4.Техническое задание (1209965), страница 4
Текст из файла (страница 4)
Требования по стандартизации и унификации могут уточняться на этапе проектирования СЗИ.
67 Требования к видам обеспечения
7.1 Требования к программному обеспечению
Предлагаемое к использованию программное обеспечение должно быть лицензионным.
Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.
В процессе эксплуатации СЗИ лицензии на применяемое ПО должны поддерживаться в актуальном состоянии.
Средства защиты информации, входящие в состав СЗИ, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России.
Требования к программному обеспечению могут уточняться на этапе проектирования СЗИ.
7.2 Требования к техническому обеспечению
Решения по использованию технических средств должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данных ТС.
В составе СЗИ должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные на соответствие требованиям руководящих документов ФСТЭК России.
В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18.02.2013 г. №21 при использовании в информационных системах, сертифицированных по требованиям безопасности информации средств защиты информации
Для обеспечения 1 и 2 уровней защищенности персональных данных применяются:
-
средства вычислительной техники не ниже 5 класса;
-
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
-
межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных
Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом ФСБ России от 10.07.2014 г. №378 при использовании средств криптографической защиты (СКЗИ), сертифицированных по требованиям безопасности для обеспечения 2 уровня защищенности персональных данных применяются СКЗИ класса КС1 и выше.
В соответствии с выбранными мерами, система защиты должна включать в себя средство доверенной загрузки и средство контроля съемных машинных носителей информации.
В соответствии с Требованиями к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27.09.2013 №119 и Требованиями к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28.07.2014 №87, при необходимости обеспечения 2 уровня защищенности персональных данных, применяются средства доверенной загрузки и средства контроля съемных машинных носителей соответствующие 4 классу защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного обмена.
Для данной информационной системы необходимо применить:
-
средства вычислительной техники 5 класса;
-
системы обнаружения вторжений и средства антивирусной защиты 4 класса;
-
межсетевые экраны не ниже 4 класса.
-
средства контроля носителей класса;
-
средства доверенной загрузки класса;
-
СКЗИ класса КС.
Требования к техническому обеспечению могут уточняться на этапе проектирования СЗИ.
7.3 Требования к режимам функционирования системы
В разработанной СЗИ должны быть реализованы следующие режимы функционирования:
-
режим установки и конфигурирования;
-
рабочий режим.
Режим конфигурирования должен быть предназначен для первичной настройки СЗИ и должен выполняться на этапе пуско-наладочных работ. В этом режиме должно происходить настраивание СЗИ путем создания правил, создания, редактирования и применения политик, шаблонов, настроек необходимых видов доступа.
Режим установки и конфигурирования должен подразумевать работы по установке и начальной настройке установленного программного обеспечения.
Рабочий режим должен быть единственным допустимым режимом штатного функционирования системы. В рабочий режим система должна переводиться после режима отладки, когда становится ясно, что система функционирует верно, корректно отрабатываются необходимые политики, правила и шаблоны.
7.4 Требования к организационно-распорядительной документации
В соответствии с требованиями нормативно-правовых актов в области защиты информации, система защиты персональных данных, обрабатываемых в ИСПДн, должна включать в себя перечень разработанных организационно-распорядительных, эксплуатационных и технических документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации системы защиты персональных данных.
Перечень должен включать в себя:
-
План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных;
-
Перечень сотрудников, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в ИСПДн;
-
Правила обработки персональных данных;
-
Инструкцию по организации антивирусной защиты;
-
Порядок доступа служащих в помещения, в которых ведется обработка персональных данных;
-
Инструкцию по организации парольной защиты ИСПДн;
-
Инструкцию пользователя ИСПДн;
-
Положение о защите персональных данных;
-
Перечень мест хранения съемных машинных носителей персональных данных;
-
Приказ о назначении администратора безопасности ИСПДн;
-
Перечень лиц, допущенных к обработке персональных данных;
-
Политику информационной безопасности персональных данных, циркулирующих в ИСПДн;
-
Инструкцию лица, ответственного за обеспечение безопасности персональных данных;
-
Инструкцию администратора информационной безопасности ИСПДн отдела бухгалтерского учета и отчетности;
-
Инструкцию администратора ИСПДн отдела бухгалтерского учета и отчетности;
-
Инструкцию по использованию сети Интернет;
-
Инструкцию по резервированию и восстановлению работоспособности технических средств, программного обеспечения баз данных и средств защиты информации;
-
Инструкцию по порядку учета и хранения машинных и съемных носителей информации;
-
Инструкцию по работе с СКЗИ, сертификатами ключей подписи, открытыми и закрытыми ключами электронной цифровой подписи (ЭЦП);
-
Инструкцию ответственного пользователя криптосредств;
-
Перечень лиц, допущенных к техническому обслуживанию ИСПДн отдела бухгалтерского учета и отчетности;
-
Перечень защищаемых ресурсов ИСПДн отдела бухгалтерского учета и отчетности;
-
Перечень регистрируемых событий безопасности в ИСПДн
-
Перечень персональных данных;
-
Матрицу разграничения доступа ИСПДн;
-
Типовую форму Журнала учета и выдачи персональных идентификаторов (ПИ);
-
Типовую форму Журнала учета мероприятий по контролю за соблюдением режима защиты конфиденциальной информации (персональных данных);
-
Типовую форму Журнала учета съемных носителей информации (СНИ), содержащих персональные данные;
-
Типовую форму Журнала учета проведения инструктажа пользователя, допущенного к работе с СКЗИ;
-
Типовую форму Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
-
Типовую форму Журнала поэкземплярного учета СрЗИ, эксплуатационной и технической документации к ним, ключевых документов;
-
Типовую форму Журнала периодического тестирования средств защиты информации;
-
Типовую форму Журнала проверок электронных журналов.
ТЗ ИСПДн «Сегмент информационной системы телекоммуникационной компании»
код ТЗ
СОСТАВИЛ
| Наименование организации, предприятия | Должность исполнителя | Фамилия, имя, отчество | Подпись | Дата |
| ДВГУПС | Студент группы 24Б | Починков В.С. |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
