4. Техническое задание (1209979), страница 3
Текст из файла (страница 3)
Архитектура СЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ИС, в том числе при проведении технического обслуживания и ремонта.
Эффективность СЗИ должна достигаться комплексным применением различных средств и методов.
СЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений.
Приводимые в настоящем документе требования по обеспечению безопасности информации должны обеспечивать уровень защищенности информации, соответствующий требованиям, установленными:
-
«Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утверждены приказом ФСТЭК от 11.02.2013 г. № 17;
-
«Методическим документом: Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК 11.02.2014 г.;
-
«Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18.02.2013 г. № 21;
-
«Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119;
-
Требованиями к средствам доверенной загрузки, утвержденными приказом ФСТЭК от 27.09.2013 г. №119;
-
Требованиями к средствам контроля съемных машинных носителей информации, утвержденными приказом ФСТЭК от 28.07.2014 г. №87;
-
«Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
руководящим документом ФСБ России от 21 февраля 2008 г. № 149/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
-
Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
-
Федеральным законом Российской Федерации от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
-
Требования к вариантам исполнения системы
СЗИ должна строиться для всех типов объектов, на которых присутствует или будет присутствовать информация, подлежащая защите. Необходимый набор мер и средств защиты определяется на основании модели угроз и уровня защищенности информации.
-
Требования к режимам функционирования системы
В разработанной СЗИ должны быть реализованы следующие режимы функционирования:
-
режим установки и конфигурирования;
-
режим отладки;
-
рабочий режим.
Режим конфигурирования должен быть предназначен для первичной настройки СЗИ и должен выполняться на этапе пуско-наладочных работ. В этом режиме должно происходить настраивание СЗИ путем создания правил, создания, редактирования и применения политик, шаблонов, настроек необходимых видов доступа. Режим установки и конфигурирования должен подразумевать работы по установке и начальной настройке установленного программного обеспечения.
Режим отладки должен быть предназначен для отладки СЗИ и должен выполняться на этапе ввода в эксплуатацию после режима конфигурирования. В этом режиме должно происходить журналирование отработки необходимых компонент СЗИ, отлаживание реакций, видов и методов реагирования компонент на происходящие воздействия.
Рабочий режим должен быть единственным допустимым режимом штатного функционирования системы. В рабочий режим система должна переводиться после режима отладки, когда становится ясно, что система функционирует верно, корректно отрабатываются необходимые политики, правила и шаблоны.
-
Требования к численности и квалификации персонала, режиму его работы
-
Требования к квалификации администратора безопасности
Сотрудники, имеющие высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.
Квалификация специалистов должна быть достаточной для осуществления ими настройки общесистемных, прикладных и сетевых сервисов ИС, а также эксплуатации средств защиты.
Специалисты должны осуществлять обслуживание и эксплуатацию ИС по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности ИС.
-
Требования к квалификации пользователя ИС\
Квалификация и численность пользователей ИС должна быть достаточной для осуществления ими обработки персональных данных в соответствии с инструкциями пользователей ИС.
-
Порядок подготовки персонала, контроль знаний и навыков
Регулярное обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними с принятием зачетов.
-
Показатели назначения
Системно-технические решения СЗИ должны обеспечить минимизацию вероятности реализации актуальных угроз, описанных в Модели нарушителя и угроз безопасности информации при их обработке в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края.
-
Требования к надежности
Аппаратно-программные компоненты СЗИ должны быть рассчитаны для функционирования в режиме круглосуточной работы и позволять осуществлять выполнение процедур резервирования и восстановления системы после сбоев.
-
Требования к безопасности
В процессе обслуживания и эксплуатации оборудования СЗИ должна обеспечиваться безопасность персонала.
Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.
Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.
-
Требования к эргономике и технической эстетике
Для обработки информации использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ, например, ГОСТ 29216-91, ГОСТ Р 50948-2001, ГОСТ Р 50949-2001, СанПиН 2.2.2/2.4.1340-03.
-
Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗИ
Условия и регламент (режим) эксплуатации, виды и периодичность обслуживания технических средств системы в соответствии с эксплуатационной документацией.
Физический доступ неуполномоченных лиц к компонентам СЗИ должен быть запрещен.
Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗИ.
-
Требования к защите информации от несанкционированного доступа
Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
Своевременное обнаружение фактов несанкционированного доступа к персональным данным.
Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
-
Требования к сохранности информации при авариях
Перечень событий, при которых должна быть обеспечена сохранность информации в системе: пожар в здании; взрыв; просадка грунта с частичным обрушением здания. Отказ элементов ИС\ и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования.
Механизмы обеспечения сохранности информации могут уточняться на этапе проектирования СЗИ.
-
Требования к защите от влияний внешних воздействий
Защита информации, обрабатываемой в ИС, от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах размещения СВТ ИС.
-
Требования к патентной чистоте
При создании СЗИ должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.
-
Требования к стандартизации и унификации
Решения по использованию технических средств и ПО в СЗИ должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.
Должна обеспечиваться совместимость технических средств и ПО СЗИ с техническими средствами и ПО, используемыми в ИС.
Требования по стандартизации и унификации могут уточняться на этапе проектирования СЗИ.
-
Требования к видам обеспечения
-
Требования к программному обеспечению
Предлагаемое к использованию программное обеспечение должно быть лицензионным.
Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.
В процессе эксплуатации СЗИ лицензии на применяемое ПО должны поддерживаться в актуальном состоянии.
Средства защиты информации, входящие в состав СЗИ, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России.
Требования к программному обеспечению могут уточняться на этапе проектирования СЗИ.
-
Требования к техническому обеспечению
Решения по использованию технических средств должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данных ТС.
В составе СЗИ должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные на соответствие требованиям руководящих документов ФСТЭК России.
Для того, чтобы обеспечить безопасность информации, приказом ФСТЭК от 11 февраля 2013 г. N 17 были утверждены «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Средства защиты информации, применяемые в ИС, а так же организационные меры в информационной системе третьего класса защищенности должны обеспечивать защиту от угроз безопасности, которые могут быть связаны с нарушителем информации, обладающем потенциалом не ниже базового. Стоит отметить, что может быть принято решение об принятии мер, соответствующих более высокому классу защищенности.
Меры защиты информации, связанные с применением технических средств защиты информации, осуществляются посредством использования средств защиты, имеющих определенные функции безопасности, при этом в
в информационных системах третьего класса защищенности применяются средства защиты информации шестого класса, а также средства вычислительной техники не ниже пятого класса.
В случае, если в ИС обрабатываются персональные данные, для информационной системы третьего класса защищенности обеспечивают третий и четвертый уровни защищенности персональных данных, в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
Требования к техническому обеспечению могут уточняться на этапе проектирования СЗИ.
-
Требования к организационно-распорядительной документации
В соответствии с требованиями нормативно-правовых актов в области защиты информации, система защиты информации, обрабатываемой в ИС «Комитет» должна включать в себя перечень разработанных организационно-распорядительных, эксплуатационных и технических документов, регламентирующих вопросы организации обеспечения безопасности информации и эксплуатации системы защиты.
Перечень должен включать в себя:
-
План мероприятий по обеспечению защиты информации в ИС;
-
Правила обработки информации;
-
Инструкцию по организации антивирусной защиты;
-
Порядок доступа служащих в помещения, в которых ведется обработка информации;
-
Инструкцию по организации парольной защиты ИС;
-
Инструкцию пользователя ИС;
-
Положение о защите информации;
-
Перечень мест хранения съемных машинных носителей;
-
Приказ о назначении администратора безопасности ИС;
-
Перечень лиц, допущенных к обработке информации;
-
Политику информационной безопасности информации, циркулирующей в ИС;
-
Инструкцию лица, ответственного за обеспечение безопасности информации;
-
Инструкцию администратора информационной безопасности ИС;
-
Инструкцию по использованию сети Интернет;
-
Инструкцию по резервированию и восстановлению работоспособности технических средств, программного обеспечения баз данных и средств защиты информации;
-
Инструкцию по порядку учета и хранения машинных и съемных носителей информации;
-
Перечень лиц, допущенных к техническому обслуживанию ИС;
-
Перечень защищаемых ресурсов ИС;
-
Перечень регистрируемых событий безопасности в ИС;
-
Перечень персональных данных;
-
Типовую форму Журнала учета и выдачи персональных идентификаторов (ПИ);
-
Типовую форму Журнала учета мероприятий по контролю за соблюдением режима защиты конфиденциальной информации;
-
Типовую форму Журнала учета съемных носителей информации (СНИ);
-
Типовую форму Журнала учета проведения инструктажа пользователя, допущенного к работе с СКЗИ;
-
Типовую форму Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
-
Типовую форму Журнала поэкземплярного учета СрЗИ, эксплуатационной и технической документации к ним, ключевых документов;
-
Типовую форму Журнала периодического тестирования средств защиты информации;
-
Типовую форму Журнала проверок электронных журналов.
ТЗ ИС «Комитет»
код ТЗ
СОСТАВИЛ
| Наименование организации, предприятия | Должность исполнителя | Фамилия, имя, отчество | Подпись | Дата |
| ДВГУПС | Студент группы 25К | Усов А. К. |
27
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
