 | УПД10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| 11 | УПД11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| 12 | УПД13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно телекоммуникационные сети |
| 13 | УПД14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
| 14 | УПД16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| 15 | ЗНИ8. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
| 16 | РСБ1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| 17 | РСБ2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| 18 | РСБ3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| 19 | РСБ7. Защита информации о событиях безопасности |
| 20 | АВЗ1. Реализация антивирусной защиты |
| 21 | АВЗ2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| 22 | АНЗ1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| 23 | АНЗ2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| 24 | АНЗ3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| 25 | АНЗ4. Контроль состава технических средств, программного обеспечения и средств защиты информации |
| 26 | ЗТС3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| 27 | ЗТС4. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| 28 | ЗИС3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| 29 | УКФ1. Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных |
| 30 | УКФ2. Управление изменениями конфигурации информационной системы и системы защиты персональных данных |
| 31 | УКФ3. Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных |
| 32 | УКФ4. Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных |
6 Требования к СЗИ
6.1 Общие требования
Архитектура СЗИ в совокупности с механизмом поддержки функциональных подсистем не должна накладывать каких-либо существенных ограничений на информационные технологии, используемые в ИСПДн.
Архитектура СЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ИСПДн, в том числе при проведении технического обслуживания и ремонта.
Эффективность СЗИ должна достигаться комплексным применением различных средств и методов.
СЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений.
6.2 Требования к вариантам исполнения системы
СЗИ должна строиться для всех типов объектов, на которых присутствует или будет присутствовать информация, подлежащая защите. Необходимый набор мер и средств защиты определяется на основании модели угроз и уровня защищенности ПДн.
6.3 Требования к квалификации сотрудника администратора с обязанностями администраторами безопасности
Сотрудники, имеющие высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.
Квалификация специалистов должна быть достаточной для осуществления ими настройки общесистемных, прикладных и сетевых сервисов ИСПДн, а также эксплуатации средств защиты.
Специалисты должны осуществлять обслуживание и эксплуатацию ИСПДн по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности ИСПДн.
6.4 Требования к квалификации пользователя ИСПДн
Квалификация и численность пользователей ИСПДн должна быть достаточной для осуществления ими обработки персональных данных в соответствии с инструкциями пользователей ИСПДн.
6.5 Порядок подготовки персонала, контроль знаний и навыков
Регулярное обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними с принятием зачетов.
6.6 Показатели назначения
Системно-технические решения СЗИ должны обеспечить минимизацию вероятности реализации актуальных угроз, описанных в Модели нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных
Экономический эффект от создания СЗИ должен проявляться в снижении вероятной величины материального и морального ущерба по отношению к субъектам и оператору ПДн.
6.7 Требования к надежности
Аппаратно-программные компоненты СЗИ должны быть рассчитаны для функционирования в режиме круглосуточной работы и позволять осуществлять выполнение процедур резервирования и восстановления системы после сбоев.
6.8 Требования к безопасности
В процессе обслуживания и эксплуатации оборудования СЗИ должна обеспечиваться безопасность персонала.
Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.
Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.
6.9 Требования к эргономике и технической эстетике
Для обработки информации использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности, по санитарным нормам, например, ГОСТ 29216-91, ГОСТ Р 50948-2001, ГОСТ Р 50949-2001, СанПиН 2.2.2/2.4.1340-03.
6.10 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗИ
Условия и регламент (режим) эксплуатации, виды и периодичность обслуживания технических средств системы в соответствии с эксплуатационной документацией.
Физический доступ неуполномоченных лиц к компонентам СЗИ должен быть запрещен.
Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗИ.
6.11 Требования к защите информации от несанкционированного доступа
Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
Своевременное обнаружение фактов несанкционированного доступа к персональным данным.
Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
-
Требования к сохранности информации при авариях
Перечень событий, при которых должна быть обеспечена сохранность информации в системе: пожар в здании; взрыв; просадка грунта с частичным обрушением здания. Отказ элементов ИСПДн и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования.
Механизмы обеспечения сохранности информации могут уточняться на этапе проектирования СЗИ.
6.13 Требования к защите от влияний внешних воздействий
Защита информации, обрабатываемой в ИСПДн, от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах размещения СВТ ИСПДн.
6.14 Требования к патентной чистоте
При создании СЗИ должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.
6.15 Требования к стандартизации и унификации
Решения по использованию технических средств и ПО в СЗИ должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.
Должна обеспечиваться совместимость технических средств и ПО СЗИ с техническими средствами и ПО, используемыми в ИСПДн.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
