4. Техническое задание (1209995), страница 6
Текст из файла (страница 6)
При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации, и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и (или) ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.
Разработка эксплуатационной документации на СЗИ осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание СЗИ.
Эксплуатационная документация на СЗИ разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:
-
структуры СЗИ;
-
состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
-
правил эксплуатации СЗИ.
При макетировании и тестировании СЗИ в том числе осуществляются:
-
проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
-
проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
-
корректировка проектных решений, разработанных при создании информационной системы и (или) СЗИ;
-
корректировка проектной и эксплуатационной документации на СЗИ.
Макетирование СЗИ и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.
-
Внедрение системы защиты информации информационной системы
Внедрение СЗИ осуществляется в соответствии с проектной и эксплуатационной документацией на СЗИ и в том числе включает:
-
установку и настройку средств защиты информации в информационной системе;
-
разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации);
-
внедрение организационных мер защиты информации;
-
предварительные испытания СЗИ;
-
опытную эксплуатацию СЗИ;
-
анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
-
приемочные испытания СЗИ.
Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на СЗИ и документацией на средства защиты информации.
Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:
-
управления (администрирования) СЗИ;
-
выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирования на них;
-
управления конфигурацией аттестованной информационной системы и СЗИ;
-
контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе;
-
защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации.
При внедрении организационных мер защиты информации осуществляются:
-
реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
-
проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации;
-
отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
Предварительные испытания СЗИ проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее – ГОСТ 34.603) и включают проверку работоспособности СЗИ, а также принятие решения о возможности опытной эксплуатации СЗИ.
Опытная эксплуатация системы защиты информации информационной системы проводится с учетом ГОСТ 34.603 и включает проверку функционирования СЗИ, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации СЗИ.
Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем СЗИ и предотвращения реализации угроз безопасности информации.
Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.
При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
Приемочные испытания СЗИ проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к СЗИ в соответствии с техническим заданием на создание СЗИ.
-
Требования к документированию
На стадии технического проекта рекомендуется разработать следующий комплект документации:
-
технический проект;
-
технический паспорт объекта информатизации.
Виды, комплектность и содержание документов в части, определенной настоящим ТЗ, должны учитывать требования ГОСТ 34.201-89 и ГОСТ РД 50-34.698.
-
Приложение А. Конфигурация МИС и топология ЛВС ЦОД
Рис. А.1 – конфигурация МИС ЦОД
Рисунок А.2 – Топология локальной вычислительной сети ЦОД
-
Приложение Б. Размещение элементов относительно границ контролируемой зоны
На схемах ниже представлены план этажей здания администрации поселка Ванино, расположения ЦОД и элементов МИС ЦОД относительно границ контролируемой зоны.
Рис. Б.1 – Размещение ЦОД относительно границ контролируемой зоны на третьем этаже здания Администрации.
Рис. Б.2 – Размещение технических средств и систем МИС ЦОД
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
